Sécurité WordPress // WPScan
Les sites WordPress sont de plus en plus décriés pour leurs vulnérabilités. Tout d’abord, sachez qu’il existe des plugins pour vous aider à en renforcer leur sécurité.
Le plus grands dangers sur WordPress, ce sont les extensions vulnérables. Le premier conseil que je peux vous donner, c’est de mettre à jour régulièrement votre version WordPress, vos thèmes et vos extensions. Et afin de vous assurer, vous pouvez utiliser WPScan.
Ce dernier étant préinstallé sur Kali Linux, je vous conseille de vous procurer cette distribution via WSL. Si vous voulez utiliser WPScan via une autre distribution Linux, je vous invite à vous référer au GitHub du projet.
Afin d’obtenir un résultat complet et pertinent, il faut utiliser l’API de WPScan, nécessaire pour obtenir les informations liées aux vulnérabilités. Sans cela, WPScan va analyser le site distant, récupérer le maximum d’informations au sujet des plugins et thèmes, mais ne vous donnera pas d’informations sur les vulnérabilités détectées. Pour cela, il vous faut créer un compte ici.
Une fois ces étapes OK, veuillez saisir la commande wpscan –url www.votredomaine.fr –enumerate vp,vt –api-token VotreJetonAPI. L’option –enumerate permet de spécifier ce qu’il faut analyser. Quant à la valeur vp elle permet de détecter les plugins vulnérables, tandis que la valeur vt recherchera la présence d’un thème vulnérable.
PS : Et pour encore plus de sécurité, n’oubliez pas .htaccess 😉