La sécurité WordPress par Boite A Web

BoiteaWeb c’est moi, Julio Potier, 30 ans. Je me suis d’abord orienté vers la comptabilité, puis après 5ans d’études, je me suis réorienté sur des études en Maintenance et Services Micro-informatique car je ne faisais pas assez d’info en compta. Depuis 1998 je suis sur le web, depuis 2000 je bidouille (to hack en anglais).

J’ai lancé mon site perso tout moche en 2002 chez ifrance avant de passer chez free en 2004 (http://diabloporc.free.fr toujours up, 8eme et dernière version du site, à découvrir http://diabloporc.free.fr/hackchallenge/)

Depuis 2002 donc je bidouille un peu tout, je m’amuse à modifier des formulaires, à trouver des liens que je ne devrais pas, j’utilisais déjà Google depuis la beta pour trouver tout et rien sur tout et rien. C’est ça qui m’a donné envie de continuer à chercher des failles, avertir les utilisateurs, les auteurs.

L’idée de boite à web te vient d’ou ?

C’est très récent c’est en juin 2010 que je suis devenu auto entrepreneur en me lançant et dans la création web 2.0 (ajax/jquery/CMS WordPress 3+) et sécurisation web (audit de sécurité web) l’idée est simple : quand je surf j’ai la fâcheuse tendance à m’amuser avec l’url, je test quelques dossiers (/admin /test) et quelquefois on tombe sur des informations qui peuvent être dangereux pour la sécurité (j’ai des milliers d’anecdotes).

La sécurité sur WordPress, un nouvel enjeu

Je me suis dit « et pourquoi pas en faire mon métier ». Je me suis donc auto-formé à la sécurité web, j’ai lu beaucoup, et appris beaucoup. Je continue à bidouiller tout ce qui me passe entre les mains tous les jours. Aussi je crée du contenu web depuis 2002, j’aide beaucoup de sites, mais j’ai eu envie d’en vivre aussi. Pour le moment je suis Analyste Programmeur Delphi 7 en CDI chez le n°1 du progiciel dédié au secteur de la distribution.

Pour une personne qui débute sur WordPress, la sécurité est une notion abstraite, pourrais tu expliquer quelles sont les risques encourus ?

Je vais parler pour une personne qui installe elle même un WordPress depuis le zip du site officiel. Mais on va devoir résumer car sur WordPress, autant c’est très bien codé, autant il faut bien sécuriser tout de même.

Déjà, toujours prendre WordPress depuis le site officiel, jamais d’ailleurs c’est primordial ! Pourquoi ? Car des pirates ont peut-être inséré du code malicieux dans certaines pages, ce code peut permettre de leur donner un accès au site en admin ou un accès complet à la BDD. Il faut aussi toujours se tenir à jour car WordPress corrige des failles (rarement mais ça arrive).

Il faut aussi respecter les règles habituelles : mettre un bon mot de passe compliqué et long (voir http://www.boiteaweb.fr/blog/outils-generateur-de-mots-de-passe-securises-et-testeur-de-robustesse-894.html) et ne pas s’appeler « ADMIN » ni y mettre son prénom (trop simple).

Il faut savoir que même dans un plugin très connu, répandu, utilisé, téléchargé maintes et maintes fois, il peut y avoir une faille

En ce qui concerne les plugins, qu’en est-il ?

En installant un plugin on a une fâcheuse tendance à faire confiance à son créateur et/ou à la provenance du plugin, c’est a dire le site officiel des plugins. Néanmoins personne ne vérifie ces plugins côté sécurité. Qu’en est-il alors ? On y trouve donc des failles courantes comme Info Disclosure, XSS, SQLi, CSRF…

Par exemple c’est quoi une faille CSRF ?

[onlymembers]

Une faille CSRF signifie « Cross Site Request Forgery ». Le pirate crée (forge) un formulaire (request) depuis un autre site (cross site). Si vous avez encore une session admin valide sur votre site (vous n’avez pas cliqué sur « Se déconnecter ») et que le pirate parvient à vous faire cliquer sur un lien de son choix (merci les bit.ly et compagnie) alors le formulaire s’exécute et modifie à votre place la config d’un plugin par exemple, il vous force littéralement la main, vous ne vous en rendez même pas compte, tout est invisible, c’est une faille très répandu dans les plugins un peu mal codés. C’est aussi celle qu’on trouve le plus souvent sur les sites audités.

Lors de l’installation d’un plugin, existe-t-il un moyen pour le novice de pouvoir tester la sécurité du plugin?

Aucun moyen, le plugin doit passer dans les mains d’un expert capable de détecter ce genre de failles.

Existe-t-il un moyen de pouvoir tester la fiabilité d’un plugin ? Existe-t-il un service (payant ou gratuit) auquel soumettre un plugin pour le tester ?

Beaucoup de personnes me posent cette question et ma réponse est que je n’en ai pas trouvé. Il faut savoir que même dans un plugin très connu, répandu, utilisé, téléchargé maintes et maintes fois, il peut y avoir une faille. Le service de vérification de plugin est en cours de création chez moi, je vais bientôt proposer aux utilisateurs et créateurs de plugin de me soumettre leur plugin afin que je le vérifie. Le prix n’est pas encore fixé mais ne sera pas excessif.

Quand on parle de sécurité, souvent, le novice peut prendre peur. Comment ce dernier peut-il s’informer, ou peut-il aller, et surtout, un site perso peut-il être la victime d’une grosse attaque ?

Tout site peut à un moment donné être vulnérable. Parfois la faille a toujours été présente mais l’exploit n’a pas été découvert. Au moment de sa découverte, tous les sites qui incluent cette faille (que ce soit un problème de l’hébergeur, du cms, d’un script, d’une appli web) vont être visés par des pirates afin de tout casser.

Comment s’informer ? Il faut au maximum se tenir à jour sur votre CMS, vos scripts, applications web, informations de newsletter de son hébergeur, faire des recherches sur le nom des applications web utilisées afin de voir si quelqu’un ne trouve pas quelque chose de louche. En cas de doute, désactivez ce qui peut l’être, faites des sauvegardes et faites appel à un consultant en sécurité (qui a dit moi ?) afin de faire un audit sur le site, voire un audit de code.

Il faut faire quotidiennement des sauvegardes de ses données et de ses fichiers afin, en cas de piratage, pouvoir remettre son site debout

C’est un boulot quotidien ?!

Oui et pour un utilisateur du dimanche cela peut être contraignant.

La plupart des internautes qui sont en mode site perso font souvent l’impasse, est-ce si risqué que cela ?

Si ils ont codé leur site eux même car ils ont découvert php 2 jours auparavant : oui à 100%.

Si ils ont pris une application peu connue, peu téléchargée, peu utilisée, il y a de fortes chances que oui (j’ai aussi beaucoup d’anecdotes là dessus).

Utiliser WordPress sans vouloir se préoccuper des risques de sécurité liés à l’utilisation des plugins sur un site qui fait moins de 100 v/u jour, est-ce vraiment risqué ?

Oui ! Prenons un exemple simple : Je fais 100v/u j, j’utilise 3 ou 4 plugins dans mon WordPress. Un jour, un pirate s’intéresse à un plugin et y découvre une faille de risque haut. Il s’aperçoit que le plugin inscrit la phrase « Powered by SuperPlugin v3″ dans le footer, il va simplement faire une recherche Google de cette phrase et tombera forcement sur mon site. Il n’a plus qu’a réaliser son exploit et casser le site pour sa satisfaction personnelle…

Quand on ne s’y connait pas en sécurité, et que l’on ne peut faire appel à un expert, quelles sont les précaution s que l’on peut prendre pour tenter de se protéger un tant soit peu ?

Sécuriser son site WordPress n'est pas un jeu d'enfant.

Il ne peut pas vraiment se protéger, il faut faire quotidiennement des sauvegardes de ses données et de ses fichiers afin, en cas de piratage, pouvoir remettre son site debout… il y a beaucoup de choses pour éviter d’être piraté cela dit.

Tu peux donner un exemple de chose à faire pour éviter de se faire pirater ?

En plus des 3 choses que j’ai dites tout à l’heure, il faut ajouter une protection de type .htaccess sur le dossier /wp-admin/ afin qu’aucun brute force n’essaie de trouver votre mot de passe. Ne répondez à aucun mail suspect, cela peut être un phishing, partager le moins possible d’infos sur vous car un mot de passe se trouve aussi en guessing. Voici un article de niveau debutant pour commencer à protéger son site WordPress http://www.boiteaweb.fr/blog/wordpress-5-facons-de-proteger-son-site-wordpress-niveau-debutant-838.html .

Les plugins qui testent la sécurité sur WordPress ? Tu en penses quoi ?

J’en ai testé un ce matin et je le trouve bien : http://wordpress.org/extend/plugins/wp-sentinel/ En revanche, WP-SecurityScan, il ne contient pas de faille mais n’est pas top, le mot « security » est en trop pour moi. Il laisse penser qu’il sécurise le site, mais il manque des fonctionnalités et il ne détecte pas bien la version de WordPress, puis soit disant il cache le n°de version, mais il le fait mal. J’en pense donc qu’il faut les prendre avec autant de précaution qu’un autre plugin et ne pas s’en contenter et penser que le site est secure.

Actuellement, tu as testé combien de plugins ?

33 sur plus de 11 000. 11 contiennent une faille minimum. 33% des plugins audités sont donc touchés. Vous avez installé 6 petits plugins seulement ? Il est théoriquement possible que 2 plugins contiennent une faille …

Combien de temps te prend le test d’un plugin ?

Selon sa taille (nombre de fichiers, complexité du code, tests à réaliser en conditions réélles) cela peut aller de 10mn à plusieurs heures.

WordPress est plutôt bien codé et surtout un débutant en programmation peut comprendre et créer un plugin sans se prendre la tête

Pourquoi avoir choisi de te poser sur le cas de WordPress ? Outil le plus répandu, choix perso ?… autre ?

J’ai toujours crée des sites à la main (http://diabloporc.free.fr et http://www.abandonware-utopia.com sont les exemples) mais ça reste du web 1.0 ça. J’ai eu envie d’utiliser un CMS, mais j’avais peur de perdre le contrôle du code, d’être obligé de passer par telle ou telle façon de faire mais je me suis tout de même lancé, j’ai donc testé Joomla!, Drupal, WordPress puis ai cherché des comparatifs, des avis et mon choix s’est arrêté sur WordPress car je le trouve beau, ergonomique (entre autres).

D’un point de vue sécurité, comment juges-tu le cœur de WordPress ?

Niveau code c’est plus que propre et plutôt sécure (le nombre de failles découvertes est très bas), tout est fait pour que les plugins soient bien codés et facilement ! Ce n’est pas le cas d’autres CMS cités

Pourtant, les codeurs purs ont souvent tendances à décrier le code WordPress, à dire que c’est codé « avec les pieds »…

Se tenir informé est une des clés en matière de sécurité

Et bien ce n’est pas mon avis, WordPress est plutôt bien codé et surtout un débutant en programmation peut comprendre et créer un plugin sans se prendre la tête.

Un dernier mot sur la sécurité vue par BoiteaWeb ?

Je réalise 3 types d’audits : White box, Grey box, Black box (Plus d’infos ici http://www.boiteaweb.fr/audit-de-securite/tests-intrusions)

Le meilleur étant le White box car il y a lecture du code, c’est evidemment cet audit que j’utilise pour les plugins c’est le plus sûr, le plus coûteux et en temps et en argent.

Pour un site web, il est risqué de ne pas faire un audit White box lors d’une demande d’audit.

Il faut aussi savoir que je réalise des pré-audits, comme un diagnostic et cela gratuitement (pour le moment !) pour les sites web.

Aussi sachez que plus de 90% des sites que j’audite contiennent des dangers de sécurité et/ou des vulnérabilités, leurs responsables n’en avait aucune idée avant mon passage.

Le site web de Julio : http://www.boiteaweb.fr/

[/onlymembers]