PubliĂ© par le 10 janvier 2018 ‱ 0 Commentaires

Salut Ă  tous et bienvenue dans ce nouveau « Point SĂ©cu » avec Julio Potier, dans lequel, on va voir comment trouver des failles sur votre site WordPress.

Allez c’est parti !

Alors du coup c’est quelque chose qui va peut-ĂȘtre paraĂźtre un petit peu plus avancĂ©, mais c’est quand mĂȘme important si vous crĂ©ez des sites WordPress.

Julio, parle-nous un petit peu de ça.

Julio : Quand on cherche Ă  trouver des failles, on n’est pas obligĂ© d’ĂȘtre dĂ©veloppeur, ça, ce serait une autre vidĂ©o qui serait tellement plus technique, qu’il faudrait avoir beaucoup plus de temps, il faudrait : pourquoi ne pas faire un atelier, carrĂ©ment, ça pourrait ĂȘtre sympa.

OĂč sont les failles !

En fait pour trouver des failles, il faut essayer de se mettre un peu dans la peau d’un pirate qui essaie d’entrer sur un site, qui essaie de trouver des informations sensibles, etc.

1. Tester la page de connexion

Donc, on en a souvent parlĂ©, c’est une des premiĂšres choses qui va ĂȘtre faite par les bots, c’est essayer de se connecter sur la page de login, donc normalement, vous avez peut-ĂȘtre dĂ©jĂ  dĂ©placĂ© votre page de login.

Si jamais ce n’est pas fait, tester d’aller sur cette page de login et pourquoi pas, tenter de vous connecter Ă  un compte qui n’existe pas, voir comment rĂ©agit votre site.

Essayez de vous connecter plusieurs fois à un compte qui existe, pourquoi pas 10 fois, voir ce qu’il se passe.

En fait, s’il ne se passe rien, ça veut dire qu’il manque de la sĂ©curitĂ© Ă  ce niveau-lĂ , donc potentiellement, j’ai envie de dire, c’est une faille.

Laisser un nombre invraisemblable de tentatives de connexions, en soi c’est une faille.

Une faille, ce n’est pas forcĂ©ment le truc le plus grave et le plus critique, mais ça veut dire qu’il y a quelque part un trou, et un pirate va pouvoir venir utiliser cette faille contre vous et ça, ce serait dommage.

2. Tester le compte admin

Par exemple, je ne sais pas moi… si vous n’avez plus le compte admin, je vous invite Ă  regarder cette vidĂ©o aussi, l’ancienne vidĂ©o sur le compte admin, si ce compte n’existe pas et que quelqu’un essaie de s’y connecter, pour moi, il n’y a pas de raisons qu’il essaye, mĂȘme ne serait-ce qu’une seule fois, puisque ce n’est pas normal d’essayer de se connecter sur un compte qui n’existe pas sur ce site.

Pour moi c’est un seul essai sur les comptes qui n’existent pas et lĂ , bloquĂ© pendant au moins 5 minutes, adresse IP, terminé !

Inversement, si c’est un compte qui existe, on a le droit de faire une faute de frappe dans le mot de passe, malheureusement, si c’est une faute de frappe dans le nom de l’utilisateur, vous attendrez 5 minutes !

Si c’est une erreur dans le mot de passe, quelques erreurs ce n’est pas gĂȘnant, mais ce serait bien quand mĂȘme de commencer Ă  dire Ă  la personne, au bout de quelques essais « attention il ne t’en reste plus que… tant… parce que je ne trouve pas ça normal que tu fasses autant d’erreurs », ça, c’est ce qui me semble un peu plus correct.

Donc se mettre dans la peau d’un pirate, c’est essayer de trouver des choses qui ne sont pas habituelles en fait.

3. Ouvrir son site web plein de fois de suite

Par exemple aussi ce que l’on peut faire c’est : vous ouvrez votre site web, non pas une fois, mais un nombre invraisemblable de fois, le plus vite possible : ça peut ĂȘtre des clics trĂšs rapides, un javascript qui lance volontairement plusieurs fois votre page, si vous connaissez un minimum, vous pouvez trĂšs bien faire cela en PHP, en ce que vous voulez.

Vous pouvez aussi demander Ă  des sites web de lancer votre site plusieurs fois, s’il ne passe rien, si votre site accepte de prendre ça de la mĂȘme adresse IP, puisque c’est un service ou une personne qui le fait, ce n’est pas normal.

Il n’y a aucune raison qu’un ĂȘtre humain est besoin d’ouvrir par exemple 10 pages Ă  la seconde de votre site, ce n’est pas possible, ce n’est pas utile, donc, cette personne-lĂ  il faut vite la bloquer.

Donc s’il ne se passe rien sur votre site, vous venez de nouveau de trouver une faille sur votre site, c’est-à-dire qu’il n’y a pas d’anti brute force.

La brute force ce n’est pas seulement la brute force des mots de passe, c’est aussi, je vais entrer sur une page en boucle, en boucle, en boucle ! Ah oui, mais le serveur, il ne va pas trop aimer ça, il risque de se mettre en surcharge et pourquoi pas, l’hĂ©bergeur va dire : « attention, tu consommes beaucoup de ressources, moi je te coupe », surtout sur les hĂ©bergements qui ne sont pas chers.

C’est quelque chose Ă  vĂ©rifier sur votre site dĂšs maintenant, je mets la vidĂ©o en pause allez !

PAUSE… non, mais sĂ©rieusement, mets PAUSE ! Qui l’a fait ?

4. Utiliser une extension pour modifier le user agent

Quelque chose que j’aime bien faire et qui ne demande pas forcĂ©ment beaucoup de ressources, mais qui est un petit peu plus technique, moi j’utilise Google Chrome comme navigateur, mais Firefox ça fonctionnerait aussi, sĂ»rement pour les autres aussi.

Il existe des petites extensions, des addons pour votre navigateur : cherchez-en un qui permet, soit de modifier le « user agent » soit de modifier les entĂȘtes, les « headers ».

GrĂące Ă  ça vous allez pouvoir modifier votre user agent, c’est-Ă -dire la signature, finalement, de votre navigateur, donc dans Chrome par exemple c’est Mozilla 5.0/… ça, c’est un peu sa signature.

Quand Googlebot navigue sur un site, il a son propre user agent.

Quand vous ĂȘtes sur mobile vous avez un user agent diffĂ©rent qui indique qu’on est sur mobile, c’est pour cela aussi que l’on peut avoir une version mobile diffĂ©rente.

GrĂące Ă  ça : soit vous tester directement sur mobile, soit vous ĂȘtes rĂ©ellement Googlebot, ou soit vous vous faites passer pour ces gens-lĂ , donc vous vous faites passer pour le bot ou pour un mobile, et vous visitez vos pages.

Si vos pages ont un aspect diffĂ©rent, contiennent des liens supplĂ©mentaires, lĂ  il y a un gros problĂšme, c’est-Ă -dire que lĂ , c’est dĂ©jĂ  dans votre code et lĂ  la faille est bien plus grave, vous ĂȘtes dĂ©jĂ  infectĂ©.

Donc ça c’est une façon de trouver une faille sur son site, c’est d’y aller avec un autre user agent.

Je vous dis les extensions existent pour Chrome et Firefox. C’est trùs simple à activer, souvent c’est un clic, au pire il y a deux phrases à mettre.

Alex : AprĂšs, c’est gĂ©nĂ©ralement une liste dĂ©roulante et on choisit soit c’est un agent d’iPad…

Julio : C’est ça, ça existe aussi de cette façon et en fait voilĂ  ça ne sert pas que pour des designers pour tester des tailles de mobiles ou quoi, ça sert aussi Ă  vĂ©rifier, au niveau de la sĂ©curitĂ©, si notre site est identique pour chaque navigateur.

Quand je dis « identique »… au niveau du contenu, je ne parle pas forcĂ©ment de l’aspect.

Alex : C’est conçu Ă  la base, mais il y a d’autres choses qui ne sont pas prĂ©vues qui s’affichent.

Julio : Exactement ! C’est de la sĂ©curitĂ©, donc ça c’est aussi de votre part, vous ĂȘtes responsable de vĂ©rifier ce qui se passe sur votre site pour ĂȘtre vraiment alertĂ© en premier de ce qui se passe.

N’attendez pas forcĂ©ment qu’un utilisateur ou un client vous dise « je n’arrive pas Ă  acheter je ne comprends pas, on me redirige sur des liens » etc.

trouver les failles sur votre site WP

Essayez de trouver avant les autres les failles sur votre propre site sans forcĂ©ment ĂȘtre un dĂ©veloppeur ou ĂȘtre un consultant en sĂ©curitĂ©, c’est un gros minimum.

Alex : OK ! Bon, je crois que… tu as d’autres conseils encore bien sĂ»r, ce n’est pas exhaustif…

Julio : C’est ça, lĂ  je vous en ai donnĂ© quelques-uns, je pense vous ajouter encore une seconde liste de choses Ă  vĂ©rifier pour trouver des failles sur votre site, je vous donnerai encore un lien dans la description.

Si vous, vous avez eu d’autres cas, n’hĂ©sitez pas Ă  les partager, comme ça tout le monde peut en profiter.

Alex : VoilĂ , super ! VĂ©rifiez dĂ©jĂ  ce que l’on vous a dit et aprĂšs allez voir avec les articles de Julio et puis sur ce cette vidĂ©o s’achĂšve ici.

N’oubliez pas de vous abonner Ă  la chaĂźne YouTube de la Marmite pour recevoir les futures vidĂ©os et les futurs « Point SĂ©cu » avec Julio et puis allez voir SecuPress, son extension de sĂ©curitĂ© et essayez de vous mettre Ă  l’abri un maximum.

Donc voilà, allez à trÚs bientÎt pour une nouvelle vidéo.

Salut ! Tchao !

N’oubliez pas de prendre connaissance des ressources offertes sous la vidĂ©o 😉