Faire un audit de sécurité WordPress

Après un piratage et compromission de WordPress, il est judicieux d'effectuer une vérification de sécurité de WordPress.
Cela a plusieurs buts :

  • S'assurer qu'aucune porte dérobée ou contenu malveillant n'est encore présent sur votre site
  • Faire un audit de sécurité général pour résoudre les problèmes de sécurité
  • Essayer de déterminer le source du piratage

Ce tutoriel vous donne les grandes lignes pour faire un audit de sécurité WordPress.

Faire un audit de sécurité WordPress

Faire un audit de sécurité WordPress

Audit Sécurité avec Wordfence

L'extension de sécurité Wordfence propose de manière automatique la plupart des éléments à vérifier de ce tutoriel.
Il permet donc de faire un audit de sécurité pour les débutants même s'il faut un minimum de connaissances techniques.

Suivez ce guide :

Vérifier les créations récentes de fichiers

Si vous avez un accès SSH à votre VPS ou serveur dédié, vous pouvez utiliser la commande find pour lister les dernières créations et modifications de fichiers.
Cela peut aider à trouver les modifications malveillantes opérées par des pirates.

Par exemple pour lister les fichiers modifiés depuis les cinq derniers jours dans le dossier WordPress /var/www/html/wordpress :

cd /var/www/html/wordpress
find . mtime -5 –ls | less

Plus d'informations sur la commande find :

Par la suite, vous devez installer l'extension WordPress File Monitor qui surveille les fichiers sur votre installation WordPress pour les modifications et vous alerte immédiatement.
Enfin il existe aussi ces solutions Tripwire, Trustwave, Qualys, AIDE (Advanced Intrusion Detection Environment).
Cela peut prévenir des piratages et modifications non voulues de votre site WEB.

Rechercher les backdoor PHP, web shells et injections de codes

La seconde actions consiste à chercher et détecter la présence de backdoor PHP ou injection de codes.
Pour y parvenir, suivez les recommandations de ce tutoriel :

Comparer les fichiers avec une installation WordPress d'origine

Une autre méthode consiste à comparer vos fichiers PHP WordPress avec ceux d'origine.
Cela permet de vérifier s'ils ont été modifiés et font l'objet d'une injection de code malveillant.
Il faut pour cela récupérer le fichier ZIP depuis le site de WordPress avec la même version que le votre.

Ensuite on utilise un logiciel de différentiations et de comparaisons (WinMerge, Beyond Compare, ...).

Par exemple avec Beyond Compare :

  • A gauche, le site à vérifier et à droite les fichiers officiels WordPress.
  • On voit à gauche que wp-blog-header.php est rouge et différent.
  • On sélectionne les deux fichiers puis clic droit et Quick Compare.
Comparer les fichiers avec une installation WordPress d'origine

En rouge la différence avec un code suspect avec du eval et base64 typique des injections de codes PHP

Comparer les fichiers avec une installation WordPress d'origine

Pour vous aider, suivez ce tutoriel :

Les fichiers .htaccess

Le fichier .htaccess n'est utilisé que si votre serveur WEB est Apache.
Les pirates peuvent le modifier pour opérer des redirections de vos visiteurs vers du contenu malveillant ou des publicités.
Il faut donc vérifier le contenu et s'assurer qu'aucune falsification de vos fichiers .htaccess n'a eu lieu.

Vérifier les comptes utilisateurs

Les pirates peuvent créer un compte utilisateur administrateur pour garder la main sur votre site.
Vérifiez la liste des utilisateurs :

  • Connectez-vous au panneau d'administration de WordPress
  • Puis Comptes
  • Supprimer les comptes utilisateurs suspects
Vérifier les comptes utilisateurs WordPress

Vérifier les extensions installées

Les hackers peuvent installer des extensions malveillantes ou modifier celles existantes.
Après le piratage de votre site internet, il est conseillé de supprimer toutes les extensions et de les réinstaller depuis les sites officiels.
Vous êtes alors certains d'avoir des versions légitimes et saines.

Mettre à jour WordPress

Une version non à jour de WordPress peut comporter des vulnérabilités et failles logiciels.
En mettant à jour WordPress, vous corrigez les vulnérabilités qui peuvent permettre la compromission de votre site internet.

  • Ouvrez le tableau de bord WordPress puis Mise à jour
  • Si une mise à jour est disponible, Installez la
  • Puis activer les mises à jour automatiques pour toute les versions de WordPress
Activer les mises à jour automatiques pour toute les versions de WordPress
  • Ensuite allez dans Extensions
  • Puis activez les mises à jour des extensions tout à droite de chacune d'elle
activer les mises à jour automatiques des extensions de WordPress

Pour aller plus loin :

Désinfecter et sécuriser WordPress

Enfin suivez le tutoriel complet pour protéger et sécuriser WordPress :