La renaissance de 5.FreshMinutes.IT ou comment effectuer un audit de sécurité sur un blog WordPress avec WPScan

Je n’ai pas été vraiment actif ces 7 dernières années sur ce blog. Pourquoi? Une des raisons est que j‘ai travaillé pour une entreprise m’ayant demandé de signer un NDA spécifique concernant mon travail sur l’innovation et la veille technologique. J’ai quitté l’entreprise, et la NDA n’a plus lieu d’être! Maintenant, j’ai plus de temps et d’envie, alors, pour cette renaissance, voici les évolutions spécifiques:

  • Maintenant, j’écris en anglais. Dans certains cas, l’article sera traduit en français (via Google Translate…)
  • Le blog n’est plus axé uniquement sur Java, car la galaxie IT a évolué depuis 2008, date à laquelle j’ai créé mon blog
  • Le blog a été piraté, en raison du manque de correctifs et d’audit de sécurité. En conséquence, le blog a été mis à niveau et le thème a été rafraîchi! Et je vais montrer expliquer comment effectuer un audit de sécurité énumérant les principales vulnérabilités de votre blog WordPress avec WPScan.

Effectuer une vérification de la sécurité sur un blog WordPress

Je travaille sous Windows 10 et je développe sous cet environnement (grâce au bon support de Docker et Powershell ). Dans ce document, je vais expliquer comment configurer une distribution Linux de Kali et effectuer des vulnérabilités d’analyse avec WPScan .

Kali Linux est une distribution Linux basée sur Debian conçue pour la forensique numérique et les tests de pénétration . Il est maintenu et financé par Offensive Security Ltd. Mati Aharoni , Devon Kearns et Raphaël Hertzog sont les principaux développeurs.

Configuration de Kali sur Hyper-V

Créez une machine virtuelle et installez le système d’exploitation en téléchargeant l’image ISO au lieu de l’image Hyper-V pré-construite. Il faut plus de temps, mais les paramètres (surtout pour les non-américains) seront plus faciles et plus simples avec cette stratégie.

Il est également possible d’exécuter un Kali avec Virtual Box. Travailler avec Virtual Box pose quelque problèmes, si vous utilisez Docker sous Windows (car Docker utilise Hyper-V et malheureusement Virtual Box et Hyper-V ne peuvent fonctionner en même temps).

La configuration de Kali avec l’ISO est très simple, quand elle est lancée, il suffit de suivre les instructions affichées. Mais assurez-vous que le réseau est configuré avant de lancer la VM pour la première fois.

Configuration du réseau

Dans le Gestionnaire Hyper-V , assurez-vous que vous avez déjà créé un commutateur virtuel interne.

Création d’un commutateur virtuel interne dans le gestionnaire Hyper-V

Ensuite, partagez votre commutateur virtuel, dans votre Centre de partage de réseau dans Windows.

  1. Sélectionnez votre connexion Internet (dans mon cas Ethernet )
  2. Modifier les propriétés
  3. Sélectionnez Partager et autoriser le réseau ayant le nom du commutateur virtuel interne que vous avez créé.

Ensuite, le système d’exploitation hébergé par votre machine virtuelle pourra se connecter à Internet.

Mettez à jour votre Kali

Assurez-vous d’avoir les dernières versions / patch en tapant ceci dans votre terminal Kali Linux

  apt-get update && apt-get -y dist-upgrade

Utilisation de WPScan pour numériser les fonctionnalités de wordpress

Une fois que votre Kali est configuré, de nombreux outils seront disponibles pour vous.

Dans un terminal, vous pouvez lancer votre audit facilement:

  wpscan --url http://the_url_of_your_blog.com - update

Si aucune vulnérabilité n’a été trouvée, vous devriez avoir un résultat proche de ceci:

Si des vulnérabilités ont été trouvées, votre analyse devrait être proche de cela:

WPScan a trouvé des vulnérabilités

Si des vulnérabilités sont trouvées, la meilleure solution consiste généralement à mettre à jour votre WordPress et/ou à désactiver les plugins ayant des vulnérabilités. Des références pour vos vulnérabilités seront également fournies. Parfois, celles-ci peuvent sembler non critiques pour votre configuration / utilisation.

Aller plus loin

Cette vérification est rapide et simple et analyse uniquement votre configuration WordPress: elle vous aidera à éviter les attaques de script kiddies. En alternative à WPScan, il existe des extensions WordPress effectuant des vérifications similaires. Mais ces audits automatiques, ne remplacent pas un test de pénétration complet réalisé par un spécialiste: surtout si vous avez créé vos propres modules / modules.
Autres point, WordPress n’est pas forcément la faille de votre blog, cela peut être un autre système applicatif: vous pouvez consulter Metasploit Framework et Armitage afin de vérifier rapidement si il y a de tester des failles connues sur votre serveur.

Sources: