Entretien avec Ryan Dewhurst, fondateur de WPScan

Ryan Dewhurst est un hacker éthique et un testeur d'intrusion qui a consacré de nombreuses années à aider les membres de la communauté WordPress à améliorer la sécurité de leurs sites Web et à les protéger des attaques malveillantes.

Ryan est le fondateur de WPScan, un scanner de sécurité WordPress boîte noire gratuit écrit pour les professionnels de la sécurité et les mainteneurs de blogs afin de tester la sécurité de leurs sites. L'outil WPScan CLI utilise actuellement une base de données de 21 875 vulnérabilités WordPress.

1. Pour ceux qui ne vous connaissent pas, dites-nous ce que vous faites et un peu sur votre passé et vos références.

Je m'intéresse aux ordinateurs et à Internet depuis aussi longtemps que je me souvienne. J'avais l'habitude d'aller chez un voisin, la seule personne que je connaissais à posséder un ordinateur à l'époque, pour jouer au solitaire sur sa machine Windows 95. Il n'avait même pas accès à Internet, mais j'étais content d'interagir avec l'ordinateur.

Plus tard, à l'adolescence, j'ai persuadé ma mère de m'acheter mon propre ordinateur, et cette fois, avec un accès Internet ! La capacité d'interagir avec des gens du monde entier m'a époustouflé. Yahoo était grand à l'époque, et ils avaient un service appelé Yahoo! Chat, et dans ce service, ils avaient une salle de chat appelée "Hacker's Lounge". J'ai passé des nuits et des nuits dans cette salle de discussion à essayer d'en savoir plus sur ce dont tout le monde parlait, les chevaux de Troie, les RAT, les DoS, la programmation générale, etc.

Plus tard dans la vie, j'ai vu que l'université locale allait commencer à enseigner un diplôme de premier cycle en piratage éthique pour la sécurité informatique. J'avais quitté l'école à 15 ans pour commencer à travailler, donc je n'avais aucune qualification. Les exigences pour le cours étaient au moins trois qualifications, y compris les mathématiques et l'anglais de niveau GCSE, que je n'avais pas. J'ai donc immédiatement quitté mon emploi peu rémunéré et suivi un cours universitaire accéléré, qui était gratuit parce que je ne gagnais pas beaucoup d'argent, pour obtenir les qualifications requises. Même avec les qualifications, j'ai d'abord été refusé de rejoindre le cours, mais j'ai réussi à trouver l'adresse e-mail du professeur et à lui écrire une longue histoire sur la façon dont je pensais que ce cours était la seule chose que je voulais faire dans la vie. Et finalement, j'ai été accepté sur le cours! Après quatre ans, j'ai terminé le cours avec une mention très bien.

Après cela, j'ai obtenu un emploi dans une société de test d'intrusion en tant qu'ingénieur en sécurité des applications Web, où j'ai travaillé en testant de nombreuses entreprises britanniques de premier plan pour des problèmes de sécurité. J'ai quitté cet emploi pour créer ma propre entreprise de tests d'intrusion, et finalement WPScan, où je suis maintenant.

2. Vous êtes actif dans le secteur de la sécurité des applications Web depuis des années. Qu'est-ce qui vous a intéressé spécifiquement à WordPress ?

J'ai commencé à bloguer sur mes expériences et les choses que j'avais apprises sur la sécurité et j'ai utilisé WordPress comme plate-forme de blogs. Un jour, je suis tombé sur une faille de sécurité que quelqu'un d'autre avait publiée et qui affectait WordPress. Comme je travaillais dans la sécurité et que j'utilisais WordPress moi-même, j'ai écrit un exploit pour la vulnérabilité à tester sur mon propre site Web. J'ai ensuite commencé à explorer d'autres failles de sécurité qui affectaient WordPress et j'ai finalement mis toutes ces connaissances dans un outil que j'ai appelé WPScan.

3. De nombreux professionnels de la sécurité des applications Web méprisent WordPress. J'ai parlé à beaucoup qui disent qu'ils n'utiliseraient jamais WordPress, ou que la façon dont cela fonctionne est défectueuse (par exemple, un plugin a un accès complet à tous les crochets, etc.). Que pensez-vous de cela?

Comme WordPress est si largement utilisé sur le Web, c'est une cible juteuse pour les attaquants. Cela a conduit de nombreux chercheurs en sécurité et pirates informatiques à chapeau noir à se pencher sur WordPress alors qu'il n'en était encore qu'à ses balbutiements. Comme WordPress n'était pas aussi mature qu'il l'est aujourd'hui, de nombreux problèmes de sécurité ont été découverts. Mais aujourd'hui, relativement parlant, le cœur de WordPress est un système de gestion de contenu (CMS) très sécurisé. Le problème de nos jours réside dans ses plugins tiers. Il y en a tellement, ce qui attire les utilisateurs en premier lieu, mais chaque plug-in que vous installez présente également un risque supplémentaire pour votre site Web.

Mais cela s'améliore également, avec la création d'entreprises innovantes pour s'attaquer à ce problème, d'après mon expérience, au fil du temps, nous voyons les plugins WordPress devenir plus sécurisés. Tout simplement en raison du niveau de recherche et des entreprises qui se consacrent actuellement à ce domaine.

4. En ce qui concerne WPScan, il existe un scanner open source, le plug-in, la base de données des vulnérabilités, etc. Pouvez-vous expliquer comment ces projets sont connectés, lequel les utilisateurs doivent-ils utiliser et pourquoi ?

La base de données de vulnérabilité WPScan WordPress est ce qui relie tous nos services. Tous nos autres produits et services s'appuient sur la base de données, ce sont des clients qui consomment les données et les présentent d'une manière utile pour nos utilisateurs.

L'outil WPScan CLI a été notre premier produit, gratuit pour les utilisateurs non commerciaux, il analyse un site Web WordPress d'un point de vue extérieur pour donner une vue de pirate de votre site Web WordPress. Mais cet outil nécessite que les utilisateurs soient familiarisés avec l'utilisation d'une ligne de commande et peut parfois ne pas être simple à installer, selon le niveau technique de l'utilisateur. Cet outil est vraiment conçu pour les testeurs d'intrusion et les développeurs.

Notre plus récent ajout à notre famille de produits est notre plugin de sécurité WordPress WPScan, il est davantage conçu pour votre utilisateur WordPress quotidien. Vous installez simplement le plugin à partir du référentiel WordPress officiel, configurez votre jeton API, lancez des analyses et commencez à recevoir des notifications de sécurité. L'idée du plugin est de vous sensibiliser aux problèmes de sécurité avant que les pirates n'aient la possibilité de les exploiter.

5. Que faut-il pour maintenir une base de données de plugins WordPress, de thèmes et de vulnérabilités principales ? Comment êtes-vous informé des nouvelles émissions, comment est-il maintenu ?

Cela demande beaucoup de travail. Chaque vulnérabilité que nous entrons dans notre base de données est effectuée par l'un de nos ingénieurs experts en sécurité WordPress, de sorte que vous pouvez avoir un degré élevé de confiance qu'il s'agit en fait d'une véritable vulnérabilité et non d'un faux positif.

Nous trouvons des vulnérabilités à partir d'un large éventail de sources. Nous avons un groupe de chercheurs indépendants en sécurité qui trouvent des vulnérabilités dans WordPress, des plugins ou des thèmes, et nous les soumettent directement. Nous surveillons également en permanence les médias sociaux, les forums, les blogs, les sites Web et les moteurs de recherche pour certains mots-clés qui pourraient être quelqu'un qui parle d'une vulnérabilité de sécurité dans WordPress.

Parfois, nous effectuons également nous-mêmes des recherches indépendantes sur la sécurité. Par exemple, un membre de notre équipe a récemment découvert une vulnérabilité de falsification de requête intersite (CSRF) dans le noyau de WordPress, qui a depuis été corrigée. Nous avons également un certain nombre de pots de miel sur les attaques de surveillance Web, ce qui nous a conduit à découvrir des vulnérabilités de 0 jour.

6. Pouvez-vous expliquer à nos lecteurs quel est le processus de vérification d'une vulnérabilité avant de la publier ? Ou suivez-vous un processus pour vous assurer que les données déclarées sont valides et correctes ?

La plupart du temps, il est évident qu'un rapport de vulnérabilité est faux ou non. Notre équipe d'experts peut généralement dire en lisant simplement l'avis s'il est techniquement correct ou non. D'autres fois, ce n'est pas si facile et nous devons vérifier manuellement la vulnérabilité nous-mêmes en installant la version vulnérable et en essayant de l'exploiter.

La chose qui nous prend le plus de temps est le triage des vulnérabilités. Nous ne voulons pas divulguer d'informations sur les vulnérabilités si cela ne sert qu'à aider les attaquants. Nous voulons nous assurer que le fournisseur du plug-in est conscient de la vulnérabilité et a mis en place un correctif avant d'ajouter les détails à notre base de données. Mais ce n'est pas toujours le cas, car certains fournisseurs ne sont pas joignables ou ne s'en soucient pas. Dans ce cas, nous travaillons en étroite collaboration avec l'équipe du plugin WordPress pour les sensibiliser à la vulnérabilité afin qu'ils puissent prendre des mesures pour protéger les utilisateurs de WordPress.

Pour nous assurer que ce processus est transparent, nous avons également une politique de divulgation publique qui décrit comment nous traitons les données de vulnérabilité que nous recevons.

7. D'après ce que vous avez vu jusqu'à présent dans la base de données de vulnérabilités WP et le projet WPScan, que pensez-vous de l'avenir de la sécurité WordPress et du codage sécurisé (dans les plugins, les thèmes), etc. ?

Je suis optimiste et je pense que les choses s'améliorent. On se concentre beaucoup plus sur la sécurité de WordPress de nos jours, et beaucoup plus de solutions sont disponibles. Je ne pense pas que nous atteindrons jamais un point où le noyau WordPress, tous les plugins et tous les thèmes sont 100% sécurisés, mais je pense que nous pouvons arriver à un point où la plupart des plugins avec une grande base d'installation sont suffisamment sécurisés . Nous devons juste continuer à le grignoter.

8. Vous avez également une formation en développement. Quels sont vos trois meilleurs conseils aux développeurs de plugins et de thèmes WordPress ?

1. Validez l'entrée de l'utilisateur et encodez la sortie de l'utilisateur. Par exemple, utilisez les fonctions esc_html(), esc_attr(), esc_url() de WordPress de manière approfondie et aux bons endroits.
2. Utilisez toujours la fonction prepare() lors de la création de requêtes SQL.
3. Vérifiez toujours les capacités d'un utilisateur avant d'exécuter des fonctions dangereuses.

9. À votre avis, quelles sont les trois choses les plus importantes, ou les meilleures pratiques de sécurité qu'un administrateur de site WordPress devrait faire pour sécuriser le site et le garder sécurisé ?

1. Gardez votre version WordPress, vos plugins et vos thèmes à jour.
2. Installez un plugin de sécurité. Il y en a une tonne de bons là-bas, choisissez-en un et utilisez-le.
3. Utilisez des mots de passe sécurisés. Assurez-vous que votre mot de passe est unique et complexe. Cela peut être réalisé avec un gestionnaire de mots de passe par exemple.

10. Vous avez une longue expérience dans le secteur de la sécurité des applications Web. Je vous ai connu il y a quelques années grâce à DVWA. Pouvez-vous expliquer à nos lecteurs ce qu'est DVWA et pourquoi vous l'avez développé ?

Damn Vulnerable Web App (DVWA) était un projet Open Source que j'ai créé à l'université pour m'aider à apprendre la sécurité des applications Web. Je pensais que la meilleure façon d'apprendre serait d'avoir de vrais exemples exploitables à utiliser. Je l'ai publié plus tard en ligne après beaucoup d'aide d'autres personnes et il est devenu très populaire. Aujourd'hui, il est géré par un vieil ami à moi, Robin Wood ( @digininja ). Donc, si vous rencontrez des problèmes pour l'installer, je suis sûr qu'il se fera un plaisir de vous aider.

11. Des conseils et/ou ressources que vous pouvez partager avec ceux qui, comme vous, aimeraient en savoir plus sur WordPress et la sécurité des applications ?

Twitter est l'une des meilleures ressources à mon avis. Suivez certaines personnes qui vivent et respirent ces sujets et apprenez d'eux. Certaines personnes que je recommande de suivre sont @tnash , @Random_Robbie , @Viss , et il y en a tellement d'autres à mentionner. Il existe également un excellent groupe de sécurité Facebook WordPress qui est très actif. Si vous souhaitez approfondir la sécurité des applications Web, je vous recommande le manuel du Web Application Hacker's Handbook.

12. À quoi ressemble l'avenir du projet WPScan ? Quels sont les plans ?

Nous avons récemment repensé l'intégralité du site Web de la base de données de vulnérabilités et déployé beaucoup d'efforts dans le backend, pour la gestion des vulnérabilités. Notre outil WPScan CLI est très stable, il existe depuis 2011, il a donc besoin de peu d'améliorations de nos jours. Le plan est de continuer à investir du temps dans la recherche de problèmes de sécurité dans WordPress, ses plugins et ses thèmes, afin de pouvoir garantir que notre base de données de vulnérabilités est toujours à jour et exacte. Nous voulons également mettre beaucoup d'efforts dans notre plugin de sécurité WordPress à l'avenir, nous pensons que cela nous aidera à nous faire connaître davantage dans l'écosystème WordPress.

13. Pour aider à inspirer les autres, pouvez-vous nous en dire un peu plus sur votre parcours, et un peu plus sur les pièges que vous avez rencontrés tout au long de votre carrière et ce qui vous a aidé à vous en sortir et à atteindre le succès actuel ?

J'en ai parlé un peu dans mon introduction, mais ici, je vais parler de mes pièges en essayant de travailler pour certaines des grandes entreprises technologiques. Après l'université, je voulais travailler pour une grande entreprise de technologie, je pensais que cela me donnerait de la crédibilité auprès de mes pairs et de ma famille. J'ai passé des entretiens chez Mozilla, Facebook, Google et même Automattic (les créateurs de WordPress), ainsi que d'autres. Et même si j'ai réussi à décrocher l'entretien, je les ai toujours échoués et je n'ai jamais reçu d'offre d'emploi. Il est difficile de parler de vos échecs, mais je crois que cela peut aider les autres à voir qu'il y a de la lumière au bout du tunnel si vous persistez dans vos rêves.

Aujourd'hui, je suis copropriétaire de ma propre entreprise rentable et prospère, WPScan. Beaucoup d'entreprises pour lesquelles j'avais interviewé et qui ont échoué sont maintenant nos clients, et dans le cas d'Automattic, nos sponsors, ce dont nous sommes très reconnaissants.

Parfois, dans la vie, il se peut que vous ne suiviez pas le chemin exact qui, selon vous, vous mènera à vos rêves. Parfois, vous devez créer votre propre chemin dans la vie et préparer le terrain pour que les autres suivent le vôtre.

14. Merci beaucoup pour cette interview. Pouvez-vous s'il vous plaît dire à nos lecteurs où ils peuvent vous trouver en ligne ?

Sûr! Je tweete beaucoup de @ethicalhack3r, vous pouvez également suivre le compte Twitter officiel de WPScan.