Analyser les vulnérabilités de votre wordpress
Qu'est-ce que Wordpress ?
Wordpress est un logiciel libre et open-source écrit dans le langage PHP. C'est un "CMS", système de gestion de contenu (Content marketing System) qui permet de créer et de gérer le contenu d'un site web.
En 2022, des millions de site web sont propulsés par Wordpress. 42 % des sites dans le monde sont sur wordpress.
La technologie évolue tous les jours et laisse place à des vulnérabilités. Malheureusement, beaucoup de sites internet ne sont pas mis à jour. Wordpress est la première cible chez les cybercriminels.
Quelques symptomes les plus fréquents pour reconnaitre un piratage :
- Des redirections de votre traffic vers un autre nom de domaine qui ne vous appartient pas.
- Des publicités malvaillantes qui s'affichent sur vos pages
- Des spams sortants qui utilisent votre nom de domaine
- Des changements sur des fichiers et dossiers que ne vous n'avez pas touchés. (wp-admin, wp-includes)
Quelques outils pour vous aider à améliorer votre wordpress :
Le site internet WPSEC (https://wpsec.com/) permet de tester les vulnérabilités de votre site sous Wordpress. La version gratuite de WPSEC permet de savoir si la dernière mise à jour de wordpress est installée. En outre, il est aussi possible de savoir si les derniers plugins et thèmes sont à jour. La version payante permet de monitorer ses informations pour recevoir les rapports par email.
Le site internet "What wp theme is that" (https://whatwpthemeisthat.com/) permet de détecter le thème utilisé par wordpress.
La grande communauté de Wordpress contribue à la création d'extensions de sécurité gratuite ou payante. Elles sont disponibles pour éviter au maximum le piratage de votre site internet.
L'extension gratuite "Change wp-admin login" (https://wordpress.org/plugins/change-wp-admin-login/) permet de changer facilement l'URL d'entrée sur l'administration.
L'extension gratuite "WP fail2ban" (https://wordpress.org/plugins/wp-fail2ban/) permet de bannir les attaques par brute force.
L'extension gratuite "WPScan" (https://wordpress.org/plugins/wpscan/) permet d'analyser les informations de votre Wordpress sur les plugins et thèmes à la recherche des vulnérabilités.
L'extension payante "Hide My WP" (https://hidemywp.net/) permet de cacher que vous utilisez Wordpress et permet d'éviter la détection des thèmes par des outils.