WPHardening : examinez les vulnérabilités et les contrôles de sécurité dans Wordpress Web

La sécurité du site Web est l'un des aspects les plus importants qu'un Webmestre doit considérer.

Le serveur Web que nous utilisons pour notre site Web sous WordPress peut également présenter des vulnérabilités, nous devons donc nous assurer de vérifier qu'il ne présente pas de problèmes de sécurité ou de prendre des mesures pour améliorer la sécurité. Dans d'autres tutoriels, des actions et des outils ont été spécifiés pour renforcer la sécurité, par exemple en appliquant :

1. Mesures de sécurité pour les serveurs VPS
2. Comment détecter et contrôler les services sur les serveurs Linux

Un aspect très important à prendre en compte est éviter d'utiliser un serveur partagé, sont ces serveurs qui hébergent d'autres sites Web, en plus de notre site Web et d'un site Web sur le même serveur qui est vulnérable, cela peut compromettre tous les autres sites Web puisque les fichiers sont dans le même espace et ainsi propager une attaque ou une infection par virus.
Les les sites web développés sous Wordpress sont sensibles à la plupart des attaques car 30% des sites Web sont développés sous cette plate-forme.

Par conséquent, il est important d'adopter des mesures pour protéger notre site Web et nos données contre d'éventuels attaquants et minimiser le risque que nous ayons. vulnérabilités.

Stratégies que nous pouvons mettre en œuvre

Changez le chemin d'accès au dossier wp-content


Changer le chemin par défaut vers le dossier WordPress wp-content, qui est le dossier où se trouvent la plupart des fichiers et plugins, thèmes qui composent notre site Web. Les exploits et les logiciels malveillants rechercheront ce dossier pour analyser et trouver des vulnérabilités, si nous modifions l'itinéraire, nous rendrons le suivi plus difficile.

Pour effectuer le changement d'itinéraire, nous devons éditez le fichier wp-config.php et modifier la constante wp_content_dir :

 define ('WP_CONTENT_DIR', dirname (__ FILE__). '/ path / wp-content');
Avec cela, il serait changé.

Installer uniquement des plugins sécurisés


Les plugins peuvent être supprimés du référentiel officiel WordPress.org, s'ils ne sont pas mis à jour fréquemment, ce qui permet d'assurer à la communauté que les plugins sont sécurisés et nous montre également quels plugins sont les plus acceptés par les utilisateurs. Le fait qu'ils ne soient pas malveillants n'implique pas qu'ils fonctionnent correctement ou qu'ils ne présentent aucune vulnérabilité.

Il faut faire attention lorsqu'un plugin n'a pas été mis à jour depuis des années, il est signalé comme ayant des bugs. La communauté des utilisateurs a découvert qu'il contient une faille de sécurité.

Utilisation WPhardening pour automatiser des installations sécurisées


WPhardening c'est une outil pour automatiser et effectuer divers contrôles de sécurité afin que notre site Wordpress soit configuré en toute sécurité.

Ce projet est réalisé sous Python et permet de vérifier différents aspects d'un site de développeur sous Wordpress pour rechercher des vulnérabilités.

L'un des principaux avantages de cet outil est l'automatisation des tâches et les paramètres de sécurité sont importants pour éviter d'exposer des informations à des attaquants potentiels. Il existe de nombreux outils spécialement créés pour obtenir et collecter toutes sortes d'informations associées à une installation WordPress. Un grand nombre de Les attaques contre les systèmes WordPress commencent généralement par des informations préalables basées sur des analyses et la collecte d'informations.

Durcissement Wp Il peut être téléchargé sur notre serveur ou ordinateur local depuis sa page officielle ou depuis le terminal avec la commande en utilisant la commande :

 git clone https://github.com/elcodigok/wphardening.git
Nous pouvons également le télécharger depuis la page du projet sur GitHub :

Une fois le fichier installé ou décompressé, nous pouvons accéder au dossier wphardening.

Pour utiliser cet outil, nous devons connaître l'itinéraire vers le Web que nous voulons inspecter et ce Web puisqu'il a été développé avec Wordpress.

Ensuite, nous devons mettre à jour wphardening pour nous assurer que nous avons les derniers référentiels et les améliorations les plus récentes qui ont été incorporées, pour eux à partir d'une fenêtre de terminal, nous exécutons la commande suivante :

 python wphardening.py --update
Ensuite, nous pouvons commencer à utiliser wphardening et vérifier la sécurité d'un site web développé sous wordpress à l'aide de la commande suivante :
 python wphardening.py -d / home / myuser / myweb -v 
N'oubliez pas qu'il n'est utilisé que localement, c'est-à-dire sur un serveur local ou distant depuis la ligne de commande et pour sites web développés sous wordpress.

Par exemple j'utiliserai pour ce tutoriel un site démo réalisé en Wordpress sur un serveur local avec Xampp :

Plusieurs fois, nous avons des problèmes avec les autorisations de fichiers et de dossiers qui laissent notre site Web exposé à des attaques ou à des intrus, pour résoudre ce problème, nous utilisons la commande suivante :

 python wphardening.py -d / opt / lampp / htdocs / projets / cabanias -chmod -v 
Cela définit automatiquement les autorisations recommandées pour une sécurité accrue.

Une autre option très intéressante de cet outil est la possibilité de télécharger et installer des plugins et des outils de sécurité de manière automatisée recommandé et testé.

 python wphardening.py -d / opt / lampp / htdocs / projets / cabanias -plugins

Lorsque nous exécutons la commande, il nous demandera la permission d'installer chaque plugin de sécurité, y compris un antivirus, un scanner d'exploits, un gestionnaire de base de données, un scanner de sécurité et de vulnérabilité, entre autres, à la fin nous pourrons voir les plugins installés dans le dossier plugin de notre site Wordpress. Ces plugins utilisent des outils et des bases de données en ligne propriétaires pour rechercher des rastos dans les fichiers et les bases de données de notre site Web WordPress ou ils peuvent indiquer que vous avez été victime de pirates informatiques malveillants.

 [pièce jointe = 12158 : panta06.jpg.webp]
Puis de la Panneau d'administration WordPress nous pouvons installer et activer des plugins de sécurité.

Une autre option intéressante est la création automatique du fichier robots.txt qui refusera automatiquement l'accès aux répertoires les plus importants du site Web. Nous ajoutons également le -o option qui nous permet de créer un fichier journal avec le résultat de la tâche effectuée.

 python wphardening.py -d / opt / lampp / htdocs / projets / cabanias -robots -o securitywp.log

Lorsque nous exécutons la commande, il nous demandera le chemin du site Web, puis le fichier robots.txt pourra être créé.

Supprimer les fichiers qui ne sont pas utilisés est important car ils occupent de l'espace et peuvent être vulnérables car ils ne sont généralement pas maintenus ou mis à jour, même dans un site Web avec de nombreux fichiers, ils peuvent générer de la confusion, à cause d'eux, nous utiliserons la commande de paramètre supprimer pour supprimer automatiquement tous les fichiers qui ne sont pas utilisés par notre site Web.

 python wphardening.py -d / opt / lampp / htdocs / projets / cabanias -remove -o securitywp.log 

À la fin, nous pouvons voir le journal que nous avons créé avec une liste de tous les fichiers qui ont été supprimés.

Les les attaques sur les sites Web et les serveurs sont causées par des problèmes de sécurité dus à des vulnérabilités dans votre logiciel en raison d'erreurs de programmation ou d'un logiciel mal configuré.

Ces vulnérabilités permettent aux attaquants d'utiliser un grand nombre de techniquescomme l'utilisation d'un paramètre d'URL pour exécuter une injection SQL, l'ajout de code à votre base de données via des formulaires, ce qui peut permettre aux données de modifier ou de supprimer des données importantes telles que la suppression de tous les articles et pages ou de laisser le Web désactivé.

Les sites web réalisés sous Wordpress qui ont reçu des attaques, généralement c'est du à des vulnérabilités d'un plugin WordPress. Les pirates insèrent souvent des logiciels malveillants codés en base 64 qui leur permettent d'exécuter une fonction PHP sur notre site Web. Ils peuvent également laisser une porte dérobée quelque part sur votre site Web. Il s'agit d'une technique qu'ils utilisent pour accéder à votre site Web à l'avenir, même ce type d'attaque infecte généralement tous les fichiers sur le Web.

N'oubliez pas que tous les outils que nous utilisons ne garantissent pas la sécurité de notre site Web, en plus nous devons mettre en œuvre des politiques de sécurité Quoi effectuer des sauvegardes incrémentielles de la base de données et de tous les fichiers hebdomadaires ou quotidiennes.

Avez-vous aimé et aidé ce tutoriel ?Vous pouvez récompenser l'auteur en appuyant sur ce bouton pour lui donner un point positif
wave wave wave wave wave