La sécurité de WordPress vient d’être améliorée

La popularité fulgurante de WordPress et la nature open source de l’écosystème WordPress en ont fait une cible intense de pirates informatiques. Sécurité a longtemps été un problème majeur avec WordPress. Cela a peut-être changé récemment lorsque la branche commerciale de WordPress a récemment acquis une société de sécurité qui peut aider à internaliser la sécurité et à réduire les incidents de piratage.

Vulnérabilités des plugins tiers et des développeurs de thèmes

Des vulnérabilités courantes telles que le Cross Site Scripting (XSS) et les exploits de l’API WordPress se produisent en raison de pratiques de codage bâclées de la part de développeurs tiers dans l’écosystème WordPress.

Les deux points de défaillance les plus courants sont lorsque les codeurs logiciels ne parviennent pas à nettoyer ce qui est entré ou téléchargé sur une installation WordPress. Cela signifie, par exemple, si un formulaire de contact s’attend à ce que du contenu textuel soit saisi, il ne peut pas autoriser la saisie de scripts ou d’images, il doit y avoir un moyen de bloquer tout ce qui est attendu.

L’autre échec de codage est un échec à vérifier correctement le niveau de privilège de la personne qui s’interface avec le site WordPress, ce qui conduit à ce qu’on appelle un exploit d’escalade de privilèges, où un attaquant avec le niveau d’accès le plus bas peut acquérir les niveaux de privilège les plus élevés.

Chaque vulnérabilité découverte est entrée dans une base de données organisée à la main appelée WPScan Vulnerability Database. Cette base de données sert de ressource à la communauté de sécurité WordPress, servant de système d’alerte pour les exploits nouvellement découverts.

Cette base de données appartient désormais à la branche commerciale de WordPress.

Société de sécurité WordPress acquise par WordPress

Jetpack, une division de la branche commerciale de WordPress, Automattic, a annoncé l’acquisition de la célèbre société de suites de sécurité WPScan WordPress. WPScan fournit des ressources qui permettent à l’écosystème de sécurité WordPress et WordPress de lutter rapidement contre les problèmes de sécurité. Jetpack est une suite d’outils WordPress qui comprend également un composant de sécurité.

Sécurité WordPress est un domaine important pour WordPress car c’est ce que les concurrents citent comme une faiblesse de WordPress. Donc, à ce niveau, il est logique que Jetpack acquière une entreprise avec une position proactive sur la sécurité de WordPress.

Jetpack a promis de garder les produits gratuits pour une utilisation non commerciale tout en notant qu’une partie de WPScan sera absorbée dans l’offre de sécurité au sein de la suite d’outils Jetpack.

Pourquoi WPScan est important

WPScan est une base de données de vulnérabilités.

WPScan fournit également :

• Une API pour accéder à la base de données
• Scanner de sécurité WPScan, une interface de ligne de commande (CLI) scanner
• Un plugin de sécurité WordPress

Base de données WPScan

WPScan est avant tout une base de données ouvertement disponible qui enregistre les vulnérabilités de WordPress et rend les informations disponibles via une API.

Les informations sur les vulnérabilités de WordPress sont préparées à la main par WPScan et les contributeurs.

WPScan est également une autorité de numérotation CVE (CNA) officielle, ce qui signifie qu’elle peut attribuer les numéros par lesquels les vulnérabilités sont référencées dans la communauté de la sécurité.

La base de données est accessible aux particuliers, aux entreprises et aux chercheurs en sécurité.

Selon le nombre d’appels d’API effectués vers la base de données, les informations sont disponibles gratuitement via une API et également à des prix relativement modestes pour un accès accru à la base de données et une tarification personnalisée pour les besoins de l’entreprise.

Scanner de sécurité WordPress WPScan

WPScan fournit également Scanner de sécurité WordPress WPScan, qui est un scanner d’interface de ligne de commande gratuit pour une utilisation non commerciale pour analyser un site Web à la recherche de vulnérabilités enregistrées dans la base de données WPScan.

Un exemple de choses supplémentaires que le scanner de sécurité WordPress gratuit WPScan vérifie :

• « La version de WordPress installée et toutes les vulnérabilités associées
• Quels plugins sont installés et toutes les vulnérabilités associées
• Quels thèmes sont installés et toutes les vulnérabilités associées
• Énumération du nom d’utilisateur
• Utilisateurs avec des mots de passe faibles via force brute de mot de passe
• Fichiers wp-config.php sauvegardés et accessibles au public
• Dumps de base de données pouvant être accessibles au public
• Si les journaux d’erreurs sont exposés par des plugins »

Plugin WordPress WPScan

Dernièrement, WPScan propose un plugin gratuit qui analyse un site Web pour déterminer si l’installation de WordPress elle-même et/ou les thèmes et plugins installés présentent des vulnérabilités. Le plugin utilise l’API de base de données WPScan pour vérifier les vulnérabilités. L’analyse quotidienne relèverait du niveau gratuit d’utilisation de l’API.

Le plugin recherche également les faiblesses courantes qui pourraient rendre un site Web vulnérable :

• « Vérifiez les fichiers debug.log
• Recherchez les fichiers de sauvegarde wp-config.php
• Vérifiez si XML-RPC est activé
• Rechercher les fichiers de référentiel de code
• Vérifiez si les clés secrètes par défaut sont utilisées
• Rechercher les fichiers de base de données exportés
• Mots de passe faibles
• HTTPS activé”

La principale caractéristique du plugin WPScan est d’offrir une alerte rapide si un plugin de site, un thème ou WordPress lui-même contient une vulnérabilité et si un correctif est émis.

Pourquoi Jetpack a-t-il acquis WPScan ?

La raison invoquée par Jetpack pour acquérir WPScan est d’ouvrir encore plus les données et de les continuer en tant que ressource pour l’ensemble de l’écosystème WordPress.

Jetpack a annoncé :

« …notre objectif pour cette acquisition est de rendre les données et les API sur les logiciels malveillants plus open source. Nous voulons nous assurer que WPScan continue d’être une ressource de sécurité de haute qualité pour l’ensemble de la communauté WordPress. À cet effet, nous explorerons des moyens de rendre l’API entièrement gratuite pour les sites non commerciaux.

…WPScan continuera à fonctionner de manière indépendante à court terme et pourrait être intégré à Jetpack Scan à l’avenir.

Les clients actuels de WPScan ne seront pas touchés par l’acquisition à court terme et recevront le même service de sécurité WordPress de haute qualité auquel ils s’attendent.

La sécurité de WordPress s’améliorera

Les fondateurs de WPScan vont travailler pour Automattic dans le cadre de l’accord qui a abouti à l’acquisition.

Un e-mail à la communauté WPScan a offert un aperçu de la façon dont la communauté WordPress en bénéficiera :

« Rejoindre une entreprise comme Automattic va nous permettre d’améliorer nos services plus rapidement, de mettre en œuvre de nouvelles fonctionnalités et de nouveaux produits et de rechercher de nouvelles façons de rendre nos données de vulnérabilité WordPress plus ouvertes et accessibles à la communauté.

Nous travaillerons également en étroite collaboration avec l’équipe de sécurité Jetpack Scan d’Automattic, bénéficiant de leur expertise pour rendre l’écosystème WordPress encore plus sécurisé pour les utilisateurs.

Cette acquisition place la communauté de développement WordPress sur la voie de nouvelles fonctionnalités et améliorations qui aideront l’ensemble de la communauté WordPress.

Citations

Lisez l’annonce Jetpack de l’acquisition de WPScan :

Jetpack acquiert la base de données de vulnérabilité WordPress WPScan

Visitez la page officielle du plug-in WPScan

WPScan – Plugin de scanner de sécurité WordPress