Comment détecter les failles de sécurité sur votre site WordPress

Comment détecter les failles de sécurité sur votre site WordPress
Failles de sécurité WP

Imaginons qu’un parfait inconnu s’approche de vous et vous offre une délicieuse sucette. Allez-vous la saisir et la fourrer dans votre bouche sans vous poser la moindre question ?

Probablement pas.

La plupart des gens savent qu’il ne faut pas accepter de cadeaux de la part d’inconnus. Mais lorsqu’il s’agit d’Internet, notre sens de l’auto-préservation passe souvent à la trappe. Nous ne réfléchissons pas à deux fois lorsque de parfaits inconnus s’approchent de nous dans le monde numérique, nous montrent un nouveau plugin brillant et nous demandent de l’installer sur notre WordPress. Pourtant, les plugins vulnérables représentent plus de 30 % de tous les sites WordPress piratés.

Aujourd’hui, vous allez apprendre à vérifier les vulnérabilités des plugins WordPress qui pourraient compromettre votre site – et ce qu’il faut faire si vous avez installé un plugin vulnérable sans le vouloir.

Les propriétaires de sites WordPress ne sont pas les seuls à faire trop confiance aux inconnus en ligne. Des tonnes d’internautes confient sans réfléchir leurs mots de passe, leurs informations personnelles et d’autres données sensibles à de parfaits inconnus en ligne. Même les personnes les plus en vue se font piéger et révèlent leurs informations personnelles en ligne.

Il n’y a pas si longtemps, un pirate britannique a poussé des fonctionnaires de la Maison Blanche à révéler des informations sensibles. Le fait que les membres du personnel de la Maison Blanche concernés faisaient partie du groupe de travail américain sur la cybersécurité montre qu’il est facile de faire trop confiance. Il faut être proactif dans ce domaine.

Rentrons dans le vif du sujet. Comment vérifier les vulnérabilités des plugins WordPress ? Avant de commencer à analyser votre site, vous devez savoir ce qu’est une vulnérabilité.

Qu’est-ce qu’une vulnérabilité de WordPress ?

Une vulnérabilité est une faiblesse. En langage informatique, il s’agit d’une faiblesse dans un logiciel, une faiblesse qui peut être exploitée.

Une personne malveillante peut l’utiliser pour obtenir un accès non autorisé à un système informatique. Si vous installez un plugin WordPress présentant une vulnérabilité, les attaquants peuvent l’utiliser pour accéder à votre tableau de bord, extraire des données de votre liste de diffusion et, si vous gérez un magasin de commerce électronique, s’emparer d’un maximum de données sur vos clients.

L’installation d’un plugin WordPress vulnérable semble assez grave, n’est-ce pas ?

C’est comme ingérer volontairement un parasite. Seulement ce parasite particulier est équipé de capacités de communication en réseau. Et il utilise ces capacités pour inviter d’autres parasites à piller votre site WordPress.

Comment vérifier les vulnérabilités des plugins de WordPress ?

Pour fortifier votre installation WordPress, vous devez stopper toute tentative d’un pirate de prendre pied sur votre site. 

Le noyau de WordPress étant l’un des plus sûrs de l’écosystème des systèmes de gestion de contenu, il vous suffit de vous arrêter et de faire quelques vérifications avant d’installer le prochain plugin. Alors, comment faire ?

1. Vérifier si le plugin est répertorié dans les bases de données de vulnérabilité en ligne

Avant d’installer un plugin sur un site WordPress, la première chose à faire est de vérifier les bases de données de vulnérabilité pertinentes. La base de données de vulnérabilités WPScan, la base de données nationale de vulnérabilités et Exploit-DB sont de bons points de départ.

Rendez-vous sur ces sites Web, tapez le nom du plugin, cliquez sur rechercher, et vous obtiendrez une liste de vulnérabilités potentielles.

exploit database

Exploit Database montre que le plugin AAWP version 3.16 présente des vulnérabilités de type cross-site scripting XSS.

Si votre plugin figure dans ces bases de données, consultez sa page d’accueil pour voir si les développeurs ont mis à jour ou corrigé la vulnérabilité. 

S’ils l’ont fait, assurez-vous de télécharger la version mise à jour du plugin avant de l’installer sur votre site Web WordPress. S’ils ne l’ont pas fait, désactivez immédiatement le plugin s’il est déjà installé.

2. Analysez les vulnérabilités des plugins installés

Si vous avez déjà installé quelques plugins sans vérifier s’ils sont vulnérables, vous devez revenir en arrière et les analyser en utilisant un scanner de sécurité WordPress.

Les logiciels scanners de sécurité fonctionnent à peu près comme les scanners que vous trouvez dans les aéroports. S’ils détectent un problème avec un plugin, ils vous en informent. Ils utilisent une base de données existante de toutes les vulnérabilités connues pour vérifier que le code de votre site ne contient pas ces scripts.

Il existe de nombreux scanners de sécurité WordPress, mais le plus populaire est sans doute le plugin WPScan.

WPScan n’est pas un plugin WordPress classique. Lorsque vous l’installez, WPScan commence par vérifier si d’autres plugins sur le site sont vulnérables à des attaques connues. Il vérifie également si les utilisateurs du site ont des mots de passe faibles, si les mots de passe peuvent être forcés par brute, et d’autres éléments divers tels que vos répertoires WP, thèmes, répertoires personnalisés et paramètres de configuration.

Il fait tout cela sans avoir besoin de permissions étendues. Cela signifie que même si un pirate s’infiltre dans votre installation WPScan, il ne peut rien faire car il est presque impossible de passer de WPScan à une exploitation complète du site.

3. N'installez pas de plugins abandonnés ou craqués ! Ne téléchargez jamais de plugins laissés à l'abandon par leur développeur ou de versions piratées de plugins premium. Évitez un conseil les plugins n'ayant pas reçu de mise à jour ou d'avis utilisateurs depuis 2 ans et plus ! Les versions piratées des plugins premium ont généralement leur code modifié pour supprimer les exigences de licence des auteurs sans payer. Il n'est pas exagéré de penser que le pirate qui a effectué la modification a ajouté un élément supplémentaire qui lui permet d'accéder à tout site WordPress utilisant le plugin piraté. Utilisez un outil pour scanner votre fichier pour vérifier si les fichiers du plugin que vous venez de télécharger font partie d'une version piratée du plugin. S'il trouve des fichiers similaires, alors le plugin a très probablement des problèmes de sécurité. 4. Téléchargez toujours des plugins depuis des sites réputés Il s'agit plus d'une précaution que d'une contre-mesure, mais c'est votre meilleure chance d'éviter les plugins WordPress vulnérables. Rendez-vous sur le dépôt officiel de WordPress chaque fois que vous voulez télécharger un plugin. L'équipe derrière ce site vérifie chaque plugin avant qu'il ne soit mis à la disposition du public. Il est extrêmement improbable de télécharger un plugin WP vulnérable à partir du dépôt officiel. Si vous ne pouvez pas dire si un plugin est vulnérable ou non sur le site officiel du dépôt WP, rendez-vous sur la page officielle du plugin et essayez de repérer les signaux d'alarme. Vérifiez également si le développeur du plugin a une bonne réputation et jetez un coup d'œil à ses CGU et à sa politique de confidentialité. Si tout est en ordre, que le plugin a été récemment mis à jour et qu'il bénéficie d'un support actif, allez-y. Si tout ce qui concerne le plugin est obsolète, commencez à chercher une alternative. En conclusion En suivant ces étapes simples, vous n'aurez jamais à vous soucier de l'installation de plugins vulnérables. Vous n'aurez plus à craindre que des inconnus accèdent aux données de votre site Web et les vendent à qui sait où sur le dark web. Si vous venez de découvrir qu'un de vos plugins est vulnérable, la première étape consiste à le désactiver et à le supprimer de votre site, mais si votre site est déjà infecté, cela ne résoudra peut-être pas le problème. Le plugin a peut-être déjà permis à de nombreux logiciels malveillants de pénétrer sur votre site.

3. N’installez pas de plugins abandonnés ou craqués !

Ne téléchargez jamais de plugins laissés à l’abandon par leur développeur ou de versions piratées de plugins premium.

Évitez un conseil les plugins n’ayant pas reçu de mise à jour ou d’avis utilisateurs depuis 2 ans et plus !

Les versions piratées des plugins premium ont généralement leur code modifié pour supprimer les exigences de licence des auteurs sans payer. Il n’est pas exagéré de penser que le pirate qui a effectué la modification a ajouté un élément supplémentaire qui lui permet d’accéder à tout site WordPress utilisant le plugin piraté.

Utilisez un outil pour scanner votre fichier pour vérifier si les fichiers du plugin que vous venez de télécharger font partie d’une version piratée du plugin. S’il trouve des fichiers similaires, alors le plugin a très probablement des problèmes de sécurité.

4. Téléchargez toujours des plugins depuis des sites réputés

Il s’agit plus d’une précaution que d’une contre-mesure, mais c’est votre meilleure chance d’éviter les plugins WordPress vulnérables. 

Rendez-vous sur le dépôt officiel de WordPress chaque fois que vous voulez télécharger un plugin. L’équipe derrière ce site vérifie chaque plugin avant qu’il ne soit mis à la disposition du public. Il est extrêmement improbable de télécharger un plugin WP vulnérable à partir du dépôt officiel.

Si vous ne pouvez pas dire si un plugin est vulnérable ou non sur le site officiel du dépôt WP, rendez-vous sur la page officielle du plugin et essayez de repérer les signaux d’alarme. Vérifiez également si le développeur du plugin a une bonne réputation et jetez un coup d’œil à ses CGU et à sa politique de confidentialité. 

Si tout est en ordre, que le plugin a été récemment mis à jour et qu’il bénéficie d’un support actif, allez-y. Si tout ce qui concerne le plugin est obsolète, commencez à chercher une alternative.

En conclusion

En suivant ces étapes simples, vous n’aurez jamais à vous soucier de l’installation de plugins vulnérables. Vous n’aurez plus à craindre que des inconnus accèdent aux données de votre site Web et les vendent à qui sait où sur le dark web.

Si vous venez de découvrir qu’un de vos plugins est vulnérable, la première étape consiste à le désactiver et à le supprimer de votre site, mais si votre site est déjà infecté, cela ne résoudra peut-être pas le problème. Le plugin a peut-être déjà permis à de nombreux logiciels malveillants de pénétrer sur votre site.

Certains des meilleurs hébergeurs pour WordPress listés sur cette page proposent des solutions de sécurité permettant de scanner facilement votre environnement d’hébergement et offrent même des alertes concernant les plugins compromis !

Actu WordPress
opportunites-digitales.com
Logo
Compare items
  • VPN (0)
Compare