Outils gratuits pour analyser les vulnérabilités de votre site WordPress

By | juin 29, 2020

wordpress pour débutant

C'est un coup de chance pour les créateurs de méfaits sur Internet s'ils peuvent trouver un moyen de nuire aux sites Web WordPress. Avec un seul tour dans leur sac, ils peuvent prendre une photo de près de 30% des sites Internet. C'est l'inconvénient de WordPress étant le CMS le plus populaire. En tant que propriétaires de sites Web, nous devons être proactifs et revoir / mettre à jour régulièrement les mesures de sécurité pour être à l'abri des pirates. Une étape importante et facile à mettre en œuvre dans votre liste de contrôle de sécurité consiste à analyser WordPress pour détecter les vulnérabilités.

Pourquoi devriez-vous analyser WordPress pour détecter les vulnérabilités

  • Votre site Web WordPress peut être le référentiel d'informations personnelles sensibles soumises par les utilisateurs. Ils vous font confiance pour éviter que ces informations ne tombent entre des mains indésirables.
  • D'autres peuvent placer des backlinks, des redirections, des publicités ou des bannières de sites Web qu'ils souhaitent promouvoir sur votre site.
  • Les utilisateurs avec un accès non autorisé à votre site Web peuvent consommer votre bande passante, même sans que vous le sachiez.
  • Tant qu'il n'est pas détecté, les logiciels malveillants peuvent se cacher dans votre site Web et recueillir des informations. Il peut envoyer des spams à d'autres personnes les infectant également dans le processus. Cela peut conduire Google et d'autres services de sécurité comme AVG ou Norton à mettre votre site sur liste noire. Encore une fois, vous ne le savez peut-être même pas.
  • Des analyses régulières peuvent détecter rapidement certaines menaces de sécurité et empêcher le piratage de votre site.

Façons de numériser WordPress

Effectuer une analyse de base des vulnérabilités de votre site Web WordPress n'est ni difficile ni coûteux. Mais comme plus de choses dans la vie, vous avez des options. Lorsqu'il s'agit de rechercher des vulnérabilités dans WordPress, il existe deux méthodes principales.

Scanners à distance sont des outils qui peuvent effectuer une analyse préliminaire et révéler un certain nombre de failles de sécurité. Ils sont une sorte de vérification rapide de votre régime de sécurité. La plupart des scanners fonctionnent généralement de la même manière – entrez simplement l'URL de votre site Web sur leur page Web. Votre site, visible dans le navigateur, sera analysé dans quelques instants et un rapport généré. De nombreuses vulnérabilités peuvent apparaître dans le rapport. Certains outils suggèrent également des actions correctives que vous pouvez effectuer. Certains scanners distants sont spécialement conçus pour scanner des sites WordPress, tandis que d'autres incluent une analyse WordPress dans leur liste de fonctionnalités.

Au contraire, lorsque vous installer un plugin, il accède au serveur dans l'environnement d'hébergement dans lequel il réside et effectue une analyse beaucoup plus approfondie. Un plugin offre des options pour la configuration des règles d'analyse, des automatisations et des analyses complètes qui plongent dans votre base de données pour assurer la sécurité.

La différence importante entre les deux est qu'un scanner à distance ne regarde que la version finale rendue de votre site Web, telle qu'elle apparaît sur votre navigateur (un peu comme un robot de moteur de recherche). Contrairement aux plugins, une analyse à distance ne peut pas regarder dans votre serveur, et donc tout élément malveillant sur votre serveur pourrait rester non détecté.

Il existe de nombreux scanners à distance gratuits et plugins gratuits qui peuvent filtrer votre site Web pour les logiciels malveillants – examinons certains des meilleurs.

1. MalCare

Le premier sur notre liste est MalCare, qui offre une analyse gratuite dans le cloud via leur plugin gratuit. Ce scanner de site WordPress de haute technologie examine tous vos fichiers et toute votre base de données pour trouver même les logiciels malveillants les plus complexes. Et mieux encore, car il utilise les propres serveurs cloud de MalCare pour rechercher les vulnérabilités, il ne ralentira pas votre site.

MalCare Scanner

MalCare propose également des plans premium avec encore plus d'options pour la détection précoce, l'analyse et la suppression automatisées des logiciels malveillants, les CAPTCHA, le blocage IP, recommandent les paramètres WordPress (désactiver l'éditeur de fichiers, télécharger la protection des dossiers, clés de sécurité, etc.), les plugins interdits, etc. Et selon vos besoins, ils proposent même une solution en marque blanche avec des rapports personnalisés pour vos clients.

2. Sucuri SiteCheck

Sucuri est un nom bien connu dans la sécurité des sites Web et compile des rapports de vulnérabilité réguliers et complets. SiteCheck analysera tous les sites Web, y compris les sites Web WordPress, et révélera les logiciels malveillants connus, les logiciels obsolètes et les erreurs de site Web. Vous connaîtrez également l'état de votre liste noire avec des services tels que Google, AVG Antivirus, McAfee et Norton.

Scanner Sucuri SiteCheck

Le scanner compare toutes vos pages avec la base de données Sucuri et signale toute anomalie. Le rapport recommande également la façon dont vous devez gérer ces anomalies.

3. WP Sec Scan

Si vous recherchez un scanner spécifique à WordPress, WP Sec fera l'affaire. Sur leur page Web, vous avez le choix – soumettez l'URL de votre site Web pour une analyse ou inscrivez-vous pour leur compte gratuit / premium.

WPScans

Un compte gratuit vous donne droit à une analyse hebdomadaire automatique. Si vous gérez plusieurs sites Web WordPress, vous pouvez suivre la sécurité de tous les sites à partir d'un seul tableau de bord. Vous recevrez également des alertes par e-mail si un bogue est détecté ou si votre installation WordPress doit être mise à jour.

Un rapport de base peut répertorier certaines failles de sécurité et vous indiquer comment procéder pour le corriger. Vous pouvez également accéder à un enregistrement de vos rapports d'analyse pour référence future. WPScans maintient une vaste base de données des derniers bugs et menaces de sécurité, ce qui signifie que les menaces les plus courantes peuvent être détectées avec ce scanner.

4. Analyse de sécurité WordPress

WordPress Security Scan propose également deux options – une version de base gratuite et une version avancée premium. Il effectue des vérifications en appelant un certain nombre de pages via des requêtes Web régulières et analyse la source HTML correspondante. Une analyse révélera des failles de sécurité évidentes dans WordPress et recommandera des améliorations de la configuration liées à la sécurité qui peuvent renforcer la protection contre les futures attaques.

Analyse de sécurité WordPress

L'analyse gratuite vérifie la version WordPress, la réputation de l'hôte, la géolocalisation et la réputation du site de Google. Il vérifie également les liens externes, la liste des plugins et l'indexation des répertoires sur les plugins. Il répertorie les iframes présents et le Javascript lié, qui peuvent tous deux être utilisés pour fournir du code malveillant. Vous pouvez ensuite examiner tout script qui ne vous semble pas familier.

5. Premier guide du site

Le scanner First Site Guide fonctionne de la même manière que les autres scanners – entrez l'URL de votre site et appuyez sur le bouton Scan. Il teste si les informations sur la version de WordPress, les noms d'utilisateur ou les tentatives de connexion échouées sont détectables.

Premier scanner de guide de site

Il vérifie également si le readme.html fichier, le install.php et le upgrade.php les fichiers sont accessibles via HTTP et si le dossier de téléchargement est consultable. Mais pour une analyse vraiment significative qui couvre plus de 40 tests, ils vous conseillent d'installer Security Ninja.

6. Wordfence

Wordfence est un plugin de sécurité complet qui analyse tout ce qui concerne WordPress sur votre site Web, y compris le code source et les fichiers image. Si vous activez cette option, elle analysera également les fichiers non liés à WordPress. Leur flux de défense contre les menaces est constamment mis à jour et le flux est utilisé par les scanners pour identifier les logiciels suspects.

Wordfence

Une analyse recherche plus de 44 000 logiciels malveillants et backdoors connus, ainsi que des URL de phishing dans tous vos commentaires, publications et fichiers. Non seulement cela, il analyse les fichiers de base, les thèmes et les plugins et les compare avec les fichiers du référentiel WordPress.

7. Virus Total Scanner

Au lieu d'exécuter l'URL de votre site via plusieurs scanners, vous pouvez la soumettre sur Virus Total, une filiale de Google. Il fait le travail d'agrégation des résultats d'un scan à partir de plusieurs scanners comme Avira, Comodo, Sucuri et Qettera.

Virus total

L'avantage d'une telle méthode est que vous pouvez détecter plus facilement les faux positifs des scanners. Vous saurez si une ressource inoffensive est classée à tort comme un logiciel malveillant lorsque l'URL est exécutée via plusieurs scanners. Cet outil n'est pas spécifique à WordPress et toutes sortes de sites Web peuvent utiliser le scanner. Virus Total n'est pas un outil de test antivirus complet, mais un agrégateur de résultats d'analyse provenant de différents analyseurs.

Les fichiers et les URL soumis par Virus Total seront partagés avec les sociétés de sécurité pour leur utilisation dans l'amélioration de la sécurité Web globale.

8. Quttera

Bien que Quttera propose une analyse en ligne en un clic, il intègre également un scanner spécifique à WordPress, qui vous oblige à télécharger leur plugin sur votre site Web WordPress.

Scanner WordPress Quttera

Le plugin parcourt votre site à la recherche de scripts suspects, de médias malveillants et de menaces cachées et vous permet de savoir si vous êtes sur une liste noire. Les serveurs distants de Quttera analysent les données. À la fin d'une analyse, vous recevrez un rapport d'enquête détaillé, qui recommandera des mesures correctives. Ces rapports sont classés comme propres, potentiellement suspects, suspects et malveillants et peuvent être consultés par le public.


Ces scanners et plugins en ligne gratuits font un travail de base pour révéler les logiciels malveillants et les vulnérabilités. Pour une analyse plus approfondie et des recommandations précises pour réduire les vulnérabilités, vous devrez consulter leurs plans premium. Ces plans regroupent des services tels que la surveillance, le nettoyage et l'assistance pratique face aux menaces. Et, comme je l'ai mentionné au début, la numérisation de votre site Web n'est que la première étape de la sécurité WordPress.