Vidéo : 🛡 Point SECU #14 : Comment trouver des failles sur un site WordPress ?

Salut à tous et bienvenue dans ce nouveau « Point Sécu » avec Julio Potier, dans lequel, on va voir comment trouver des failles sur votre site WordPress.

Allez c’est parti !

Alors du coup c’est quelque chose qui va peut-être paraître un petit peu plus avancé, mais c’est quand même important si vous créez des sites WordPress.

Julio, parle-nous un petit peu de ça.

Julio : Quand on cherche à trouver des failles, on n’est pas obligé d’être développeur, ça, ce serait une autre vidéo qui serait tellement plus technique, qu’il faudrait avoir beaucoup plus de temps, il faudrait : pourquoi ne pas faire un atelier, carrément, ça pourrait être sympa.

Où sont les failles !

En fait pour trouver des failles, il faut essayer de se mettre un peu dans la peau d’un pirate qui essaie d’entrer sur un site, qui essaie de trouver des informations sensibles, etc.

1. Tester la page de connexion

Donc, on en a souvent parlé, c’est une des premières choses qui va être faite par les bots, c’est essayer de se connecter sur la page de login, donc normalement, vous avez peut-être déjà déplacé votre page de login.

Si jamais ce n’est pas fait, tester d’aller sur cette page de login et pourquoi pas, tenter de vous connecter à un compte qui n’existe pas, voir comment réagit votre site.

Essayez de vous connecter plusieurs fois à un compte qui existe, pourquoi pas 10 fois, voir ce qu’il se passe.

En fait, s’il ne se passe rien, ça veut dire qu’il manque de la sécurité à ce niveau-là, donc potentiellement, j’ai envie de dire, c’est une faille.

Laisser un nombre invraisemblable de tentatives de connexions, en soi c’est une faille.

Une faille, ce n’est pas forcément le truc le plus grave et le plus critique, mais ça veut dire qu’il y a quelque part un trou, et un pirate va pouvoir venir utiliser cette faille contre vous et ça, ce serait dommage.

2. Tester le compte admin

Par exemple, je ne sais pas moi… si vous n’avez plus le compte admin, je vous invite à regarder cette vidéo aussi, l’ancienne vidéo sur le compte admin, si ce compte n’existe pas et que quelqu’un essaie de s’y connecter, pour moi, il n’y a pas de raisons qu’il essaye, même ne serait-ce qu’une seule fois, puisque ce n’est pas normal d’essayer de se connecter sur un compte qui n’existe pas sur ce site.

Pour moi c’est un seul essai sur les comptes qui n’existent pas et là, bloqué pendant au moins 5 minutes, adresse IP, terminé !

Inversement, si c’est un compte qui existe, on a le droit de faire une faute de frappe dans le mot de passe, malheureusement, si c’est une faute de frappe dans le nom de l’utilisateur, vous attendrez 5 minutes !

Si c’est une erreur dans le mot de passe, quelques erreurs ce n’est pas gênant, mais ce serait bien quand même de commencer à dire à la personne, au bout de quelques essais « attention il ne t’en reste plus que… tant… parce que je ne trouve pas ça normal que tu fasses autant d’erreurs », ça, c’est ce qui me semble un peu plus correct.

Donc se mettre dans la peau d’un pirate, c’est essayer de trouver des choses qui ne sont pas habituelles en fait.

3. Ouvrir son site web plein de fois de suite

Par exemple aussi ce que l’on peut faire c’est : vous ouvrez votre site web, non pas une fois, mais un nombre invraisemblable de fois, le plus vite possible : ça peut être des clics très rapides, un javascript qui lance volontairement plusieurs fois votre page, si vous connaissez un minimum, vous pouvez très bien faire cela en PHP, en ce que vous voulez.

Vous pouvez aussi demander à des sites web de lancer votre site plusieurs fois, s’il ne passe rien, si votre site accepte de prendre ça de la même adresse IP, puisque c’est un service ou une personne qui le fait, ce n’est pas normal.

Il n’y a aucune raison qu’un être humain est besoin d’ouvrir par exemple 10 pages à la seconde de votre site, ce n’est pas possible, ce n’est pas utile, donc, cette personne-là il faut vite la bloquer.

Donc s’il ne se passe rien sur votre site, vous venez de nouveau de trouver une faille sur votre site, c’est-à-dire qu’il n’y a pas d’anti brute force.

La brute force ce n’est pas seulement la brute force des mots de passe, c’est aussi, je vais entrer sur une page en boucle, en boucle, en boucle ! Ah oui, mais le serveur, il ne va pas trop aimer ça, il risque de se mettre en surcharge et pourquoi pas, l’hébergeur va dire : « attention, tu consommes beaucoup de ressources, moi je te coupe », surtout sur les hébergements qui ne sont pas chers.

C’est quelque chose à vérifier sur votre site dès maintenant, je mets la vidéo en pause allez !

PAUSE… non, mais sérieusement, mets PAUSE ! Qui l’a fait ?

4. Utiliser une extension pour modifier le user agent

Quelque chose que j’aime bien faire et qui ne demande pas forcément beaucoup de ressources, mais qui est un petit peu plus technique, moi j’utilise Google Chrome comme navigateur, mais Firefox ça fonctionnerait aussi, sûrement pour les autres aussi.

Il existe des petites extensions, des addons pour votre navigateur : cherchez-en un qui permet, soit de modifier le « user agent » soit de modifier les entêtes, les « headers ».

Grâce à ça vous allez pouvoir modifier votre user agent, c’est-à-dire la signature, finalement, de votre navigateur, donc dans Chrome par exemple c’est Mozilla 5.0/… ça, c’est un peu sa signature.

Quand Googlebot navigue sur un site, il a son propre user agent.

Quand vous êtes sur mobile vous avez un user agent différent qui indique qu’on est sur mobile, c’est pour cela aussi que l’on peut avoir une version mobile différente.

Grâce à ça : soit vous tester directement sur mobile, soit vous êtes réellement Googlebot, ou soit vous vous faites passer pour ces gens-là, donc vous vous faites passer pour le bot ou pour un mobile, et vous visitez vos pages.

Si vos pages ont un aspect différent, contiennent des liens supplémentaires, là il y a un gros problème, c’est-à-dire que là, c’est déjà dans votre code et là la faille est bien plus grave, vous êtes déjà infecté.

Donc ça c’est une façon de trouver une faille sur son site, c’est d’y aller avec un autre user agent.

Je vous dis les extensions existent pour Chrome et Firefox. C’est très simple à activer, souvent c’est un clic, au pire il y a deux phrases à mettre.

Alex : Après, c’est généralement une liste déroulante et on choisit soit c’est un agent d’iPad…

Julio : C’est ça, ça existe aussi de cette façon et en fait voilà ça ne sert pas que pour des designers pour tester des tailles de mobiles ou quoi, ça sert aussi à vérifier, au niveau de la sécurité, si notre site est identique pour chaque navigateur.

Quand je dis « identique »… au niveau du contenu, je ne parle pas forcément de l’aspect.

Alex : C’est conçu à la base, mais il y a d’autres choses qui ne sont pas prévues qui s’affichent.

Julio : Exactement ! C’est de la sécurité, donc ça c’est aussi de votre part, vous êtes responsable de vérifier ce qui se passe sur votre site pour être vraiment alerté en premier de ce qui se passe.

N’attendez pas forcément qu’un utilisateur ou un client vous dise « je n’arrive pas à acheter je ne comprends pas, on me redirige sur des liens » etc.

Essayez de trouver avant les autres les failles sur votre propre site sans forcément être un développeur ou être un consultant en sécurité, c’est un gros minimum.

Alex : OK ! Bon, je crois que… tu as d’autres conseils encore bien sûr, ce n’est pas exhaustif…

Julio : C’est ça, là je vous en ai donné quelques-uns, je pense vous ajouter encore une seconde liste de choses à vérifier pour trouver des failles sur votre site, je vous donnerai encore un lien dans la description.

Si vous, vous avez eu d’autres cas, n’hésitez pas à les partager, comme ça tout le monde peut en profiter.

Alex : Voilà, super ! Vérifiez déjà ce que l’on vous a dit et après allez voir avec les articles de Julio et puis sur ce cette vidéo s’achève ici.

N’oubliez pas de vous abonner à la chaîne YouTube de la Marmite pour recevoir les futures vidéos et les futurs « Point Sécu » avec Julio et puis allez voir SecuPress, son extension de sécurité et essayez de vous mettre à l’abri un maximum.

Donc voilà, allez à très bientôt pour une nouvelle vidéo.

Salut ! Tchao !

N’oubliez pas de prendre connaissance des ressources offertes sous la vidéo 😉