Utiliser le plugin WPScan pour trouver les vulnérabilités de votre site WordPress

Publié: 2021-09-15

Veiller à la sécurité de votre site Web WordPress implique de nombreuses tâches différentes. L'une des tâches consiste à s'assurer que les plugins, les thèmes et la version de WordPress que vous utilisez sur votre site Web ne présentent aucune vulnérabilité connue. Heureusement, cette tâche peut être automatisée avec WPScan, un plugin WordPress gratuit.

Le plug-in WPScan peut déterminer si le logiciel que vous utilisez présente des vulnérabilités en effectuant des analyses régulières. Il vérifie les résultats par rapport à une base de données dédiée à jour des vulnérabilités et vous informe s'il existe des vulnérabilités sur votre site Web, telles que l'injection SQL. Si vous ne savez pas ce qu'est SQL Injection, vous pouvez lire notre glossaire de la terminologie et des mots de sécurité WordPress, qui vous fournit des explications concises pour vous aider à rester au top de votre forme.

Cet article explique comment vous pouvez installer et configurer le plugin WPScan pour analyser votre site Web WordPress à la recherche de vulnérabilités. Avant cela, il souligne pourquoi WPScan peut être vital pour la sécurité de votre site Web.

Présentation de WPScan

Tout d'abord, expliquons ce qu'est WPScan. WPScan est un scanner de vulnérabilités WordPress qui peut analyser votre noyau WordPress, vos thèmes et vos plugins à la recherche de vulnérabilités et de problèmes de sécurité connus.

Il est disponible en tant que logiciel open source, en tant que plugin WordPress et en tant que service en ligne payant. Notez que cet article se concentre sur la configuration et l'utilisation du plugin gratuit WPScan WordPress. Pour en savoir plus sur le scanner open source, lisez Premiers pas avec le scanner WPScan.

Plug-in WPScan

Comment fonctionne le plug-in WPScan ?

Une fois que le plugin détecte les plugins, les thèmes et la version de base de WordPress que vous utilisez sur votre site Web, il vérifie si l'un des logiciels que vous utilisez présente des vulnérabilités. Il vérifie cela en envoyant des requêtes à une base de données de vulnérabilités, qui est maintenue par l'équipe WPScan.

Cette base de données contient des milliers de vulnérabilités WordPress connues. Avant qu'une vulnérabilité ne soit ajoutée à la base de données, elle est vérifiée par un expert. Cela signifie que chaque entrée est sourcée, vérifiée et ajoutée à la base de données par des yeux humains.

De plus, il existe un cycle constant pour trouver de nouvelles vulnérabilités pour la base de données. Par exemple, en mai 2021, plus de 70 nouvelles vulnérabilités se sont retrouvées dans la base de données.

Base de données WPScan des vulnérabilités connues de WordPress

Une fois l'analyse du site Web terminée, vous recevez des notifications par e-mail du résultat de l'analyse. Vous pouvez également recevoir des rapports PDF et les télécharger pour les partager avec votre équipe.

Le plugin gratuit WPScan est suffisant pour analyser le site Web moyen tous les jours. Cependant, si vous devez analyser plusieurs sites Web plusieurs fois par jour, vous avez besoin d'un plan WPScan premium. Rendez-vous sur le site Web de WPScan pour plus d'informations sur les prix et les forfaits.

Comment WPScan vous aide à protéger votre site Web

WPScan vous aide en automatisant le processus d'identification des logiciels vulnérables sur votre site Web. Vous pouvez configurer le plug-in pour exécuter des analyses quotidiennes ou même horaires, et pour vous envoyer une notification par e-mail avec les résultats de l'analyse une fois qu'il a identifié des problèmes.

C'est une chose de moins dont vous devez vous soucier dans votre programme de sécurité WordPress, ce qui vous laisse plus de temps pour vous concentrer sur votre entreprise.

Les avantages d'utiliser le plugin WordPress WPScan

À présent, vous savez ce que WPScan peut faire pour votre site. Voici quelques avantages de l'exécution du plug-in WPScan sur votre site Web :

  • L'équipe WPScan fait partie intégrante de la communauté de sécurité WordPress, les chercheurs en sécurité choisissent donc de soumettre les vulnérabilités à leur base de données. Cela permet de maintenir la liste à jour, ce qui signifie que votre site Web sera toujours vérifié pour les dernières menaces connues.
  • La base de données de vulnérabilité WPScn elle-même est d'une immense valeur. À ce jour, il compte plus de 20 000 entrées, toutes vérifiées et ajoutées par une équipe d'experts. Il n'y a pas d'autre collection de vulnérabilités WordPress comme celle-ci disponible nulle part ailleurs.
  • Vous serez le premier à être informé d'une vulnérabilité du cœur, d'un plugin ou d'un thème WordPress. Dans de nombreux cas, vous et WPScan battez les utilisateurs malveillants au poing. En d'autres termes, vous protégez votre site Web avant qu'une vulnérabilité ne soit exploitée dans la nature.

Bien sûr, vous pouvez également recevoir une notification s'il y a un problème qui nécessite votre attention. Cependant, vous pouvez également utiliser la base de données pour vérifier les vulnérabilités des plugins que vous souhaitez également installer.

C'est inestimable, car vous pouvez protéger votre site de manière proactive. De plus, vous pouvez empêcher une vulnérabilité d'affecter votre site de la meilleure façon possible - gardez le thème ou le plugin à portée de main jusqu'à ce que vous sachiez qu'il est sûr à utiliser.

Vous disposez également d'un moyen flexible pour afficher la base de données et effectuer une analyse. Le plugin WordPress offre la manière la plus accessible de travailler.

Premiers pas avec le plug-in WPScan

En un mot, le plugin WordPress de WPScan est une sorte de "wrapper" de base pour la base de données de vulnérabilités. Même ainsi, nous vous recommandons de l'utiliser en raison de l'expérience qu'il offre.

Logo WPScan

Étape 1 : Installez le plug-in

Le processus d'installation est le même que pour tous les autres plugins WordPress gratuits. Accédez à la page Plugins de votre WordPress, recherchez la base de données WPScan et cliquez sur Installer . Une fois le plugin installé, activez-le.

Une fois activé, vous verrez une notification pour récupérer un jeton API :

Installation du plug-in WPScan

Ceci est nécessaire pour que le plugin envoie des requêtes API à la base de données de vulnérabilités. Vous pouvez envoyer gratuitement jusqu'à 25 requêtes API par jour. Pour la majorité des sites Web, cela suffit, étant donné qu'un site Web moyen compte environ 20 plugins.

Étape 2 : Obtenez votre jeton d'API

Pour obtenir votre jeton API, cliquez sur le lien fourni dans la notification ou rendez-vous sur le site Web de WPScan et cliquez sur Obtenir votre jeton API gratuit .

Obtenir votre jeton API

Une fois que vous aurez soumis le formulaire, vous devrez confirmer via votre adresse e-mail, puis vous connecter à votre compte. Une fois connecté, le tableau de bord WPScan affichera votre jeton API comme première information :

Confirmation de votre jeton API par e-mail

Étape 3 : Activer la clé API

Revenez à la page des paramètres de votre plug-in WPScan dans WordPress et collez le jeton API dans le champ correspondant :

Activation de la clé API

Étape 4 : Définissez vos paramètres d'analyse automatisée

Pendant que vous êtes dans les paramètres, vous pouvez configurer la fréquence des analyses et la durée de leur exécution :

Définition des paramètres d'analyse automatique

Vous pouvez définir une analyse pour chaque jour, deux fois par jour ou à l'heure. Avec la clé API gratuite, vous ne pouvez exécuter qu'une analyse par jour, ce qui est suffisant pour commencer.

À partir des paramètres, vous pouvez également désactiver les contrôles de sécurité et exclure des plugins ou des thèmes de l'analyse des vulnérabilités, ce qui n'est pas recommandé.

C'est tout. Enregistrez les paramètres et l'analyse des vulnérabilités s'exécutera au moment prévu.

Les résultats de l'analyse de vulnérabilité du site Web WordPress

L'écran Rapports vous donne un aperçu de ce que le plugin a identifié sur votre site Web et des problèmes qu'il pourrait y avoir. Par exemple, vous pouvez voir votre version actuelle de WordPress, et tous les plugins et thèmes que vous avez installés :

Rapports WPScan

C'est ici que vous pourrez voir toutes les vulnérabilités qu'une analyse trouve sur votre site. Si vous consultez le coin supérieur de l'écran, vous verrez le bouton Exécuter tout. Cela effectue une analyse complète de votre site Web :

Effectuer une analyse complète de votre site Web

Si vous souhaitez recevoir une notification par e-mail, vous pouvez le faire via la méta-boîte Notification sur le côté droit :

Configuration des notifications par e-mail

Il existe également de nombreuses autres vérifications que vous pouvez effectuer sur votre site. En fait, il existe une liste pratique qui vous permet de les exécuter individuellement :

Contrôles de sécurité WPScan

Lorsque vous êtes prêt, vous pouvez également télécharger un rapport PDF ici. C'est bon à partager avec votre équipe ou vos clients, soit comme preuve de sécurité, soit comme plan d'action sur la façon d'améliorer un site.

Exécutez un site Web WordPress sans vulnérabilité

Chaque action que vous pouvez entreprendre pour sécuriser votre site Web WordPress est vitale. Que votre site lui-même ou vos utilisateurs soient à risque, il est important de saisir toutes les occasions d'exécuter la version la plus sécurisée possible du logiciel que vous utilisez.

L'une des meilleures façons d'y parvenir est d'utiliser le plug-in WPScan, un plug-in d'analyse des vulnérabilités complet qui peut être configuré en quelques minutes et effectue des analyses automatisées. Vous avez donc une chose de moins à vous soucier.