Salut Ă tous et bienvenue dans ce nouveau «âPoint SĂ©cuâ» avec Julio Potier, dans lequel, on va voir comment trouver des failles sur votre site WordPress.
Allez câest partiâ!
Alors du coup câest quelque chose qui va peut-ĂȘtre paraĂźtre un petit peu plus avancĂ©, mais câest quand mĂȘme important si vous crĂ©ez des sites WordPress.
Julio, parle-nous un petit peu de ça.
Julio : Quand on cherche Ă trouver des failles, on nâest pas obligĂ© dâĂȘtre dĂ©veloppeur, ça, ce serait une autre vidĂ©o qui serait tellement plus technique, quâil faudrait avoir beaucoup plus de temps, il faudrait : pourquoi ne pas faire un atelier, carrĂ©ment, ça pourrait ĂȘtre sympa.
OĂč sont les failles !
En fait pour trouver des failles, il faut essayer de se mettre un peu dans la peau dâun pirate qui essaie dâentrer sur un site, qui essaie de trouver des informations sensibles, etc.
1. Tester la page de connexion
Donc, on en a souvent parlĂ©, c’est une des premiĂšres choses qui va ĂȘtre faite par les bots, câest essayer de se connecter sur la page de login, donc normalement, vous avez peut-ĂȘtre dĂ©jĂ dĂ©placĂ© votre page de login.
Si jamais ce nâest pas fait, tester dâaller sur cette page de login et pourquoi pas, tenter de vous connecter Ă un compte qui nâexiste pas, voir comment rĂ©agit votre site.
Essayez de vous connecter plusieurs fois Ă un compte qui existe, pourquoi pas 10 fois, voir ce quâil se passe.
En fait, sâil ne se passe rien, ça veut dire quâil manque de la sĂ©curitĂ© Ă ce niveau-lĂ , donc potentiellement, jâai envie de dire, câest une faille.
Laisser un nombre invraisemblable de tentatives de connexions, en soi câest une faille.
Une faille, ce nâest pas forcĂ©ment le truc le plus grave et le plus critique, mais ça veut dire quâil y a quelque part un trou, et un pirate va pouvoir venir utiliser cette faille contre vous et ça, ce serait dommage.
2. Tester le compte admin
Par exemple, je ne sais pas moi… si vous nâavez plus le compte admin, je vous invite Ă regarder cette vidĂ©o aussi, l’ancienne vidĂ©o sur le compte admin, si ce compte nâexiste pas et que quelquâun essaie de s’y connecter, pour moi, il nây a pas de raisons quâil essaye, mĂȘme ne serait-ce quâune seule fois, puisque ce nâest pas normal dâessayer de se connecter sur un compte qui nâexiste pas sur ce site.
Pour moi câest un seul essai sur les comptes qui nâexistent pas et lĂ , bloquĂ© pendant au moins 5 minutes, adresse IP, terminĂ©â!
Inversement, si câest un compte qui existe, on a le droit de faire une faute de frappe dans le mot de passe, malheureusement, si c’est une faute de frappe dans le nom de lâutilisateur, vous attendrez 5 minutesâ!
Si câest une erreur dans le mot de passe, quelques erreurs ce nâest pas gĂȘnant, mais ce serait bien quand mĂȘme de commencer Ă dire Ă la personne, au bout de quelques essais «âattention il ne tâen reste plus que… tant… parce que je ne trouve pas ça normal que tu fasses autant dâerreursâ», ça, câest ce qui me semble un peu plus correct.
Donc se mettre dans la peau dâun pirate, câest essayer de trouver des choses qui ne sont pas habituelles en fait.
3. Ouvrir son site web plein de fois de suite
Par exemple aussi ce que lâon peut faire c’est : vous ouvrez votre site web, non pas une fois, mais un nombre invraisemblable de fois, le plus vite possible : ça peut ĂȘtre des clics trĂšs rapides, un javascript qui lance volontairement plusieurs fois votre page, si vous connaissez un minimum, vous pouvez trĂšs bien faire cela en PHP, en ce que vous voulez.
Vous pouvez aussi demander Ă des sites web de lancer votre site plusieurs fois, sâil ne passe rien, si votre site accepte de prendre ça de la mĂȘme adresse IP, puisque câest un service ou une personne qui le fait, ce nâest pas normal.
Il nây a aucune raison quâun ĂȘtre humain est besoin dâouvrir par exemple 10 pages Ă la seconde de votre site, ce nâest pas possible, ce nâest pas utile, donc, cette personne-lĂ il faut vite la bloquer.
Donc sâil ne se passe rien sur votre site, vous venez de nouveau de trouver une faille sur votre site, câest-Ă -dire quâil nây a pas dâanti brute force.
La brute force ce nâest pas seulement la brute force des mots de passe, câest aussi, je vais entrer sur une page en boucle, en boucle, en boucleâ! Ah oui, mais le serveur, il ne va pas trop aimer ça, il risque de se mettre en surcharge et pourquoi pas, lâhĂ©bergeur va dire : «âattention, tu consommes beaucoup de ressources, moi je te coupeâ», surtout sur les hĂ©bergements qui ne sont pas chers.
Câest quelque chose Ă vĂ©rifier sur votre site dĂšs maintenant, je mets la vidĂ©o en pause allezâ!
PAUSE… non, mais sĂ©rieusement, mets PAUSEâ! Qui lâa faitâ?
4. Utiliser une extension pour modifier le user agent
Quelque chose que jâaime bien faire et qui ne demande pas forcĂ©ment beaucoup de ressources, mais qui est un petit peu plus technique, moi jâutilise Google Chrome comme navigateur, mais Firefox ça fonctionnerait aussi, sĂ»rement pour les autres aussi.
Il existe des petites extensions, des addons pour votre navigateur : cherchez-en un qui permet, soit de modifier le «âuser agentâ» soit de modifier les entĂȘtes, les «âheadersâ».
GrĂące à ça vous allez pouvoir modifier votre user agent, câest-Ă -dire la signature, finalement, de votre navigateur, donc dans Chrome par exemple câest Mozilla 5.0/… ça, câest un peu sa signature.
Quand Googlebot navigue sur un site, il a son propre user agent.
Quand vous ĂȘtes sur mobile vous avez un user agent diffĂ©rent qui indique quâon est sur mobile, câest pour cela aussi que lâon peut avoir une version mobile diffĂ©rente.
GrĂące à ça : soit vous tester directement sur mobile, soit vous ĂȘtes rĂ©ellement Googlebot, ou soit vous vous faites passer pour ces gens-lĂ , donc vous vous faites passer pour le bot ou pour un mobile, et vous visitez vos pages.
Si vos pages ont un aspect diffĂ©rent, contiennent des liens supplĂ©mentaires, lĂ il y a un gros problĂšme, c’est-Ă -dire que lĂ , câest dĂ©jĂ dans votre code et lĂ la faille est bien plus grave, vous ĂȘtes dĂ©jĂ infectĂ©.
Donc ça câest une façon de trouver une faille sur son site, câest dây aller avec un autre user agent.
Je vous dis les extensions existent pour Chrome et Firefox. Câest trĂšs simple Ă activer, souvent câest un clic, au pire il y a deux phrases Ă mettre.
Alex : AprĂšs, câest gĂ©nĂ©ralement une liste dĂ©roulante et on choisit soit câest un agent dâiPad…
Julio : Câest ça, ça existe aussi de cette façon et en fait voilà ça ne sert pas que pour des designers pour tester des tailles de mobiles ou quoi, ça sert aussi Ă vĂ©rifier, au niveau de la sĂ©curitĂ©, si notre site est identique pour chaque navigateur.
Quand je dis «âidentiqueâ»… au niveau du contenu, je ne parle pas forcĂ©ment de lâaspect.
Alex : Câest conçu Ă la base, mais il y a dâautres choses qui ne sont pas prĂ©vues qui sâaffichent.
Julio : Exactementâ! Câest de la sĂ©curitĂ©, donc ça câest aussi de votre part, vous ĂȘtes responsable de vĂ©rifier ce qui se passe sur votre site pour ĂȘtre vraiment alertĂ© en premier de ce qui se passe.
Nâattendez pas forcĂ©ment quâun utilisateur ou un client vous dise «âje nâarrive pas Ă acheter je ne comprends pas, on me redirige sur des liensâ» etc.
Essayez de trouver avant les autres les failles sur votre propre site sans forcĂ©ment ĂȘtre un dĂ©veloppeur ou ĂȘtre un consultant en sĂ©curitĂ©, câest un gros minimum.
Alex : OKâ! Bon, je crois que… tu as dâautres conseils encore bien sĂ»r, ce nâest pas exhaustif…
Julio : Câest ça, lĂ je vous en ai donnĂ© quelques-uns, je pense vous ajouter encore une seconde liste de choses Ă vĂ©rifier pour trouver des failles sur votre site, je vous donnerai encore un lien dans la description.
Si vous, vous avez eu dâautres cas, nâhĂ©sitez pas Ă les partager, comme ça tout le monde peut en profiter.
Alex : VoilĂ , superâ! VĂ©rifiez dĂ©jĂ ce que lâon vous a dit et aprĂšs allez voir avec les articles de Julio et puis sur ce cette vidĂ©o sâachĂšve ici.
Nâoubliez pas de vous abonner Ă la chaĂźne YouTube de la Marmite pour recevoir les futures vidĂ©os et les futurs «âPoint SĂ©cuâ» avec Julio et puis allez voir SecuPress, son extension de sĂ©curitĂ© et essayez de vous mettre Ă lâabri un maximum.
Donc voilà , allez à trÚs bientÎt pour une nouvelle vidéo.
Salutâ! Tchaoâ!
N’oubliez pas de prendre connaissance des ressources offertes sous la vidĂ©o đ
Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 30000 personnes l'ont fait, pourquoi pas vous ?
La derniÚre fournée d'articles
Tous les articlesComment intégrer Stripe à WordPress ?
Quel plugin WordPress d’espace membres choisir ? On a tout testĂ©
YARPP: lâindispensable plugin des articles similaires pour WordPress