Jetpack, une division de la branche commerciale de WordPress, Automattic, a annoncé l’acquisition de la célèbre société de suites de sécurité WPScan WordPress. WPScan fournit des ressources qui permettent à l’écosystème de sécurité WordPress et WordPress de lutter rapidement contre les problèmes de sécurité. Jetpack est une suite d’outils WordPress qui comprend également un composant de sécurité.

La sécurité de WordPress est un domaine important pour WordPress car c’est ce que les concurrents citent comme une faiblesse de WordPress. Donc, à ce niveau, il est logique que Jetpack acquière une entreprise avec une position proactive sur la sécurité de WordPress.

Jetpack a promis de garder les produits gratuits pour une utilisation non commerciale tout en notant qu’une partie de WPScan sera absorbée dans l’offre de sécurité de la suite d’outils Jetpack.

Publicité

Continuer la lecture ci-dessous

Pourquoi WPScan est important

WPScan est une base de données de vulnérabilités.

WPScan fournit également :

  • Une API pour accéder à la base de données
  • Scanner de sécurité WPScan, un scanner d’interface de ligne de commande (CLI)
  • Un plugin de sécurité WordPress

Base de données WPScan

WPScan est avant tout une base de données ouvertement disponible qui enregistre les vulnérabilités de WordPress et rend les informations disponibles via une API.

Les informations sur les vulnérabilités de WordPress sont préparées à la main par WPScan et les contributeurs.

WPScan est également une autorité de numérotation CVE (CNA) officielle, ce qui signifie qu’elle peut attribuer les numéros par lesquels les vulnérabilités sont référencées dans la communauté de la sécurité.

Publicité

Continuer la lecture ci-dessous

La base de données est accessible aux particuliers, aux entreprises et aux chercheurs en sécurité.

Selon le nombre d’appels d’API effectués vers la base de données, les informations sont disponibles gratuitement via une API et également à des prix relativement modestes pour un accès accru à la base de données et une tarification personnalisée pour les besoins de l’entreprise.

Scanner de sécurité WordPress WPScan

WPScan fournit également WPScan WordPress Security Scanner, qui est un scanner d’interface de ligne de commande gratuit pour une utilisation non commerciale pour analyser un site Web à la recherche de vulnérabilités enregistrées dans la base de données WPScan.

Un exemple de choses supplémentaires que le scanner de sécurité WordPress gratuit WPScan vérifie  :

  • « La version de WordPress installée et toutes les vulnérabilités associées
  • Quels plugins sont installés et toutes les vulnérabilités associées
  • Quels thèmes sont installés et toutes les vulnérabilités associées
  • Énumération du nom d’utilisateur
  • Utilisateurs avec des mots de passe faibles via force brute de mot de passe
  • Fichiers wp-config.php sauvegardés et accessibles au public
  • Dumps de base de données pouvant être accessibles au public
  • Si les journaux d’erreurs sont exposés par des plugins »

Plugin WordPress WPScan

Enfin, WPScan propose un plugin gratuit qui scanne un site Web pour déterminer si l’installation de WordPress elle-même et/ou les thèmes et plugins installés présentent des vulnérabilités. Le plugin utilise l’API de base de données WPScan pour vérifier les vulnérabilités. L’analyse quotidienne relèverait du niveau gratuit d’utilisation de l’API.

Le plugin recherche également les faiblesses courantes qui pourraient rendre un site Web vulnérable  :

  • « Vérifiez les fichiers debug.log
  • Recherchez les fichiers de sauvegarde wp-config.php
  • Vérifiez si XML-RPC est activé
  • Rechercher les fichiers de référentiel de code
  • Vérifiez si les clés secrètes par défaut sont utilisées
  • Rechercher les fichiers de base de données exportés
  • Mots de passe faibles
  • HTTPS activé »

Publicité

Continuer la lecture ci-dessous

La principale caractéristique du plugin WPScan est d’offrir une alerte rapide si un plugin de site, un thème ou WordPress lui-même contient une vulnérabilité et si un correctif est émis.

Pourquoi Jetpack a-t-il acquis WPScan ?

La raison invoquée par Jetpack pour acquérir WPScan est d’ouvrir encore plus les données et de les continuer en tant que ressource pour l’ensemble de l’écosystème WordPress.

Jetpack a annoncé :

« …notre objectif pour cette acquisition est de rendre les données et les API sur les logiciels malveillants plus open source. Nous voulons nous assurer que WPScan continue d’être une ressource de sécurité de haute qualité pour l’ensemble de la communauté WordPress. À cet effet, nous explorerons des moyens de rendre l’API entièrement gratuite pour les sites non commerciaux.

…WPScan continuera à fonctionner de manière indépendante à court terme et pourrait être intégré à Jetpack Scan à l’avenir.

Les clients actuels de WPScan ne seront pas touchés par l’acquisition à court terme et recevront le même service de sécurité WordPress de haute qualité auquel ils s’attendent.

Publicité

Continuer la lecture ci-dessous

Citations

Lisez l’annonce Jetpack de l’acquisition de WPScan  :

Jetpack acquiert la base de données de vulnérabilité WordPress WPScan

Visitez la page officielle du plug-in WPScan

WPScan – Plugin de scanner de sécurité WordPress

Categories: SEO

S’abonner
Notification pour
guest

Commentaires
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x