Auditer la sécurité de son site internet

Audit de sécurité de site web (WordPress)

Qu’est-ce qu’un audit de sécurité d’un site web, à quoi ça sert ?

 

Un audit de sécurité de site web permet de mettre en lumière les potentielles failles exploitables qui pourraient permettre à un pirate de prendre le contrôle de votre site. Les sites WordPress, sont souvent la cible d’attaque de part leur popularité, qui, pour beaucoup d’entre eux,  possèdent des plugins qui sont rarement maintenues à jour et c’est a à ce moment la que le pirate tentera d’accéder à votre administration.

 

Une seule faille exploitable peut faire tomber votre site, admettons qu’un pirate puisse accéder à un compte admin et donc à votre tableau de bord avec par exemple une attaque de type brute force, il n’aura plus qu’à se rendre dans votre menu Apparence –> éditeur et à partir de la, il sera aisé d’injecter un shell code dans un de vos fichiers .php de façon à prendre possession de votre serveur, qui, dans ce dernier, se trouve les fichiers de configuration comme par exemple le fichier wp-config.php renfermant vos accès à la base de données et donc à toutes les informations sensibles.

 

Conclusion, une seule et unique faille peut permettre à un pirate de contrôler votre site et donc de créer des comptes administrateurs, des publications, du contenu dissimulé (cloaking).

 

 

Comment procède t-on à un audit de sécurité ?

 

Le but sera donc de trouver tout ce qui peut permettre à un pirate d’accéder à votre site :

1. Analyse des versions de vos thèmes / plugins / WordPress

2. Recherches de vulnérabilités connues en focntion des versions de vos thèmes / plugins / WordPress

3. Test de validité de votre certificat SSL (httpS)

4. Utilisation d’un scanner de vulnérabilité sur l’entièreté de vos fichiers

5. Recherche et suppression de compte administrateur cachés

6. Test de complexité des mots de passe utilisés.

Vous avez un site à désinfecter ou à sécuriser ?

Réponse sous 24 heures