Utilisez le scanner de vulnérabilité WP Scan.
Numérisation WP est un scanner de vulnérabilité pour WordPress. Il est développé en Ruby. Il est capable de lister les plugins utilisés et de vous donner les failles de sécurité associées. Il comprend également un module de force brute pour attaquer l’interface d’administration de WordPress.
Avant utilisation Numérisation WPvotre machine doit avoir certains prérequis :
- Système d’exploitation Linux (Windows n’est pas pris en charge)
- rubis (version >= 1.9)
- rubis
- git
Pour installer notre logiciel de test, nous utiliserons commande git.
Avant d’installer WP Scan, c’est une bonne idée d’installer quelques bibliothèques de développement.
#yum install gcc ruby-devel libxml2 libxml2-devel libxslt libxslt-devel libcurl-devel
Après avoir installé ces bibliothèques, vous pouvez continuer avec les commandes suivantes :
#git clone https://github.com/wpscanteam/wpscan.git
puis entrez dans le répertoire wpscan.
#cd wpscan
pour compiler (=installer) Le programme doit utiliser les commandes suivantes :
# gem install bundler && bundle install — aucun test requis
Si vous obtenez ce message d’erreur lors de l’installation :
Impossible de charger OpenSSL.
Vous devez soit recompiler Ruby avec le support OpenSSL, soit changer le code source dans le Gemfile de « https » à « http ».illustrer
La compilation avec OpenSSL avec RVM est disponible sur rvm.io/packages/openssl.
Je vous recommande d’installer RVM (gestionnaire de versions Ruby) (http://blog.jeffcosta.com/2011/07/22/install-ruby-version-manager-rvm-on-centos-6/). Tapez ensuite la commande suivante (cela devrait résoudre votre problème) :
#rvm réinstaller 1.9.3 –with-openssl-dir=/usr/local
Nous pouvons maintenant utiliser wpscan. Pour utiliser correctement le logiciel, vous devez être dans le répertoire wpscan.
La première commande à exécuter est de vérifier les mises à jour. Bugs, mises à jour logicielles, cette étape est très importante et doit être effectuée avant chaque utilisation.
#ruby wpscan –mise à jour
Par exemple, vous pouvez maintenant utiliser certaines des commandes suivantes (sur votre blog et en toute connaissance de cause) pour diagnostiquer les vulnérabilités.
Grâce à cette commande, vous pourrez connaître la version de WordPress, le nom du modèle, la liste des plugins…. Le test est non invasif.
#ruby wpscan.rb –url quick-tutoriel.com
1: Entrées intéressantes dans les fichiers de configuration de WordPress, tels que robots.txt (le fichier robots.txt est un fichier texte situé à la racine d’un site Web qui permet aux robots des moteurs de recherche d’indiquer qu’une page peut ou non être indexée. Ce fichier contient des instructions pour tous les moteurs de recherche, tous doivent lire ceci avant de commencer à explorer un site.)
2 : Vous pouvez également utiliser ici le serveur web de type LiteSpeed, la version PHP.
3 : Vous avez la version de WordPress.
4 : Vous avez le nom et la version du thème et quelques informations comme le nom de l’auteur ou le chemin vers le fichier css.
Lorsque vous avez un point d’exclamation rouge, cela signifie qu’il est important de corriger l’erreur. En mettant à jour WordPress ou ses plugins ou en supprimant des fichiers. La plupart d’entre nous mettent de côté le fichier « readme.html ». Supprimez-le, il donne vos informations de version WP.
Ensuite dans la deuxième partie de l’analyse vous avez tous les plugins identifiés par wpscan installés sur votre blog. Encore une fois, lorsque vous voyez un point d’exclamation rouge, vous devez le corriger.
[error]Conseils de pros ! Habituellement, vous verrez ici des répertoires où nous pouvons répertorier les plugins Codecolorer, ce qui peut être une source d’ennui. Pour éviter cela, vous pouvez simplement ajouter le fichier index.htm à la racine du répertoire des plugins.[/error]
Voici un exemple du contenu du fichier index.htm :
[php]
# Le silence est d’or.
?>[/php]
Une autre commande intéressante permet de scanner intégralement les blogs WordPress en listant les utilisateurs, les plugins vulnérables, les thèmes vulnérables connus…
#ruby wpscan.rb –url quick-tutoriel.com –enumerate
Vous pouvez optimiser la détection des vulnérabilités en spécifiant des options supplémentaires, telles que plugin vulnérable (–enumerate vp), utilisateur (–enumerate u), … vous pouvez trouver des détails sur les options ici : http://wpscan.org
La première partie du test restaure les éléments ci-dessus, puis dans la deuxième partie, vous verrez une liste des plugins problématiques et des liens vers des explications de bugs et des correctifs possibles.
- 1: Le nom et la version du plugin en question.
- 2 : Lien Web vers une explication de la vulnérabilité et des correctifs possibles
Après le plugin, wpscan commence à vérifier votre thème, puis il recherchera des fichiers pouce fragile (Timthumb.php est une bibliothèque utilisée par de nombreux thèmes WordPress pour redimensionner automatiquement les images, mais présente de nombreuses vulnérabilités) Le scan finira par lister tous les utilisateurs de la configuration WordPress.
- 1: Liste des fichiers affectés par la vulnérabilité timthumb.
- 2 : Énumère tous les utilisateurs qui existent dans votre configuration.
Comme vous pouvez le voir, cet utilitaire est très puissant. Quick-Tutorial n’est pas responsable de toute utilisation malveillante de ce logiciel. Avant de commencer à analyser tous les blogs WordPress sur le Web, je vous recommande d’analyser votre blog et de corriger les erreurs détectées par wp-scan.
Voici quelques contre-mesures que vous pouvez prendre pour améliorer la sécurité de WordPress.
Modifiez le fichier .htaccess :
- Ajoutez ce code à votre fichier .htaccess pour éviter le bogue de la liste des utilisateurs de votre blog WordPress.
# BEGIN arrêter la vulnérabilité d’énumération des noms d’utilisateur wordpress RewriteCond %{REQUEST_URI} ^/$ RewriteCond %{QUERY_STRING} ^/?author=([0-9]*) #END arrêter le bogue d’énumération des noms d’utilisateur wordpress
- Ajoutez ce code à votre fichier .htaccess pour lutter contre la divulgation du chemin complet (FPD). Cette vulnérabilité permet d’afficher le chemin d’accès complet d’un script vulnérable. Il le fait en injectant des caractères inattendus dans certains paramètres de la page Web. Les plugins ou scripts installés sur votre hôte ne nécessitent pas de caractères injectés et renvoient un message d’erreur avec des informations sur l’erreur et même le chemin complet vers le script cible.
# COMMENCER À CORRIGER LA DIVULGATION DU CHEMIN COMPLET (FPD) php_flag display_errors off # FIN DE CORRIGER LA DIVULGATION DU CHEMIN COMPLET (FPD)
- Bloquez l’accès au répertoire d’installation de WordPress en ajoutant cette ligne à la fin du fichier .htaccess :
# BEGIN FIX DIRECTORY LISTING option tous les index # END FIX DIRECTORY LISTING
- Sécurisez le fichier wp-config.php, il contient tous les paramètres de votre site web (hors plugins), notamment le code d’accès à la base de données. Ajoutez ces lignes à votre fichier .htaccess :
# COMMENCEZ À PROTÉGER WP-CONFIG.PHP
Modifiez le fichier functions.php du thème :
- Ajoutez la ligne suivante au fichier functions.php de votre thème, cela vous permettra de supprimer la version WordPress de cette source, bien que wpscan soit intelligent et utilise plusieurs méthodes pour restaurer la version WordPress. Jusqu’à présent, je n’ai trouvé aucun moyen vraiment efficace de supprimer une version de WordPress.
add_filter(‘get_the_generator_rss2’, ‘__return_false’); add_filter(‘get_the_generator_atom’, ‘__return_false’); remove_action(« wp_head », « wp_generator »);
- Masquez les erreurs de connexion de l’administrateur WordPress. Le message renvoyé par WordPress en cas de problème de connexion est trop explicite. Pour simplifier le message d’erreur, ajoutez la ligne suivante au fichier functions.php de votre thème :
add_filter(‘login_errors’,create_function(‘$error’, « return ‘login error’; »));
Conseils généraux pour WordPress :
- Ajoutez un fichier index.php à vos répertoires de plugins et de thèmes pour éviter de les lister.
- Mettez à jour régulièrement votre WordPress, vos plugins et vos thèmes.
- Sauvegardez régulièrement la base de données MySQL et les fichiers WordPress.
- Utiliser des plugins Askimet (https://wordpress.org/plugins/akismet/) Permet la surveillance et le nettoyage des commentaires indésirables.
- Utiliser des plugins Limiter l’attente de connexion (http://wordpress.org/plugins/limit-login-attempts/) pour empêcher le piratage.
Voici quelques mesures de protection simples qui peuvent améliorer la protection de votre blog WordPress. Et n’oubliez pas de couvrir la porte ! ! ! !
Bien sûr, si vous avez d’autres techniques de protection, n’hésitez pas à les laisser en commentaire ou à m’envoyer un mail via le formulaire de contact Cliquez ici.
c’est tout.
Stay connected