C’est un coup de chance pour les malfaiteurs sur Internet s’ils peuvent trouver un moyen de nuire aux sites Web WordPress. Avec un seul tour dans leur sac, ils peuvent s’attaquer à près de 30% des sites Web sur Internet. C’est l’inconvénient de WordPress étant le CMS le plus populaire. En tant que propriétaires de sites Web, nous devons être proactifs et revoir/mettre à jour régulièrement les mesures de sécurité pour être à l’abri des pirates. Une étape importante et facile à mettre en œuvre dans votre liste de contrôle de sécurité consiste à analyser WordPress à la recherche de vulnérabilités.
Pourquoi devriez-vous analyser WordPress pour les vulnérabilités
- Votre site Web WordPress peut être le référentiel d’informations personnelles sensibles soumises par les utilisateurs. Ils vous font confiance pour éviter que ces informations ne tombent entre des mains indésirables.
- D’autres peuvent placer des backlinks, des redirections, des publicités ou des bannières de sites Web qu’ils souhaitent promouvoir sur votre site.
- Les utilisateurs ayant un accès non autorisé à votre site Web peuvent consommer votre bande passante, même sans que vous le sachiez.
- Tant qu’ils ne sont pas détectés, les logiciels malveillants peuvent se cacher sur votre site Web et recueillir des informations. Il peut envoyer des spams à d’autres personnes, les infectant également au cours du processus. Cela peut conduire Google et d’autres services de sécurité comme AVG ou Norton à mettre votre site sur liste noire. Encore une fois, vous ne le savez peut-être même pas.
- Des analyses régulières peuvent détecter rapidement certaines menaces de sécurité et empêcher le piratage de votre site.
Façons de numériser WordPress
Effectuer une analyse de base des vulnérabilités de votre site Web WordPress n’est ni difficile ni coûteux. Mais comme pour d’autres choses dans la vie, vous avez des options. Lorsqu’il s’agit d’analyser WordPress à la recherche de vulnérabilités, il existe deux méthodes principales.
Scanners à distance sont des outils qui peuvent faire une analyse préliminaire et révéler un certain nombre de failles de sécurité. Ils constituent une sorte de vérification rapide de votre régime de sécurité. La plupart des scanners fonctionnent généralement de la même manière : entrez simplement l’URL de votre site Web sur leur page Web. Votre site, tel que visible dans le navigateur, sera scanné en quelques instants et un rapport sera généré. De nombreuses vulnérabilités peuvent apparaître dans le rapport. Certains outils vous proposeront également des actions correctives que vous pourrez effectuer. Certains scanners à distance sont conçus spécifiquement pour analyser les sites WordPress, tandis que d’autres incluent une analyse WordPress dans leur liste de fonctionnalités.
Au contraire, quand vous installer un plugin, il accède au serveur dans l’environnement d’hébergement dans lequel il réside et effectue une analyse beaucoup plus approfondie. Un plugin offre des options pour configurer des règles d’analyse, des automatisations et des analyses complètes qui plongent dans votre base de données pour assurer la sécurité.
La différence importante entre les deux est qu’un scanner à distance ne regarde que la version finale rendue de votre site Web, telle qu’elle apparaît sur votre navigateur (un peu comme un bot de moteur de recherche). Contrairement aux plugins, une analyse à distance ne peut pas examiner votre serveur, et donc tout élément malveillant sur votre serveur pourrait rester non détecté.
Il existe de nombreux scanners à distance gratuits et des plugins gratuits disponibles qui peuvent filtrer votre site Web à la recherche de logiciels malveillants – examinons certains des meilleurs.
1. MalCare
Le premier sur notre liste est MalCare, qui propose une analyse gratuite basée sur le cloud via leur plugin gratuit. Ce scanner de site WordPress de haute technologie examine tous vos fichiers et l’ensemble de votre base de données pour trouver même les logiciels malveillants les plus complexes. Et le meilleur de tous, parce qu’il utilise les propres serveurs cloud de MalCare pour rechercher les vulnérabilités, il ne ralentira pas votre site.
MalCare propose également des plans premium avec encore plus d’options pour la détection précoce, l’analyse et la suppression automatisées des logiciels malveillants, les CAPTCHA, le blocage IP, les paramètres WordPress recommandés (désactiver l’éditeur de fichiers, la protection des dossiers de téléchargement, les clés de sécurité, etc.), les plugins non autorisés, et plus encore. Et selon vos besoins, ils proposent même une solution en marque blanche avec des rapports personnalisés pour vos clients.
2. Sucuri SiteCheck
Sucuri est un nom bien connu dans le domaine de la sécurité des sites Web et compile des rapports de vulnérabilité réguliers et complets. Les Vérification du site analysera tous les sites Web, y compris les sites Web WordPress et révélera les logiciels malveillants connus, les logiciels obsolètes et les erreurs de site Web. Vous connaîtrez également l’état de votre liste noire avec des services tels que Google, AVG Antivirus, McAfee et Norton.
Le scanner compare toutes vos pages avec la base de données Sucuri et signale toute anomalie. Le rapport recommande également la manière dont vous devez gérer ces anomalies.
3. Analyse WP Sec
Si vous recherchez un scanner spécifique à WordPress, WP Sec fera l’affaire. Sur leur page Web, vous avez le choix – soumettez l’URL de votre site Web pour une analyse ou inscrivez-vous pour leur compte gratuit / premium.
Un compte gratuit vous donne droit à une analyse hebdomadaire automatique. Si vous gérez plusieurs sites Web WordPress, vous pouvez suivre la sécurité de tous les sites à partir d’un seul tableau de bord. Vous recevrez également des alertes par e-mail si un bug est détecté ou si votre installation WordPress doit être mise à jour.
Un rapport de base peut répertorier certaines failles de sécurité et vous indiquer comment procéder pour les corriger. Vous pouvez également accéder à un enregistrement de vos rapports d’analyse pour référence future. WPScans maintient une vaste base de données des derniers bogues et menaces de sécurité, ce qui signifie que les menaces les plus courantes peuvent être détectées avec ce scanner.
4. Analyse de sécurité WordPress
Analyse de sécurité WordPress propose également deux options – une version de base gratuite et une version avancée premium. Il effectue des contrôles en appelant un certain nombre de pages via des requêtes web régulières et analyse la source HTML correspondante. Une analyse révélera les failles de sécurité évidentes de WordPress et recommandera des améliorations de la configuration liées à la sécurité qui peuvent renforcer la protection contre les attaques futures.
L’analyse gratuite vérifie la version de WordPress, la réputation de l’hôte, la géolocalisation et la réputation du site de Google. Il vérifie également les liens externes, la liste des plugins et l’indexation des répertoires sur les plugins. Il répertorie les iframes présents et le Javascript lié, qui peuvent tous deux être utilisés pour fournir du code malveillant. Vous pouvez ensuite consulter n’importe quel script qui ne vous semble pas familier.
5. Premier guide du site
Les Premier scanner du guide du site fonctionne à peu près de la même manière que les autres scanners – entrez l’URL de votre site et appuyez sur le bouton Scan. Il teste si les informations sur la version de WordPress, les noms d’utilisateur ou les tentatives de connexion infructueuses sont détectables.
Il vérifie également si le readme.html fichier, le install.php et le upgrade.php les fichiers sont accessibles via HTTP et si le dossier des téléchargements est navigable. Mais pour une analyse vraiment significative qui couvre plus de 40 tests, ils vous conseillent d’installer Ninja de sécurité.
6. Wordfence
Wordfence est un plugin de sécurité complet qui analyse tout ce qui concerne WordPress sur votre site Web, y compris le code source et les fichiers image. Si vous activez l’option, elle analysera également les fichiers non liés à WordPress. Leur flux Threat Defense est constamment mis à jour et le flux est utilisé par les scanners pour identifier les logiciels suspects.
Une analyse recherche plus de 44 000 logiciels malveillants et portes dérobées connus, ainsi que des URL de phishing dans tous vos commentaires, publications et fichiers. De plus, il analyse les fichiers principaux, les thèmes et les plugins et les compare aux fichiers du référentiel WordPress.
7. Scanner total de virus
Au lieu d’exécuter l’URL de votre site via plusieurs scanners, vous pouvez la soumettre sur Nombre total de virus, une filiale de Google. Il agrège les résultats d’une analyse à partir de plusieurs scanners comme Avira, Comodo, Sucuri et Qettera.
L’avantage d’une telle méthode est que vous pouvez détecter plus facilement les faux positifs des scanners. Vous saurez si une ressource inoffensive est classée à tort comme logiciel malveillant lorsque l’URL est exécutée par plusieurs scanners. Cet outil n’est pas spécifique à WordPress et toutes sortes de sites Web peuvent utiliser le scanner. Virus Total n’est pas un outil de test antivirus complet, mais un agrégateur de résultats d’analyse de différents scanners.
Les fichiers et les URL soumis à Virus Total seront partagés avec les sociétés de sécurité pour leur utilisation dans l’amélioration de la sécurité globale du Web.
8. Quttera
Bien que Quttera propose une analyse en ligne en un clic, il contient également un Scanner spécifique à WordPress, qui vous oblige à télécharger leur plugin sur votre site WordPress.
Le plugin parcourt votre site à la recherche de scripts suspects, de supports malveillants et de menaces cachées et vous permet de savoir si vous êtes sur une liste noire. Les serveurs distants de Quttera scannent les données. À la fin d’une analyse, vous recevrez un rapport d’enquête détaillé, qui recommandera des mesures correctives. Ces rapports sont classés comme propres, potentiellement suspects, suspects et malveillants et sont accessibles au public pour consultation.
Ces scanners et plugins en ligne gratuits font un travail de base pour révéler les logiciels malveillants et les vulnérabilités. Pour une analyse plus approfondie et des recommandations précises pour réduire les vulnérabilités, vous devrez examiner leurs plans premium. Ces plans regroupent des services tels que la surveillance, le nettoyage et l’assistance pratique face aux menaces. Et, comme je l’ai mentionné au début, l’analyse de votre site Web n’est que la première étape de la sécurité WordPress.