Les vulnérabilités de WordPress peuvent être découvertes par l'utilitaire WPScan, qui est installé par défaut dans Kali Linux. C'est également un excellent outil pour recueillir des informations de reconnaissance générales sur un site Web qui exécute WordPress.
Les propriétaires de sites WordPress feraient bien d'essayer d'exécuter WPScan sur leur site, car cela pourrait révéler des problèmes de sécurité qui doivent être corrigés. Cela peut également révéler des problèmes de serveur Web plus généraux, tels que des listes de répertoires qui n'ont pas été désactivées dans Apache ou NGINX.
WPScan lui-même n'est pas un outil qui peut être utilisé de manière malveillante lors d'analyses simples sur un site, à moins que vous ne considériez que le trafic supplémentaire lui-même est malveillant. Mais les informations qu'il révèle sur un site peuvent être exploitées par des attaquants pour lancer une attaque. WPScan peut également essayer des combinaisons de nom d'utilisateur et de mot de passe pour essayer d'accéder à un site WordPress. Pour cette raison, il est conseillé de n'exécuter WPScan que sur un site que vous possédez ou que vous avez l'autorisation d'analyser.
Dans ce guide, nous verrons comment utiliser WPScan et ses différentes options de ligne de commande sur Kali Linux. Essayez quelques-uns des exemples ci-dessous pour tester votre propre installation WordPress à la recherche de failles de sécurité.
Dans ce didacticiel, vous apprendrez :
- Comment utiliser WPScan
- Comment rechercher les vulnérabilités avec le jeton d'API
Utilisation de WPScan sur Kali Linux | Catégorie | Exigences, conventions ou version du logiciel utilisée |
|---|---|
| Système | Kali Linux |
| Logiciel | WPScan |
| Autre | Accès privilégié à votre système Linux en tant que root ou via le sudo commande. |
| Conventions | # - nécessite que les commandes linux données soient exécutées avec les privilèges root soit directement en tant qu'utilisateur root, soit en utilisant sudo commande$ – nécessite que les commandes linux données soient exécutées en tant qu'utilisateur normal non privilégié |
Comment utiliser WPScan
Bien que WPScan doive déjà être installé sur votre système, vous pouvez vous assurer qu'il est installé et à jour en tapant les commandes suivantes dans le terminal.
$ sudo apt update $ sudo apt install wpscan
Nous avons configuré un serveur de test avec Apache et WordPress installés. Suivez nos exemples de commandes ci-dessous pendant que nous vérifions la sécurité de notre site Web de test.
Utilisez le --url option et indiquez l'URL du site WordPress afin de le scanner avec WPScan.
$ wpscan --url http://example.com
WPScan effectuera ensuite une analyse du site Web, qui se termine généralement en quelques secondes. Étant donné que nous n'avons spécifié aucune option supplémentaire, WPScan effectue une analyse passive et rassemble diverses informations en explorant le site et en examinant le code HTML.
Certaines choses révélées par l'analyse sont les suivantes :
- Le serveur exécute Apache 2.4.41 sur Ubuntu Linux
- La version de WordPress est 5.6 (certaines anciennes versions ont des vulnérabilités connues, n'importe quel WPScan vous en informera)
- Le thème WordPress utilisé s'appelle Twenty Twenty-One et est obsolète
- Le site utilise des plugins appelés "Contact Form 7" et "Yoast SEO"
- Le répertoire de téléchargement a une liste activée
- XML-RPC et WP-Cron sont activés
- Le fichier Lisez-moi de WordPress a été trouvé sur le serveur
Résultats de WPScan Certaines de ces informations peuvent être utiles aux attaquants, mais rien n'a été révélé qui soit une source de préoccupation majeure. Cependant, la liste des répertoires doit définitivement être désactivée dans Apache, et XML-RPC doit également être désactivé s'il n'est pas utilisé. Moins il y a de surfaces d'attaque disponibles, mieux c'est.
Version et thème de WordPress dévoilés Les administrateurs du site peuvent également prendre des mesures pour dissimuler le thème, les plugins et les versions des logiciels qu'ils exécutent. Cela sortirait du cadre de ce guide, mais il existe des plugins WordPress disponibles qui peuvent apporter ces modifications à votre site.
Plugins WordPress trouvés sur le site
Si un site Web a réussi à masquer ses informations WordPress, WPScan peut revenir en disant que le site n'exécute pas du tout WordPress. Si vous savez que cela est faux, vous pouvez utiliser le --force option pour forcer WPScan à analyser le site de toute façon.
$ wpscan --url http://example.com --force
Certains sites peuvent également modifier leurs plugins par défaut ou leurs répertoires wp-content. Pour aider WPScan à trouver ces répertoires, vous pouvez les spécifier manuellement avec le --wp-content-dir et --wp-plugins-dir options. Nous avons rempli quelques exemples de répertoires ci-dessous, alors assurez-vous de les remplacer.
$ wpscan --url http://example.com --force --wp-content-dir newcontentdir --wp-plugins-dir newcontentdir/apps
Recherche de vulnérabilités
Afin de rechercher les vulnérabilités, vous devrez obtenir un jeton API sur le site Web de WPScan. Un peu ennuyeux, mais le processus est assez indolore et gratuit. Avec le jeton, vous êtes autorisé à effectuer 50 analyses de vulnérabilité par jour. Pour plus d'analyses, vous devrez payer un prix.
Une fois que vous avez votre jeton, vous pouvez utiliser le --api-token option pour l'inclure dans votre commande. Les données de vulnérabilité sont ensuite affichées automatiquement après l'analyse.
$ wpscan --url http://example.com --api-token TOKEN
L'utilisation du jeton API permet d'afficher les données de vulnérabilité
Pour effectuer une analyse plus invasive, qui révélera potentiellement plus de vulnérabilités ou d'informations, vous pouvez spécifier un type de détection différent avec le --detection-mode option. Les options incluent passif, mixte ou agressif.
$ wpscan --url http://example.com --api-token TOKEN --detection-mode aggressive
L'utilisation des commandes ci-dessus devrait vous aider à découvrir tous les points faibles de votre site WordPress, et maintenant vous pouvez prendre des mesures pour augmenter votre sécurité. Il y a encore plus que WPScan peut faire; consultez sa page d'aide pour une liste complète des options.
$ wpscan -h
WPScan inclut également des références sous chaque section de sa sortie. Ce sont des liens vers des articles qui aident à expliquer les informations rapportées par WPScan. Par exemple, il existe deux références qui aident à expliquer comment WP-Cron peut être utilisé pour les attaques DDoS. Consultez ces liens pour en savoir plus.
Réflexions finales
Dans ce guide, nous avons appris à scanner un site WordPress avec WPScan sur Kali Linux. Nous avons vu diverses options à spécifier avec la commande, ce qui peut nous aider à analyser les sites Web dont la configuration est obscurcie. Nous avons également vu comment découvrir des informations de vulnérabilité en obtenant un jeton d'API et en utilisant le mode de détection agressif.
WordPress est un CMS avec beaucoup de code, de thèmes et de plugins, tous de différents auteurs. Avec autant de pièces mobiles, il y aura forcément des failles de sécurité à un moment donné. C'est pourquoi il est important d'utiliser WPScan pour vérifier si votre site présente des problèmes de sécurité et de toujours maintenir le logiciel de votre site à jour en appliquant les derniers correctifs de sécurité.