WordPress est un système de gestion de contenu (CMS) gratuit, libre et open-source. Il permet l’édition de sites web riches et dynamiques, et bénéficie d’un important écosystème de plugins et thèmes. D’après wordpress.org, 43% des sites web reposent sur le CMS WordPress.
C’est donc sans surprises que WordPress est une cible de choix pour les hackers : sites web et serveurs mal configurés, plugins vulnérables, retards de mises à jour.
Cet article se focalise sur les techniques simples et rapides pour tester vous-même si votre site WordPress peut être attaqué par des débutants. Il ne se substitue surtout pas à un durcissement de la sécurité de votre site web.
Ces tests sont intrusifs et doivent être exécutés sur des systèmes qui vous appartiennent ou pour lesquels vous avez reçu une autorisation explicite.
1. Utiliser wpscan
L’outil wpscan est un scanner de vulnérabilités et de défauts de configuration WordPress facile à utiliser. Il est inclu dans la distribution Kali Linux mais peut aussi être facilement utilisé séparément grâce à son image docker.
Afin de bénéficier de toutes les fonctionnalités de wpscan il est préférable de se créer une clé d’API sur WPScan.com. Cette étape est optionnelle mais permet de bénéficier de la base de vulnérabilités WordPress.
Voici quelques exemples de commandes wpscan permettant de détecter un maximum de vulnérabilités et défauts de configuration WordPress :
# Scan par défaut de https://votre.site.wordpress/ avec un User-Agent aléatoire et pas de vérification du certificat HTTPS (dans le cas où vous ne l’avez pas encore installé)
wpscan –rua –api-token {TOKEN} –disable-tls-checks –url https://votre.site.wordpress/
# Scan plus complet : énumère les 50 premiers utilisateurs WordPress, tous les thèmes et plugins connus, les sauvegardes de configuration, les timthumbs et exports. User-Agent aléatoire et pas de vérification du certificat HTTPS.
wpscan –rua –api-token {TOKEN} –disable-tls-checks -e u1-50,m,vp,vt,tt,cb,dbe –url https://votre.site.wordpress/
Les résultats wpscan sont composés de différentes catégories et propose des liens vers de la documentation à chaque fois :
- Au début se trouvent les défauts de configuration, ce qui sort du commun, et des informations générales
- Il y a ensuite la version de WordPress si détectée, avec ses éventuelles vulnérabilités
- Puis les plugins découverts et leurs vulnérabilités
- La même chose avec les thèmes WordPress
- Et enfin l’énumération des sauvegardes, exports, timthumb, media et utilisateurs
2. Vérifications supplémentaires manuelles
Bien que wpscan permette de remonter une grande partie de vulnérabilités WordPress, quelques tests manuels supplémentaires peuvent permettre d’éliminer certaines faiblesses courantes.
❌ Listage de répertoires WordPress
Testez d’accéder aux répertoires /wp-content/, /wp-content/uploads/, /wp-includes/ dans votre navigateur web. Par exemple https://votre.site.wordpress/wp-content/uploads/. La liste des fichiers et dossiers ne devrait pas apparaître !
❌ Mots de passe évidents
Si vous avez accès à la liste des utilisateurs de votre site WordPress (https://votre.site.wordpress/wp-admin/users.php) ou bien que plusieurs comptes ont été découverts par wpscan, essayez un ou deux mots de passe évidents : nom d’utilisateur, nom de l’entreprise, nom du site/blog. Attention à ne pas faire trop de tentatives vous pourriez bloquer vos comptes.
❌ Fichiers de logs indexés par Google
Il se peut que des fichiers de logs WordPress soient indexés par Google. Ces fichiers de journalisation font parfois fuiter des informations sensibles. Pour les détecter, la recherche Google suivante peut être utilisée (Google Dork) :
inurl:log -intext:log ext:log inurl:wp- site:votre.site.wordpress
💡 D’autres vulnérabilités et défauts de configuration nécessitent les compétences d’experts en cybersécurité (pentesters) pour être détectés et exploités. Un test d’intrusion permet de révéler toutes ces faiblesses et vous guider dans leur remédiation.
🛡️ DSecBypass vous accompagne sur les audits de sécurité de vos sites web, notamment les audits de sécurité WordPress. N’hésitez pas à nous contacter pour des informations complémentaires et/ou un devis personnalisé 📝.
