La sécurité de votre site WordPress devrait être l’une de vos priorités. Il est donc important de réaliser régulièrement un test de sécurité WordPress. Dès la mise en ligne d’un site, il est possible d’éviter l’immense majorité des attaques en suivant quelques principes de base et en mettant en place certains outils de défense et protection.
1. Pourquoi faire un test de sécurité WordPress ?
Il se peut que vous n’ayez pas appliqué les bonnes pratiques depuis le lancement de votre site ou que vous constatiez tout à coup des événements étranges. En effet, lorsqu’il est piraté, un site peut devenir très lent, comporter du contenu qui n’a pas été mis en ligne par son ou sa propriétaire ou rediriger vers d’autres domaines. Dans ces deux cas, il existe des outils pour vérifier la santé d’un site WordPress.
Le piratage
La principale raison pour laquelle la sécurité d’un site WordPress est analysée reste le piratage. Vous cherchez à comprendre ce qu’il se passe sur votre site pour régler les problèmes le plus rapidement possible.
Par ailleurs, il se peut aussi que vous souhaitiez renforcer la protection de celui-ci. Pour vous aider, nous allons examiner quelques outils qui analysent les faiblesses potentielles d’un site et, par conséquent, qui vous permettent aussi de les consolider.
2. Que vérifie un outil de scan ?
Un logiciel de scan passe en revue des critères particuliers liés à la sécurité d’un site. Il peut être spécifiquement conçu pour WordPress ou analyser des sites web de tout type. Cependant, la plupart de ces outils scannent un site de l’extérieur et n’ont donc pas accès à certaines parties sensibles, et potentiellement mal protégées, d’un site.
3 outils pour faire un test de sécurité WordPress
C’est pourquoi nous allons détailler trois options, dont une est hors site et deux sont spécifiquement conçues pour WordPress. Toutes vérifient la santé générale de votre site, notamment la présence de virus et si la version de WordPress est à jour. Celles dédiées à WordPress contrôlent aussi les extensions, les thèmes, certains fichiers et les vulnérabilités spécifiques au système.
Par ailleurs, elles permettent aussi de scanner un site à intervalles réguliers automatiquement. Ceci renforce considérablement la sécurité de votre site, puisqu’en cas de vulnérabilité ou d’attaque détectée, vous serez averti.e immédiatement.
3. Sucuri Sitecheck
Sucuri Sitecheck est probablement le premier scan utilisé pour vérifier si un site a été piraté, mais aussi faire un simple test de sécurité WordPress. Grâce à lui, vous pourrez très rapidement voir si ce dernier comporte des virus ou s’il est sur liste noire.
Sitecheck détecte aussi les injections de spam, les erreurs internes du serveur, si un site est défiguré et s’il est protégé par un pare-feu. De plus, il vous donne quelques recommandations de sécurité pour mieux vous défendre.
Pour finir, si vous constatez la présence de virus et autres spams, vous êtes déjà au bon endroit puisque Sucuri est l’un des meilleurs services pour nettoyer un site infecté sur le marché.
4. Extension Sucuri pour WordPress
Sucuri propose également une extension WordPress qui scanne votre site, surveille l’activité de l’intérieur et renforce la sécurité globale. L’avantage de l’extension par rapport à l’outil en ligne reste qu’elle peut non seulement analyser un site en profondeur, mais aussi le faire régulièrement, sans intervention de votre part.
5. Wordfence
Wordfence est sans doute la meilleure extension de sécurité WordPress. Et elle vous permet également de scanner un site en profondeur, automatiquement et à intervalles réguliers.
L’avantage de cette extension par rapport à celle de Sucuri est son pare-feu. En effet, Wordfence peut tester et scanner la sécurité d’un site, la renforcer où il est nécessaire, mais aussi protéger le site d’attaques potentielles, avant même qu’elles ne l’atteignent, grâce à son pare-feu.
Services supplémentaires
Wordfence dispose aussi d’un service de nettoyage dans le cas où le site a été piraté. Cependant, avec son outil scan vous aurez déjà une vue d’ensemble sur les problèmes existants.
Par ailleurs, à l’inverse de Sucuri, Wordfence propose une protection complète qui va de la sécurité des connexions à l’exclusion d’adresses IP reconnues comme malveillantes. Elle est, selon moi, l’une des extensions absolument indispensables à tout site WordPress.
6. Outils obsolètes
Lors de mes recherches pour cet article, j’ai pu effectuer un test de sécurité WordPress à l’aide de plusieurs outils souvent recommandés. Certains étaient tellement basiques que je ne les ai pas retenus, mais il y en a deux qui semblent revenir en tête des listes et qui ne m’ont pas du tout donné satisfaction.
En effet, après avoir testé Geekflare Security Scanner, j’ai pu constater que celui-ci n’était pas efficace car il n’est sans doute pas à jour. Il est lui-même basé sur l’extension WPScan qui n’a, quant à elle, pas été mise à jour depuis sept mois, au moment de la publication de cet article.
Geekflare
Geekflare n’a donc pas correctement détecté la version de WordPress (5.9.1) lors de mon test de sécurité WordPress et a retourné des vulnérabilités pour une version antérieure de cinq mises à jour (5.8.1) ! Il n’a pas non plus décelé que le protocole XML-RPC était bien désactivé.
Ensuite, il a trouvé 7 extensions sur 24 et n’a pas réussi à correctement détecter l’une des versions, qui était à jour. Par conséquent, une vulnérabilité a été retournée pour cette version de l’extension. Enfin, sa première recommandation est de changer l’URL de connexion de la page d’administration, ce qui n’est pas nécessaire selon moi.
Je vous déconseille donc d’utiliser cet outil ou l’extension WPScan, qui semblent être à l’abandon pour le moment.
7. Conclusion
Lorsque vous constatez que votre site se comporte de manière étrange, il est parfois déjà trop tard pour le sécuriser. Néanmoins, il est toujours possible de le nettoyer, et la première étape de ce processus sera d’effectuer un test de sécurité WordPress.
Les outils mentionnés dans cet article vous permettront de le faire simplement en vous proposant des améliorations possibles ou en identifiant les endroits spécifiques qui ont été infectés.
Même si vous n’êtes pas victime de piratage, je vous recommande d’installer un scanner automatique sur votre site WordPress. De cette manière, vous pourrez éviter de nombreux ennuis.
Pour quelle raison devez vous effectuer un test de sécurité WordPress sur votre site ? Dites-le moi dans les commentaires !