Magazine Gadgets

Comment utiliser WPScan : un didacticiel pas à pas

Publié le 12 avril 2023 par Mycamer

Les vulnérabilités des plugins ou des thèmes WordPress obsolètes peuvent permettre aux pirates d’accéder à votre site Web. WPScan est un scanner de vulnérabilité pour votre site, identifiant les vulnérabilités critiques et vous aidant à maintenir votre site à jour et à l’abri des cybermenaces.

L’article sert de tutoriel étape par étape pour les utilisateurs débutants de WordPress pour apprendre comment utiliser WPScan pour trouver des failles de sécurité. En tant qu’experts en sécurité, nous comprenons l’importance de protéger votre site Web contre les cybermenaces. C’est pourquoi nous avons nous-mêmes testé WPScan et pouvons vous fournir des informations fiables et des conseils sur la façon de l’utiliser pour analyser et sécuriser votre site WordPress.

WPScan est incroyablement convivial et simple à utiliser, en particulier pour les petits sites. Tout ce que vous avez à faire est de créer un compte, d’installer le plugin et vous êtes prêt à partir. Cependant, pour les sites plus importants, si vous souhaitez utiliser le plugin gratuitement, vous devrez sélectionner les plugins et les thèmes que vous souhaitez surveiller. Il est essentiel de se rappeler que l’analyse des vulnérabilités n’est qu’un aspect de la sécurité de WordPress, et qu’un bon pare-feu comme MalCare protégera votre site même s’il présente des vulnérabilités.

WPScan est un scanner de vulnérabilité conçu spécifiquement pour les sites Web WordPress. Comme son nom l’indique, il analyse votre site à la recherche de vulnérabilités et offre des fonctionnalités de renforcement.

Avec l’une des bases de données de vulnérabilités les plus complètes disponibles, WPScan peut identifier les vulnérabilités même dans les plugins et les thèmes les plus obscurs avec moins de 100 installations actives.

Cela étant dit, WPScan n’est pas un plug-in de sécurité complet et n’inclut pas de pare-feu ou de fonctionnalité de suppression de logiciels malveillants, ce qui est essentiel pour une Sécurité WordPress. Pour cela, vous aurez besoin de MalCare.

Comment utiliser WPScan pour trouver des vulnérabilités ?

L’utilisation de WPScan nécessite un peu de configuration et une connaissance de son fonctionnement. Dans cette section, nous vous guiderons tout au long du processus d’installation, de configuration et d’utilisation de WPScan afin que vous puissiez protéger votre site Web contre les attaques potentielles.

Étape 1 : Créer un compte

Lorsque vous utilisez WPScan, vous devrez obtenir un jeton API pour accéder au service. Ce jeton est unique pour chaque utilisateur et est nécessaire au service pour suivre l’utilisation et prévenir les abus.

Pour obtenir votre jeton API, vous devrez vous inscrire à WPScan et créer un compte. Une fois votre compte créé, vous pourrez accéder à votre jeton API dans les paramètres de votre profil.

Étape 2 : Installez WPScan sur votre site WordPress

Pour l’installation, vous avez le choix entre deux méthodes. La première méthode est adaptée aux débutants et consiste à utiliser le plugin WPScan directement à partir du tableau de bord WordPress. La deuxième méthode est un peu plus avancée et consiste à installer WPScan à partir de la ligne de commande. Examinons les deux méthodes plus en détail.

Installer WPScan avec un plugin

Le moyen le plus rapide de commencer à utiliser WPScan consiste à utiliser un plugin.

1. Installez et activez le plugin WPScan à partir de la page des plugins sur votre tableau de bord WordPress.

2. Obtenez votre clé API en vous inscrivant à un compte WPScan et en trouvant la clé dans votre profil.

3. Entrez la clé API dans le tableau de bord wp-admin pour activer la fonctionnalité d’analyse.

4. Désélectionnez tous les plugins ou thèmes que vous ne souhaitez pas vérifier, car la version gratuite de WPScan n’autorise que 25 appels d’API par jour. Chaque plugin ou thème prend 1 appel API. Si vous maintenez régulièrement votre version de WordPress à jour, vous pouvez la désélectionner dans la liste des éléments à vérifier.

Personnalisez les paramètres d’analyse en fonction des besoins de votre site, mais assurez-vous de vérifier tous les plugins et thèmes installés, surtout si vous ne les mettez pas à jour régulièrement.

Installer avec WP-CLI

Pour installer WPScan via la ligne de commande, saisissez l’une des commandes suivantes dans le terminal :

Si vous utilisez Windows : gem install wpscan

Si vous utilisez un MacOS : brew install wpscanteam/tap/wpscan

Étape 3 : analysez votre site avec WPScan

Si vous avez installé WPScan en tant que plugin, vous pouvez y accéder via votre tableau de bord WordPress. Si vous l’avez installé à l’aide d’un outil de ligne de commande, vous devrez utiliser le terminal pour exécuter des analyses.

Utiliser le plugin

Après avoir configuré WPScan, il exécutera automatiquement une analyse quotidienne à une heure fixe.

Pour exécuter une analyse manuelle, cliquez sur “Exécuter tout” dans le “Cliquez sur le bouton Exécuter tout pour exécuter une analyse complète des vulnérabilités sur votre site Web WordPress”. boîte.

Chaque plugin ou thème aura un résultat correspondant et une action recommandée, généralement pour mettre à jour si une vulnérabilité a été corrigée dans une mise à jour ultérieure, avec un lien vers plus d’informations.

Vous pouvez cliquer pour voir les vulnérabilités découvertes et les liens de référence.

De plus, vous pouvez configurer des alertes par e-mail pour les rapports d’analyse.

Utiliser WP-CLI

Le scanner de base peut être utilisé avec la commande suivante :

wpscan --url <your site URL here> 

Cela vérifiera si vos plugins et thèmes sont à jour. Il y a plusieurs commandes que vous pouvez utiliser à partir de la ligne de commande. WPScan peut également être utilisé pour tester votre site contre les attaques par force brute. Gardez à l’esprit que certaines commandes nécessiteront l’utilisation du jeton API.

Étape 4 : Vérifier les autres mesures de durcissement

Voici quelques éléments supplémentaires à rechercher dans un rapport WPScan, en dehors d’une analyse de base :

  • Recherchez les fichiers debug.log : Les fichiers journaux peuvent contenir des informations sensibles qui peuvent être utilisées par des attaquants pour exploiter des vulnérabilités.
  • Recherchez les fichiers de sauvegarde wp-config.php : wp-config.php contient des données sensibles telles que les informations d’identification de la base de données et les sels de mot de passe, et doit être conservé en toute sécurité.
  • Vérifiez si XML-RPC est activé : XML-RPC présente un risque de sécurité potentiel car il offre une autre façon de se connecter à un site. Il est recommandé de le désactiver s’il n’est pas nécessaire.
  • Recherchez les fichiers de base de données exportés : les sauvegardes stockées dans des dossiers accessibles au public peuvent contenir des données utilisateur sensibles et doivent être conservées en toute sécurité.
  • Vérifiez les mots de passe faibles : utilisez un vérificateur de force de mot de passe pour vous assurer que les mots de passe sont sécurisés.
  • Vérifiez si HTTPS est activé : s’assurer SSL est activé sur le site.

Tarification

WPScan est un excellent outil à avoir sous la ceinture de sécurité de votre site. C’est un élément important de la sécurité WordPress qui est facile à utiliser et efficace. Avec cela à l’écart, parlons de prix.

La version gratuite de WPScan est disponible pour une utilisation personnelle et non commerciale, mais elle n’est pas activement prise en charge. Beaucoup de gens choisissent d’utiliser Jetpack à la place.

L’édition entreprise de WPScan propose une version gratuite qui permet jusqu’à 25 appels d’API par jour. Vous pouvez vérifier le nombre d’appels d’API que vous avez utilisés dans la case “Statut du compte” sur votre tableau de bord.

Les utilisateurs commerciaux peuvent opter pour Jetpack Protect, qui inclut WPScan. Pour les utilisateurs en entreprise, les développeurs peuvent intégrer WPScan directement dans leur site.

Conclure

Bien que WPScan soit un excellent outil pour identifier les vulnérabilités de votre site WordPress, ce n’est pas un solution de sécurité complète. Si le scanner révèle des vulnérabilités, votre site contient peut-être déjà des logiciels malveillants. Pour être absolument clair, WPScan ne peut pas du tout détecter les logiciels malveillants.

Si vous pensez que votre site contient des logiciels malveillants, vous aurez besoin d’un nettoyeur de logiciels malveillants pour le supprimer. De plus, pour vous protéger des attaques futures, vous aurez besoin d’un pare-feu en place.

C’est là que le MalCare Il s’agit du plugin de sécurité le plus complet qui comprend non seulement un puissant nettoyeur de logiciels malveillants, mais également un pare-feu pour protéger votre site contre les attaques futures.

FAQ

A quoi sert WPScan ?

WPScan est un outil de sécurité conçu spécifiquement pour les sites WordPress. Il est utilisé pour identifier les vulnérabilités dans les plugins WordPress, les thèmes et l’installation principale de WordPress elle-même. L’outil analyse les vulnérabilités à l’aide d’une base de données de problèmes connus et fournit des informations sur la manière de corriger ces vulnérabilités. WPScan peut être utilisé par les propriétaires de sites Web, les développeurs et les chercheurs en sécurité pour identifier les faiblesses de sécurité potentielles de leur site WordPress et prendre les mesures nécessaires pour prévenir toute attaque potentielle.

Où dois-je mettre le jeton API dans WPScan ?

Le jeton API peut être ajouté au tableau de bord de WPScan ou utilisé avec la commande appropriée de la CLI.

Certaines des commandes nécessitent un jeton API pour les fonctionnalités avancées de WPScan, telles que l’énumération des plugins et des thèmes, le test des attaques par force brute et les tests de vulnérabilité. Pour utiliser le jeton API avec WPScan, vous devez exécuter la commande avec l’option –api-token, suivie de votre jeton API.

Par exemple, la commande ressemblerait à ceci :

wpscan --url https://example.com --api-token ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789

Remplacez https://example.com par l’URL de votre site Web et ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789 par votre jeton API.

La poste Comment utiliser WPScan : un didacticiel pas à pas est apparu en premier sur MalCare.

*** Ceci est un blog syndiqué du Security Bloggers Network de MalCare Rédigé par Équipe éditoriale. Lire le message d’origine sur : https://www.malcare.com/blog/how-to-use-wpscan/

to securityboulevard.com


Abonnez-vous à notre page Facebook: https://www.facebook.com/mycamer.net
Pour recevoir l’actualité sur vos téléphones à partir de l’application Telegram cliquez ici: https://t.me/+KMdLTc0qS6ZkMGI0
Nous ecrire par Whatsapp : Whatsapp +44 7476844931



Retour à La Une de Logo Paperblog

A propos de l’auteur


Mycamer Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Magazines