WPScan est un logiciel très puissant, permettant de déceler les failles de sécurité de votre site WordPress.
Ce guide n’a pas pour vocation de faire de ses lecteurs des hackers chevronnés du type black hats, bien au contraire. L’idée est de se positionner du coté des white hats. C’est pourquoi, la fonction brut force de WPScan ne sera pas décrite dans ce guide.
Dans ce guide consacré à WPScan, il sera abordé les thèmes suivants: l’installation sur les systèmes Unix, l’analyse des failles de sécurité des thèmes et des plugins WordPress ainsi que quelques conseils pour combler ces failles.
Installer WPScan
Il faut savoir que WPScan fonctionne exclusivement sur les systèmes Linux et Mac OS X. Par conséquent aucun fichier d’installation n’est prévu pour Windows.
Codé en Ruby, WPScan nécessite l’installation de certains logiciels qui varie entre Linux et Mac OS.
1 – Pous Linux :
- Ruby >= 1.9.2 – Recommended: 2.2.0
- Curl >= 7.21 – Recommended: latest – FYI the 7.29 has a segfault
- RubyGems – Recommended: latest
- Git
2 – Pous Mac OS X :
- Apple Xcode
- Command Line Tools
- libffi
Téléchargez, puis installez WPScan en suivant les instructions décrites sur le site officiel.
Pour ceux qui ne souhaitent pas installer WPScan sur leur système, il est possible de télécharger l’une des distributions Linux suivante:
WPScan y est déjà installé, et ces distributions Linux fonctionnent parfaitement en live CD/USB.
Une fois l’installation terminée, il faut tout d’abord mettre à jour la base de données de WPScan afin que le logiciel puisse effectuer ses analyses avec les dernières failles de sécurité connues.
Pour cela ouvrez votre terminal en tant que root et taper la ligne de code suivante:
[bash]# wpscan –update
[/bash]Utiliser WPScan
Pour commencer, lancez une simple analyse de votre site à l’aide de la commande suivante:
[bash]# wpscan -u www.votre_site.com
[/bash]Dans la liste qui s’affiche, doit apparaitre des informations telles que: la version de WordPress, les thèmes installés, les plugins installés précédé des pictogrammes suivants:
La plupart des failles détectées ici peuvent être comblées en effectuant des mises à jour ou bien en supprimant certains fichiers tels que les readme.
Une fois tous les pictogrammes [+] au vert, taper la ligne de code suivante pour faire une analyse plus poussée:
[bash]# wpscan -u www.votre_site.com -e
[/bash]Plus poussive, cette analyse est bien plus longue que la précédente. De plus lors de la un nouveau pictogramme apparaît [ i ]. Précédé du pictogramme [!], il indique que la faille détectée a été corrigée dans une version plus récente du plugin.
Le mot de la fin
Pour plus d’informations sur WordPress est la sécurité, un article intitulé Sécuriser WordPress dès l’installation est disponible sur ce site. En effet certaines failles peuvent être corrigées dès l’installation. Elle concerne notamment la base de données SQL. Ces failles ne sont pas analysées par WPScan.
De plus, même si l’utilisation de la fonction brut force de WPScan n’est pas expliqué ici, il n’est pas hors de propos de regarder la liste de plugins réputés sûrs pour empêcher cela.
