WPscan : Détecter et corriger les vulnérabilités d’un site WordPress

WPScan est le scanner de vulnérabilités de référence pour WordPress. Écrit en Ruby, cet outil open-source permet d'identifier les failles de sécurité, de lister les extensions (plugins) installées et de tester la robustesse des mots de passe. Il est l'outil indispensable des pénétreurs (pentesters) et des administrateurs soucieux de leur sécurité.

1. Pourquoi WPScan est-il devenu indispensable ?

Étant donné que WordPress propulse plus de 40 % du web mondial, la plateforme est une cible prioritaire. C'est ici que WPScan entre en jeu. Grâce à une base de données mise à jour en temps réel, l'outil identifie la version exacte de votre installation, liste les extensions (plugins) obsolètes et détecte les fichiers sensibles exposés par erreur. Mais avant de passer à la pratique, un point sur l'éthique est impératif.

2. Les fonctionnalités clés de WPScan

• Énumération intelligente : Identification des utilisateurs, thèmes et plugins
• Détection de vulnérabilités : Lien direct vers les bases de données de failles (CVE).
• Audit de mots de passe : Attaque par dictionnaire multithreadée.
• Vérification de la configuration : Détection des fichiers sensibles exposés (fichiers de log, backups, etc.).

3. Installation et configuration moderne

Oubliez les anciennes procédures complexes. Aujourd'hui, l'installation est rapide et accessible, même sur Windows via WSL2 (Ubuntu) avec la commande sudo apt install wpscan. Sur Linux, l'outil s'installe généralement comme une "gem" Ruby via sudo gem install wpscan.

Pour obtenir les détails des failles, vous devez désormais générer un Token API gratuit sur WPScan.com. Sans ce jeton, l'outil signalera la présence de vulnérabilités sans en donner la nature exacte.

DISCLAIMER : Les informations suivantes sont fournies dans un but éducatif et d'audit de sécurité uniquement. L'utilisation de ces commandes à des fins malveillantes sur des systèmes dont vous n'avez pas l'autorisation est illégale et passible de poursuites judiciaires. L'utilisateur est seul responsable de ses actes.

4. Guide d'utilisation : Les commandes clés

Une fois l'installation terminée et votre clé API configurée, l'utilisation est très intuitive.

Voici comment articuler vos premiers tests :

Analyser les vulnérabilités du site

Pour lancer un audit complet des plugins et thèmes en utilisant votre jeton API :

wpscan --url https://mon-site.com --api-token VOTRE_TOKEN_ICI --enumerate vp,vt

Identifier les utilisateurs

Parce qu'une attaque commence souvent par la recherche d'un identifiant valide, cette commande permet de lister les auteurs du site :

wpscan --url https://mon-site.com --enumerate u

Tester la solidité des mots de passe

Enfin, pour vérifier que vos accès ne sont pas vulnérables à une attaque par dictionnaire (en utilisant les listes de Kali Linux) :

wpscan --url https://mon-site.com --wordlist /usr/share/wordlists/rockyou.txt --username admin

5. Comment sécuriser son site après un scan ?

Identifier les failles est une étape majeure, mais l'essentiel réside dans la correction. Pour contrer les scans automatisés, plusieurs stratégies complémentaires existent.

D'une part, l'installation d'un pare-feu (WAF) comme Wordfence ou l'utilisation de Cloudflare permet de bloquer les signatures de WPScan. D'autre part, l'activation de l'authentification à deux facteurs (2FA) rend les attaques par force brute inopérantes : même avec un mot de passe correct, l'accès reste protégé par un code unique.

Enfin, n'oubliez pas que la sécurité est un processus continu. Maintenez vos extensions à jour et désactivez l'accès public à l'API REST pour masquer les informations structurelles de votre site.

Conclusion

En résumé, WPScan est un allié de poids pour transformer un WordPress vulnérable en une forteresse numérique. Utilisé avec éthique, il permet de garder une longueur d'avance sur les menaces actuelles.