Utilisation du Top 10 OWASP pour améliorer la sécurité de WordPress
Publié: 2018-08-23La sécurité de WordPress peut être un sujet intimidant pour ceux qui découvrent WordPress et qui ont un site Web. Cependant, avec la conformité et des normes telles que la liste OWASP Top 10, les entreprises peuvent facilement démarrer avec la sécurité WordPress.
Cet article explique quelle est la liste des 10 meilleurs OWASP. Il explique également comment les administrateurs de sites WordPress peuvent avoir un site Web WordPress conforme au Top 10 Owasp .
Qu'est-ce que la liste des 10 meilleurs de l'OWASP ?
Le Top 10 OWASP est une liste des 10 risques de sécurité des applications Web les plus critiques. En tant que tel, il ne s'agit pas d'une norme de conformité en soi, mais de nombreuses organisations l'utilisent comme ligne directrice. L'organisation Open Web Application Security Project (OWASP) a publié la première liste en 2003. Maintenant, ils publient une liste mise à jour tous les trois ans.
Quels sont les 10 principales vulnérabilités et risques de sécurité de l'OWASP ?
L'OWASP a publié la plus récente liste des 10 meilleurs OWASP en 2017. Voici la liste des risques de sécurité qu'elle contient :
A1 : Injection
A2 : Authentification brisée
A3 : Exposition des données sensibles
A4 : Entités externes XML
A5 : Contrôle d'accès cassé
A6 : Mauvaise configuration de la sécurité
A7 : Script intersite (XSS)
A8 : désérialisation non sécurisée
A9 : Utilisation de composants présentant des vulnérabilités connues
A10 : Journalisation et surveillance insuffisantes
Appliquer le Top 10 de la sécurité OWASP sur votre WordPress
Cette section explique ce que vous devez faire pour vous assurer que votre site Web WordPress n'est pas vulnérable à l'une des 10 principales vulnérabilités et failles de sécurité de l'OWASP.
Adressage A1 : Injection dans WordPress
L'injection SQL est une vulnérabilité d'application technique qui est généralement causée par un manque de nettoyage des entrées de l'utilisateur. En l'exploitant, des pirates malveillants peuvent accéder aux données de la base de données WordPress.
L'équipe principale de WordPress corrige généralement les vulnérabilités d'injection en quelques jours. Il en va de même pour la plupart des développeurs de plugins WordPress. C'est pourquoi il est important de toujours utiliser des plugins bien entretenus qui sont développés par des développeurs réactifs.
La seule façon de vous assurer que votre noyau WordPress, vos plugins et vos thèmes ne sont pas vulnérables à ce type de vulnérabilité est de maintenir tous vos logiciels à jour. Installez toujours tous les correctifs de sécurité publiés par les développeurs.
Adressage A2 : Authentification cassée dans WordPress
Ces types de failles de sécurité sont également des vulnérabilités techniques. Ces vulnérabilités sont le résultat d'une conception cassée de l'application web, d'un manque de planification. Les attaquants peuvent exploiter des problèmes d'authentification cassés pour accéder à des données sensibles.
Seuls les développeurs peuvent résoudre ces problèmes. Tant que vous utilisez la dernière version du noyau et des plugins WordPress, votre site Web ne sera pas sujet à de telles vulnérabilités. Bien sûr, en supposant que vous utilisez toujours des plugins bien entretenus.
Bien que puisque nous parlons d'authentification, il convient de vous rappeler de mettre en œuvre une authentification à deux facteurs sur votre site Web WordPress . Si vous ne savez pas quel plugin utiliser, voici une liste de certains des meilleurs plugins WordPress d'authentification à deux facteurs .
Adressage A3 : Exposition de données sensibles dans WordPress
L'exposition aux données sensibles est devenue un véritable problème. Les violations de données sont présentées presque quotidiennement dans les actualités sur la sécurité Web. En fait, le GDPR et d'autres exigences de conformité réglementaire mettent l'accent sur la nécessité de gérer et de stocker correctement les données sensibles et personnelles.
Selon le RGPD, les données sensibles et personnelles sont toutes les données liées à un utilisateur identifiable. Il peut s'agir du nom de vos clients, de leurs coordonnées de facturation et des données du titulaire de la carte dans le cas d'un site Web de commerce électronique. Dans le cas des services financiers, il peut également s'agir des coordonnées bancaires ou, dans le cas des soins de santé, de leurs antécédents médicaux. Notez que même si une adresse IP peut être classée comme donnée sensible, vous pouvez toujours conserver un journal d'activité WordPress , ce qui vous permet de suivre tout ce qui se passe sur vos sites Web.
Pour vous assurer que votre site Web WordPress est conforme , si vous stockez des données sensibles sur votre site Web WordPress, assurez-vous que seuls les utilisateurs qui ont besoin d'utiliser les données y ont accès, et bien sûr, les données doivent être cryptées. Utilisez toujours les utilisateurs et les rôles WordPress pour mieux gérer les privilèges des utilisateurs et l'accès aux données sensibles.
Devez-vous stocker des données sensibles sur votre site WordPress ?
Il n'y a pas de réponse définitive. Tout dépend de la configuration et des ressources. Bien que les petites entreprises feraient généralement mieux de stocker les données sur un fournisseur tiers.
Par exemple, dans le cas d'un magasin de commerce électronique, il est beaucoup plus facile d'utiliser des systèmes de paiement tels que Stripe ou PayPal pour gérer et stocker les données des titulaires de carte. Ils ont déjà l'infrastructure en place. Reportez-vous à notre guide sur la sécurité du commerce électronique pour les administrateurs WordPress pour plus d'informations sur la façon de conserver et d'exécuter un site de commerce électronique sécurisé.
Il en va de même pour les adresses e-mail et les listes de newsletters des clients. Idéalement, vous ne devriez pas stocker de telles données sur votre site Web. Utilisez un service tiers, tel que Mailchimp pour stocker les données sur une infrastructure plus sécurisée et fiable, plutôt que sur votre site WordPress.
Adressage A4 : Entités externes XML (XXE) dans WordPress
Il s'agit d'une vulnérabilité logicielle technique. Cela se produit lorsque l'application gère de manière incorrecte les fichiers et les données XML. Une installation WordPress prête à l'emploi ne traite pas beaucoup les fichiers XML distants, bien que vous puissiez utiliser des plugins qui le font.
Pour vous assurer que votre site Web WordPress n'est pas vulnérable à ce type de vulnérabilité, utilisez la dernière version du noyau, du plug-in et d'autres logiciels WordPress. Utilisez toujours des plugins qui sont maintenus. Pensez à changer tout plugin que vous utilisez et qui n'a pas été mis à jour depuis plus d'un an.
Adressage A5 : contrôle d'accès cassé dans WordPress
Il s'agit d'une vulnérabilité technique de l'application. Ce problème se produit lorsque l'application n'applique pas les restrictions nécessaires aux utilisateurs authentifiés. Par conséquent, lorsque les attaquants exploitent ces vulnérabilités, ils peuvent accéder à des données sensibles.
Seuls les développeurs peuvent résoudre ce type de problème. Pour vous assurer que votre site Web n'est pas vulnérable, maintenez à jour votre noyau WordPress, les plugins et les autres logiciels que vous utilisez sur votre site Web.
Adressage A6 : Mauvaise configuration de la sécurité dans les sites Web WordPress
Les erreurs de configuration de sécurité sont très courantes sur les sites Web WordPress. Les logiciels non corrigés et l'exploitation des valeurs par défaut sont deux des attaques réussies les plus courantes sur les sites Web WordPress. Au cours des dernières années, l'équipe principale de WordPress a beaucoup fait pour aider les utilisateurs à résoudre ces problèmes. Par exemple, WordPress n'a plus de nom d'utilisateur d' administrateur par défaut, qui était le coupable de nombreux hacks WordPress.
Pour vous assurer que votre site Web WordPress ne présente aucune mauvaise configuration de sécurité, modifiez toutes les valeurs par défaut. Cela s'applique à WordPress, aux plugins et à tout autre logiciel et appareil que vous utilisez. Par exemple, si un plugin a un ensemble d'informations d'identification par défaut, ne protège pas les données sensibles par mot de passe ou les stocke dans un emplacement par défaut, configurez une authentification forte et modifiez les chemins par défaut. Cela s'applique à tous les autres logiciels et appareils que vous utilisez, y compris votre routeur Internet domestique, qui a généralement des informations d'identification par défaut.
Adressage A7 : Cross-site Scripting (XSS) dans WordPress
Le Cross-site Scripting, également connu sous le nom de XSS , est une vulnérabilité d'application technique. C'est probablement l'une des vulnérabilités techniques les plus courantes. Une vulnérabilité XSS se produit lorsque des données non fiables ne sont pas validées et échappées. Lorsqu'un attaquant malveillant exploite une vulnérabilité de script intersite, il peut voler le cookie des utilisateurs connectés et se faire passer pour eux. Ils peuvent également détourner leur session.
L'équipe principale de WordPress résout généralement les problèmes XSS signalés dans le noyau en quelques jours seulement. Donc, pour vous assurer que le cœur de votre site Web WordPress, les plugins et les thèmes ne sont pas vulnérables à ce type de vulnérabilité, utilisez toujours la dernière version du logiciel. De plus, utilisez toujours des plugins maintenus.
Adressage A8 : désérialisation non sécurisée dans WordPress
La désérialisation non sécurisée est une vulnérabilité d'application technique. Cette vulnérabilité peut se produire lorsque l'application utilise des objets sérialisés provenant de sources non fiables sans effectuer de contrôles d'intégrité.
L'équipe principale de WordPress résout généralement ce type de problème en quelques jours. Donc, pour vous assurer que le cœur de votre site Web WordPress, les plugins et les thèmes ne sont pas vulnérables à ce type de vulnérabilité, utilisez toujours la dernière version du logiciel.
Adressage A9 : Utilisation de composants présentant des vulnérabilités connues sur un site Web WordPress
Ne pas utiliser de logiciels et d'applications Web présentant des vulnérabilités connues peut sembler quelque chose d'évident. Bien que ce ne soit malheureusement pas le cas. La fondation WordPress a fait beaucoup à cet égard. Ils ont des mises à jour automatiques pour le noyau WordPress. L'équipe de révision des plugins WordPress marque les plugins du référentiel qui n'ont pas été mis à jour depuis un certain temps comme dangereux.
Cependant, il n'est pas toujours facile pour les entreprises d'utiliser la version la plus récente et la plus sécurisée d'un logiciel. Beaucoup utilisent des logiciels et des applications Web hérités qui ne sont pas compatibles avec la dernière version de WordPress ou d'autres plugins. Ils doivent donc utiliser une version ancienne et vulnérable de WordPress et des plugins. Dans ce cas, contactez si possible les développeurs pour mettre à jour le code.
Pour vous assurer que votre site Web est conforme, cela va sans dire : utilisez toujours la dernière version du noyau et des plugins WordPress. En outre, il est important de désactiver et de désinstaller tous les plugins, scripts et thèmes inutilisés de votre site Web. Par exemple, de nombreux administrateurs de sites ne suppriment pas les thèmes et plugins WordPress par défaut. Si vous ne les utilisez pas, supprimez-les.
Cela s'applique également aux nouveaux logiciels : lorsque vous recherchez un nouveau plugin, recherchez-le toujours. Lisez notre guide sur la façon de choisir un plugin WordPress pour plus d'informations sur ce que vous devez faire lorsque vous recherchez un nouveau plugin WordPress.
Résolution de A10 : Journalisation et surveillance insuffisantes sur WordPress
La journalisation et la surveillance sont essentielles pour la sécurité de votre site Web WordPress et de votre réseau multisite. Les journaux d'activité WordPress vous aident également à mieux gérer votre site Web, à identifier les comportements suspects avant qu'ils ne deviennent un problème, à assurer la productivité des utilisateurs et bien plus encore. En savoir plus sur les avantages de tenir un journal d'activité WordPress (journal d'audit) .
Pour vous assurer que votre site Web WordPress est conforme , installez le journal d'audit de sécurité WP, le plug-in de journal d'activité WordPress le plus complet . Il conservera un enregistrement de tout ce qui se passe sur votre site Web WordPress et votre réseau multisite dans un journal d'activité. Reportez-vous à la résolution de la journalisation insuffisante avec un plugin de journal d'activité WordPress pour des informations plus détaillées sur la façon de traiter cette partie de la liste des 10 meilleurs OWASP.
Créer un site Web WordPress conforme à l'OWASP avec le Top 10 de l'OWASP
La sécurité de WordPress peut être complexe, en particulier lorsqu'il s'agit de grandes configurations. Bien que commencer et couvrir les bases ne soit pas si difficile, comme le souligne cet article. Vous pouvez avoir un site Web WordPress conforme au Top 10 OWASP en prenant soin de ces bases :
- Utilisez la dernière version du noyau WordPress, des plugins et des thèmes,
- Assurez-vous de modifier tous les paramètres par défaut de votre noyau WordPress et de vos plugins,
- Appliquer des politiques de mots de passe forts,
- Activez 2FA avec un plugin WordPress d'authentification à deux facteurs,
- Utilisez les utilisateurs et les rôles WordPress de manière appropriée,
- Gardez une trace de tout ce qui se passe sur votre site Web dans un journal d'activité WordPress .
Renforcez la sécurité de votre site Web WordPress en utilisant cette liste des 10 meilleurs OWASP comme guide. Reportez-vous à la page officielle du Top 10 de l'OWASP pour des informations plus détaillées.