Veiller à la sécurité de votre site WordPress implique de nombreuses tâches différentes. L’une des tâches consiste à s’assurer que les plugins, les thèmes et la version WordPress que vous utilisez sur votre site Web ne présentent aucune vulnérabilité connue. Heureusement, cette tâche peut être automatisée avec WPScan, un plugin WordPress gratuit.
Le plugin WPScan peut découvrir si le logiciel que vous exécutez présente des vulnérabilités en effectuant des analyses régulières. Il vérifie les résultats par rapport à une base de données de vulnérabilités à jour dédiée et vous informe s’il existe des vulnérabilités sur votre site Web, telles que SQL Injection. Si vous ne savez pas ce qu’est l’injection SQL, vous pouvez lire notre glossaire de la terminologie de sécurité WordPress et des mots, qui vous fournissent des explications concises pour vous aider à rester au sommet de votre art.
Cet article explique comment installer et configurer le plugin WPScan pour analyser votre site Web WordPress à la recherche de vulnérabilités. Avant cela, il met en évidence pourquoi WPScan peut être vital pour la sécurité de votre site Web.
Présentation de WPScan
Tout d’abord, expliquons ce qu’est WPScan. WPScan est un scanner de vulnérabilités WordPress qui peut analyser votre cœur, vos thèmes et vos plugins WordPress à la recherche de vulnérabilités et de problèmes de sécurité connus.
Il est disponible en tant que logiciel open source, en tant que plugin WordPress et en tant que service en ligne payant. Notez que cet article se concentre sur la configuration et l’utilisation du plugin gratuit WPScan WordPress. Pour en savoir plus sur le scanner open source, lisez démarrer avec le scanner WPScan.
Comment fonctionne le plugin WPScan ?
Une fois que le plugin détecte les plugins, les thèmes et la version principale de WordPress que vous utilisez sur votre site Web, il vérifie si l’un des logiciels que vous utilisez présente des vulnérabilités. Il vérifie cela en envoyant des requêtes à une base de données de vulnérabilités, qui est maintenue par l’équipe WPScan.
Cette base de données contient des milliers de vulnérabilités WordPress connues. Avant qu’une vulnérabilité ne soit ajoutée à la base de données, elle est vérifiée par un expert. Cela signifie que chaque entrée est recherchée, vérifiée et ajoutée à la base de données à travers des yeux humains.
De plus, il y a un cycle constant pour trouver de nouvelles vulnérabilités pour la base de données. Par exemple, en mai 2021, plus de 70 nouvelles vulnérabilités ont été introduites dans la base de données.
Une fois l’analyse du site Web terminée, vous recevez des notifications par e-mail du résultat de l’analyse. Vous pouvez également recevoir des rapports PDF et les télécharger pour les partager avec votre équipe.
Le plugin gratuit WPScan est suffisant pour analyser le site Web moyen tous les jours. Cependant, si vous devez numériser plusieurs sites Web plusieurs fois par date, vous avez besoin d’un plan WPScan premium. Dirigez-vous vers le Site Web de WPScan pour plus d’informations sur les prix et les plans.
Comment WPScan vous aide à protéger votre site Web
WPScan vous aide en automatisant le processus d’identification des logiciels vulnérables sur votre site Web. Vous pouvez configurer le plug-in pour qu’il exécute des analyses quotidiennes ou même horaires, et pour vous envoyer une notification par e-mail avec les résultats de l’analyse une fois qu’il a identifié des problèmes.
C’est une chose de moins dont vous avez à vous soucier dans votre Sécurité WordPress programme, vous laissant plus de temps pour vous concentrer sur votre entreprise.
Les avantages de l’utilisation du plugin WordPress WPScan
A présent, vous savez ce que WPScan peut faire pour votre site. Voici quelques avantages à exécuter le plug-in WPScan sur votre site Web :
- L’équipe WPScan fait partie intégrante de la communauté de sécurité WordPress, les chercheurs en sécurité choisissent donc de soumettre les vulnérabilités à leur base de données. Cela maintient la liste à jour, ce qui signifie que votre site Web sera toujours vérifié pour les dernières menaces connues.
- La base de données de vulnérabilités WPScn elle-même est d’une immense valeur. À ce jour, il compte plus de 20 000 entrées, toutes vérifiées et ajoutées par une équipe d’experts. Il n’y a aucune autre collection de vulnérabilités WordPress comme celle-ci disponible nulle part ailleurs.
- Vous serez le premier à connaître une vulnérabilité de cœur, de plugin ou de thème WordPress. Dans de nombreux cas, vous et WPScan avez battu les utilisateurs malveillants au poing. En d’autres termes, vous protégez votre site Web avant qu’une vulnérabilité ne soit exploitée à l’état sauvage.
Bien sûr, vous pouvez également recevoir une notification s’il y a un problème qui nécessite votre attention. Cependant, vous pouvez également utiliser la base de données pour vérifier les vulnérabilités des plugins que vous souhaitez installer.
Ceci est inestimable, car vous pouvez protéger votre site de manière proactive. De plus, vous pouvez empêcher une vulnérabilité d’affecter votre site de la meilleure façon possible – gardez le thème ou le plugin à portée de main jusqu’à ce que vous sachiez qu’il est sûr à utiliser.
Vous disposez également d’un moyen flexible de visualiser la base de données et d’effectuer une analyse. Le plugin WordPress offre la façon la plus accessible de travailler.
Premiers pas avec le plugin WPScan
En un mot, Le plugin WordPress de WPScan est une sorte de « wrapper » de base pour la base de données de vulnérabilités. Néanmoins, nous vous recommandons de l’utiliser en raison de l’expérience qu’il offre.
Étape 1 : Installer le plugin
Le processus d’installation est le même que pour tous les autres plugins WordPress gratuits. Naviguez vers le Plugins sur votre WordPress, recherchez la base de données WPScan et cliquez sur Installer. Une fois le plugin installé, activez-le.
Une fois activé, vous verrez une notification pour récupérer un jeton API :
Cela est nécessaire pour que le plugin envoie des requêtes API à la base de données des vulnérabilités. Vous pouvez envoyer jusqu’à 25 requêtes API par jour gratuitement. Pour la majorité des sites Web, cela suffit, étant donné qu’un site Web moyen compte environ 20 plugins.
Étape 2 : Obtenez votre jeton d’API
Pour obtenir votre jeton API, cliquez sur le lien fourni dans la notification ou rendez-vous sur le site Web de WPScan et cliquez sur Obtenez votre jeton API gratuit.
Une fois le formulaire soumis, vous devrez confirmer via votre adresse e-mail, puis vous connecter à votre compte. Une fois connecté, le tableau de bord WPScan affichera votre jeton API comme première information :
Étape 3 : Activez la clé API
Retournez à la page des paramètres de votre plug-in WPScan dans WordPress et collez le jeton API dans le champ approprié :
Étape 4 : Définissez vos paramètres de numérisation automatique
Pendant que vous êtes dans les paramètres, vous pouvez configurer la fréquence des analyses et l’heure à laquelle elles doivent s’exécuter :
Vous pouvez définir une analyse pour chaque jour, deux fois par jour ou à l’heure. Avec la clé API gratuite, vous ne pouvez exécuter qu’une analyse par jour, ce qui est suffisant pour commencer.
À partir des paramètres, vous pouvez également désactiver les contrôles de sécurité et exclure des plugins ou des thèmes de l’analyse de vulnérabilité, ce qui n’est pas recommandé.
C’est tout. Enregistrez les paramètres et l’analyse des vulnérabilités s’exécutera selon la planification.
Les résultats de l’analyse de vulnérabilité du site Web WordPress
L’écran Rapports vous donne un aperçu de ce que le plugin a identifié sur votre site Web et des problèmes qu’il peut y avoir. Par exemple, vous pouvez voir votre version actuelle de WordPress et tous les plugins et thèmes que vous avez installés :
C’est ici que vous pourrez voir toutes les vulnérabilités qu’une analyse trouve sur votre site. Si vous consultez le coin supérieur de l’écran, vous verrez le bouton Exécuter tout. Celui-ci effectue une analyse complète de votre site Web :
Si vous souhaitez recevoir une notification par e-mail, vous pouvez le faire via la boîte méta de notification sur le côté droit :
Il existe également de nombreuses autres vérifications que vous pouvez effectuer sur votre site. En fait, il existe une liste pratique qui vous permet de les exécuter individuellement :
Lorsque vous êtes prêt, vous pouvez également télécharger un rapport PDF ici. C’est bon à partager avec votre équipe ou vos clients, soit comme preuve de sécurité, soit comme plan d’action sur la façon d’améliorer un site.
Exécutez un site Web WordPress sans vulnérabilité
Chaque action que vous pouvez prendre pour sécuriser votre site WordPress est vitale. Que votre site lui-même ou vos utilisateurs soient en danger, il est important de saisir chaque occasion pour exécuter la version la plus sécurisée possible du logiciel que vous utilisez.
L’une des meilleures façons de le faire est d’utiliser le Plugin WPScan, un plugin d’analyse des vulnérabilités complet qui peut être configuré en quelques minutes et qui effectue des analyses automatisées, donc une chose de moins dont vous avez à vous soucier.
La poste Utiliser le plugin WPScan pour trouver les vulnérabilités de votre site WordPress est apparu en premier sur WP White Sécurité.
*** Ceci est un blog syndiqué Security Bloggers Network de WP Blanc Sécurité Rédigé par Tom Rankin. Lire le message original sur : https://www.wpwhitesecurity.com/find-wordpress-vulnerabilities-using-wpscan/