C’est un coup de chance pour les malfaiteurs sur internet s’ils trouvent un moyen de nuire aux sites web WordPress. Avec un seul tour dans leur manche, ils peuvent s’en prendre à près de 30% des sites web sur internet. C’est l’inconvénient de WordPress, le CMS le plus populaire. En tant que propriétaires de sites Web, de notre côté, nous devons être proactifs et revoir/mettre à jour régulièrement les mesures de sécurité pour être à l’abri des pirates. Une étape importante et facile à mettre en œuvre dans votre liste de contrôle de sécurité consiste à analyser WordPress pour détecter les vulnérabilités.
Pourquoi vous devriez analyser WordPress pour détecter les vulnérabilités
- Votre site Web WordPress peut être le dépositaire d’informations personnelles sensibles soumises par les utilisateurs. Ils vous font confiance pour éviter que ces informations ne tombent entre des mains indésirables.
- D’autres peuvent placer des backlinks, des redirections, des publicités ou des bannières de sites web qu’ils veulent promouvoir sur votre site.
- Les utilisateurs ayant un accès non autorisé à votre site web peuvent manger votre bande passante, même sans que vous le sachiez.
- Tant qu’il n’est pas détecté, un logiciel malveillant peut se cacher dans votre site web et recueillir des informations. Il peut envoyer des e-mails de spam à d’autres personnes en les infectant également dans le processus. Cela peut amener Google et d’autres services de sécurité comme AVG ou Norton à mettre votre site sur liste noire. Encore une fois, il se peut que vous ne le sachiez même pas.
- Des scans réguliers peuvent attraper certaines menaces de sécurité à un stade précoce et empêcher votre site d’être piraté.
Moyens de scanner WordPress
Réaliser un scan de base pour les vulnérabilités de votre site WordPress n’est ni difficile ni coûteux. Mais comme plus de choses dans la vie, vous avez des options. Lorsqu’il s’agit de scanner WordPress à la recherche de vulnérabilités, il existe deux méthodes principales.
Les scanners à distance sont des outils qui peuvent effectuer un scan préliminaire et révéler un certain nombre de failles de sécurité. Ils constituent une sorte de vérification rapide dans votre régime de sécurité. La plupart des scanners fonctionnent généralement de la même manière : il suffit d’entrer l’URL de votre site web sur leur page web. Votre site, tel qu’il apparaît dans le navigateur, sera analysé en quelques instants et un rapport sera généré. De nombreuses vulnérabilités peuvent apparaître dans ce rapport. Certains outils suggèrent également des mesures correctives que vous pouvez mettre en œuvre. Certains scanners à distance sont conçus spécifiquement pour analyser les sites WordPress, tandis que d’autres incluent une analyse WordPress dans leur liste de fonctionnalités.
Au contraire, lorsque vous installez un plugin, il accède au serveur dans l’environnement d’hébergement où il réside et effectue une analyse beaucoup plus profonde. Un plugin offre des options de configuration de règles d’analyse, d’automatisation et d’analyses complètes qui plongent dans votre base de données pour assurer la sécurité.
La différence importante entre les deux est qu’un scanner à distance ne regarde que la version finale rendue de votre site Web, telle qu’elle apparaît sur votre navigateur (un peu comme un bot de moteur de recherche). Contrairement aux plugins, un scanner à distance ne peut pas regarder dans votre serveur, et donc tout élément malveillant sur votre serveur pourrait rester indétecté.
Il existe de nombreux scanners à distance et plugins gratuits disponibles qui peuvent passer au crible votre site Web à la recherche de logiciels malveillants – examinons certains des meilleurs.
MalCare
Premier sur notre liste est MalCare, qui offre une analyse gratuite basée sur le cloud via leur plugin gratuit. Ce scanner de site WordPress de haute technologie examine tous vos fichiers et toute votre base de données pour trouver même les logiciels malveillants les plus complexes. Et le meilleur de tous, parce qu’il utilise les propres serveurs cloud de MalCare pour analyser les vulnérabilités, il ne ralentira pas votre site.
MalCare offre également des plans premium avec encore plus d’options pour la détection précoce, l’analyse automatisée & la suppression des logiciels malveillants, s, le blocage d’IP, les paramètres WordPress recommandés (désactiver l’éditeur de fichiers, la protection du dossier des téléchargements, les clés de sécurité, etc), les plugins interdits, plus encore. Et selon vos besoins, ils offrent même une solution en marque blanche avec des rapports personnalisés pour vos clients.
Sucuri SiteCheck
Sucuri est un nom bien connu dans la sécurité des sites Web et compile des rapports de vulnérabilité réguliers et complets. Le SiteCheck analysera tous les sites Web, y compris les sites WordPress, et révélera les logiciels malveillants connus, les logiciels obsolètes et les erreurs de site Web. Vous connaîtrez également votre statut de liste noire auprès de services comme Google, AVG Antivirus, McAfee et Norton.
Le scanner compare toutes vos pages avec la base de données Sucuri et signale toute anomalie. Le rapport recommande également la façon dont vous devriez traiter ces anomalies.
WP Sec Scan
Si vous recherchez un scanner spécifique à WordPress, WP Sec fera l’affaire. Sur leur page Web, vous avez le choix – soumettre l’URL de votre site Web pour un scan ou vous inscrire à leur compte gratuit / premium.
Un compte gratuit vous donne droit à un scan hebdomadaire automatique. Si vous gérez plusieurs sites WordPress, vous pouvez suivre la sécurité de tous les sites à partir d’un seul tableau de bord. Vous recevrez également des alertes par e-mail si un bug est trouvé ou si votre installation WordPress doit être mise à jour.
Un rapport de base peut lister certaines failles de sécurité ainsi que vous indiquer comment procéder pour y remédier. Vous pouvez également accéder à un enregistrement de vos rapports de scan pour une référence future. WPScans maintient une vaste base de données des derniers bugs et menaces de sécurité, ce qui signifie que les menaces les plus courantes peuvent être détectées avec ce scanner.
WordPress Security Scan
WordPress Security Scan offre également deux options – une version de base gratuite et une version avancée premium. Il effectue des contrôles en appelant un certain nombre de pages via des requêtes web régulières et analyse la source HTML correspondante. Un scan révélera les failles de sécurité évidentes de WordPress et recommandera des améliorations liées à la sécurité dans la configuration qui peuvent renforcer la protection contre les attaques futures.
Le scan gratuit vérifie la version de WordPress, la réputation de l’hôte, la géolocalisation et la réputation du site à partir de Google. Il vérifie également les liens externes, la liste des plugins et l’indexation du répertoire sur les plugins. Il répertorie les iframes présentes et le Javascript lié, qui peuvent tous deux être utilisés pour diffuser un code malveillant. Vous pouvez alors examiner tout script qui ne vous semble pas familier.
Guide du premier site
Le scanner Guide du premier site fonctionne à peu près de la même manière que les autres scanners – entrez l’URL de votre site et appuyez sur le bouton Scan. Il teste si les informations sur la version de WordPress, les noms d’utilisateurs ou les tentatives de connexion échouées sont détectables.
Il vérifie également si le fichier readme.html, les fichiers install.php et upgrade.php sont accessibles via HTTP et si le dossier uploads est parcourable. Mais pour une analyse vraiment significative qui couvre plus de 40 tests, ils vous conseillent d’installer Security Ninja.
Wordfence
Wordfence est un plugin de sécurité complet qui analyse tout ce qui est lié à WordPress sur votre site Web, y compris le code source et les fichiers d’image. Si vous activez l’option, il analysera également les fichiers non liés à WordPress. Leur flux de défense contre les menaces est constamment mis à jour et le flux est utilisé par les scanners pour identifier les logiciels suspects.
Un scan recherche plus de 44 000 logiciels malveillants et portes dérobées connus, ainsi que des URL de phishing dans tous vos commentaires, messages et fichiers. Non seulement cela, il analyse les fichiers de base, les thèmes et les plugins et les compare avec les fichiers du dépôt WordPress.
Virus Total Scanner
Au lieu de faire passer l’URL de votre site par plusieurs scanners, vous pouvez la soumettre sur Virus Total, une filiale de Google. Il fait le travail d’agréger les résultats d’un scan de plusieurs scanners comme Avira, Comodo, Sucuri et Qettera.
L’avantage dans une telle méthode est que vous pouvez détecter plus facilement les faux positifs des scanners. Vous saurez si une ressource inoffensive est classée à tort comme un logiciel malveillant lorsque l’URL est soumise à plusieurs scanners. Cet outil n’est pas spécifique à WordPress, et tous les types de sites Web peuvent utiliser l’analyseur. Virus Total n’est pas un outil complet de test de virus, mais un agrégateur de résultats de scan de différents scanners.
Les fichiers et URL soumis à Virus Total seront partagés avec des sociétés de sécurité pour leur utilisation dans l’amélioration de la sécurité globale du web.
Quttera
Bien que Quttera offre un scan en ligne en un clic, il embarque également un scanner spécifique à WordPress, qui nécessite que vous téléchargiez leur plugin sur votre site Web WordPress.
Le plugin scrute votre site à la recherche de scripts suspects, de médias malveillants et de menaces cachées et vous fait savoir si vous êtes sur une liste noire. Les serveurs distants de Quttera analysent les données. À l’issue de l’analyse, vous recevez un rapport d’enquête détaillé, qui recommande des mesures correctives. Ces rapports sont classés comme propres, potentiellement suspects, suspects et malveillants et sont accessibles au public pour consultation.
Ces scanners et plugins en ligne gratuits font un travail de base pour révéler les logiciels malveillants et les vulnérabilités. Pour une analyse plus approfondie et des recommandations ponctuelles pour réduire les vulnérabilités, vous devrez vous pencher sur leurs plans premium. Ces plans regroupent des services tels que la surveillance, le nettoyage et l’assistance pratique en cas de menaces. Et, comme je l’ai mentionné au début, l’analyse de votre site Web n’est que la première étape de la sécurité de WordPress.