• Votre panier est vide.

  • COMPTE

Apprendre à se protéger de WPScan

Se protéger de WPScan

Installer / mettre à jour son site

On pourra installer un plugin comme User Locker qui permet de limiter le nombre de tentatives d’authentification ou encore un anti-virus.

Ensuite, il suffit d’éliminer le readme.html à la racine du WordPress, maintenir le CMS et les plugins à jour et utiliser un mot de passe long comportant des caractères différents.

 

Pourquoi changer le user-agent ?

Il est possible très facilement de changer le user-agent (l’identité du navigateur web qui fait la requête auprès du serveur).

Certains plug-ins de sécurité WordPress comme better-wp-security, mettent en place une restriction d’accès au site web selon certains navigateurs. Voici par exemple le navigateur indiqué par WPScan lorsqu’il fait un scan ou un brute force auprès du serveur web :

se protéger de wpscan

Le user-agent est une donnée très facilement falsifiable, il est donc intéressant de savoir et de garder en tête que ce genre de plug-in ne vous sécurise pas à 100% et que leur simple présence ne suffit pas à garantir une sécurité certaine de votre WordPress.

On peut aussi à partir de WPScan spécifier des répertoires personnalisés plutôt que d’utiliser ceux par défaut. Par exemple, pour spécifier un répertoire “wp-content” personnalisé :

wpscan -u www.wp.loc --wp-content-dir wp-content-custom

Pour spécifier un répertoire de plug-in personnalisé :

wpscan -u www.wp.loc - --wp-plugins-dir wp-content/plugins-custom

 

Modifications du fichier .htaccess :

Rajoutez ce code dans votre fichier .htaccess pour éviter la faille qui énumère les utilisateurs de votre blog WordPress :

# BEGIN Stop wordpress username enumeration vulnerability
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
# END Stop wordpress username enumeration vulnerability

Rajoutez ce code dans votre fichier .htaccess pour lutter contre le Full Path Disclosure (FPD) :

# BEGIN FIX FULL PATH DISCLOSURE (FPD)
php_flag display_errors off
# END FIX FULL PATH DISCLOSURE (FPD)

Cette faille permet d’afficher le chemin d’accès complet d’un script vulnérable. Il est exécuté par injection de caractères inattendus dans certains paramètres d’un page web. Le plugin ou script installé sur votre hébergement ne prévoit pas le caractère injecté et renvoie un message d’erreur contenant des informations sur l’erreur et même le chemin complet du script cible.


Bloquer l’accès aux répertoires de votre installation de WordPress en ajoutant à la fin de votre fichier .htaccess cette ligne :

# BEGIN FIX DIRECTORY LISTING
Options All -Indexes
# END FIX DIRECTORY LISTING

Protéger le fichier wp-config.php, il contient tout le paramétrage de votre site (hors plugins) et notamment les codes d’accès à votre base de données :

# BEGIN PROTECT WP-CONFIG.PHP
<Files wp-config.php>
order allow,deny
deny from all
</Files>
# END PROTECT WP-CONFIG.PHP

 

Modifications à faire le fichier functions.php de votre thème

Rajoutez dans le fichier functions.php de votre thème la ligne suivante qui permet de supprimer la version de WordPress dans le code source de celui-ci :

add_filter('get_the_generator_rss2', '__return_false');
add_filter('get_the_generator_atom', '__return_false');
remove_action("wp_head", "wp_generator");

Malgré tout wpscan est très intelligent et utilise plusieurs méthodes pour récupérer la version de WordPress. A ce jour je n’ai rien trouvé de réellement efficace pour supprimer la version de WordPress.


Masquer les erreurs de connexions à l’administration de WordPress.

Le message retourné par WordPress en cas de problème de connexion est trop explicite. Pour banaliser le message d’erreur rajouter cette ligne dans votre fichier functions.php de votre thème :

add_filter('login_errors',create_function('$erreur', "return 'Erreur de connexion';"));

 

Astuces générales à appliquer sur WordPress :

  • Rajouter un fichier index.php dans vos répertoires de plugins et de thèmes pour éviter le listing de ceux-ci.
  • Mettre à jour régulièrement votre WordPress, vos plugins et votre thème.
  • Faire une sauvegarde régulière de votre base MySQL et des fichiers de WordPress.
  • Utiliser le plugin Askimet (https://wordpress.org/plugins/akismet/) qui permet de surveiller et nettoyer les commentaires indésirables.
TOUT VOIR Ajouter une remarque
VOUS
Ajouter votre commentaire
Culte du code | 2015-2020  (Vecteurs par Freepik, Parallax par fullvector)