Interview de Julien Gadanho, Expert en sécurité

Le 12/09/2017 par Jérôme PASQUELIN

Aujourd’hui je reçois Julien Gadanho, un jeune entrepreneur plus que prometteur spécialisé dans la sécurité informatique. Il a récemment crée la société https://www.securemydata.fr/ mais au delà de cette spécialité, il faut aussi du SEO et de la programmation. Deux interviews intéressantes ici et ici où vous pourrez découvrir plus sur lui. Dans cet article, on va s’intéresser à la sécurité de WordPress : CMS mondialement reconnu et très utilisé par la communauté SEO.

Au niveau sécurité, qu’est ce que tu penses de WordPress en installation de base?

WordPress dispose d’un très bon niveau de sécurité par défaut. Beaucoup de développeurs travaillent dessus.

L’avantage de WordPress est aussi son défaut. C’est open-source, du coup les hackers bien intentionnés peuvent effectuer un « audit de code source » pour détecter les failles. Mais les hackers mal intentionnés aussi, l’open source est donc à double tranchant.
L’audit de code source est intéressant du fait que l’on puisse se focaliser directement sur des fonctions à risque.
Par exemple, on sait que la fonction unserialize() est une fonction à risque si elle est mal utilisée. Le hacker peut donc directement la rechercher dans le code pour maximiser les chances de trouver une faille plus rapidement. Pareil pour des echo() qui seraient mal filtrés, la faille XSS devient aussi plus facile à localiser.

Il m’est arrivé de faire un pentest en blackbox (sans le code source du coup), dans le HTML on voyait bien les jetons de sécurités envoyés dans le formulaire. Cependant, en faisant des tests, je me suis aperçu que ceux ci n’étaient pas vérifier par le serveur. Un audit de code source aurait permis de repérer ça en 5 minutes.

As tu déjà réussi à trouver des failles sous WordPress?

J’ai déjà trouvé des failles sur des WordPress mais pas sur le noyau WordPress directement. Comme je l’expliquais pour trouver des failles sur WordPress il faut s’orienter vers un audit de code de source. Pour le plaisir, je préfère effectuer des tests de sécurité en black-box : c’est à dire en n’ayant accès à rien, c’est beaucoup plus stimulant je trouve !
Les failles que j’ai déjà trouvées sont des failles XSS/SQL/Upload et venaient souvent d’un plugin ou d’un dev custom. Au niveau du process, j’ai privilégié le pentest à la main plutôt qu’un outil. Avec l’expérience sentir où sont les potentielles failles devient plus facile. Il est donc important d’avoir une très bonne connaissance du fonctionnement d’un site web.

Par contre, un outil est incontournable pour l’audit de WordPress, c’est wpscan qui est un projet gratuit et open source. Il scan le site et en ressort les versions des plugins/thèmes et du WordPress. Ensuite, il compare les données des versions aux base de données de failles pour dire si l’un de ces 3 éléments est potentiellement exploitable.

Comment sécurises tu un WordPress ?

Pour ma part, je n’utilise pas d’extensions de sécurité. Je préfère utiliser un minimum de plugins que je met à jour dès que possible ainsi qu’un bon mot de passe unique est complexe qui ressemble à « pg%311MY*$Qk$ZIK5kCk » . Je gère mes mots de passes avec Lastpass.
Installer une double authentification est aussi un bon point, j’ai d’ailleurs partagé un script qui installe ça en 1 clic. La double authentification permet de mieux lutter contre les attaques de type bruteforce. Ce script va donc rajouter une authentification pour accéder aux fichiers wp-login.php et xmlrpc.php. La plupart des scripts de brutefoce autonomes ne sont pas conçues pour casser la double authentification.

Aussi, cela permet de consommer moins de ressources car lors d’une attaque de type bruteforce, à chaque tentative de connexion, une requête SQL est envoyé. Avec du volume, cela peut faire ramer votre serveur.

Qu’est ce que tu penses d’une installation WP qui aurait ces extensions installées : antispam BEE, Disable xml rpc pingback, Limit login attempts, Wordfence, WPS hide login

Je ne les utilisent pas personnellement, mais ça a l’air d’un réel bon combo. Antispam BEE ne rentre pas vraiment dans une optique de sécurisation mais pour les autres ils peuvent permettre de se protéger. Attention quand même à bien faire les mises à jour des plugins/thèmes 😉

Voici un résumé des fonctionnalités principales de chacune des extensions :

  • Antispam BEE : protège du spam dans la même lignée que Akismet
  • Disable xml rpc pingback : désactive XML-RPC
  • Limit login attempts : bloque une IP qui se trompe d’identifiants trop souvent
  • Wordfence : scanner de code, firewall, blocage d’ip, …c’est une extension de sécurité assez complète
  • WPS hide login : permet de modifier la page par défaut d’identification du back office

Si vous avez des questions à poser à Julien, n’hésitez pas à commenter plus bas.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *