WP Umbrella Logo

Arrêter les vulnérabilités de WordPress avant qu'elles ne soient exploitées : Découvrez Site Protect 

Medha Bhatt
-
  • Partager sur :

En 2024, Patchstack a trouvé 7 966 vulnérabilités dans l'écosystème WordPress. Cela inclut les plugins sur lesquels vos clients s'appuient encore et qui, dans de nombreux cas, n'ont pas été mis à jour.

Si vous êtes responsable de la sécurité de ces sites, vous savez à quel point un petit oubli peut vite se transformer en exercice d'incendie en fin de soirée.

Site Protect, développé par Patchstack, vous aide à résoudre ces problèmes en sécurisant vos sites web de manière proactive, même lorsque les plugins, les thèmes et le noyau de WordPress ne sont pas mis à jour. 

Voyons de plus près comment fonctionne ce module complémentaire et pourquoi près de 3 000 sites web ont déjà commencé à l'utiliser.

Pourquoi les scanners de logiciels malveillants ne suffisent pas pour les flux de travail des agences

La plupart des plugins de sécurité WordPress vendent encore la tranquillité d'esprit par le biais de la recherche de logiciels malveillants. Mais une fois que l'on comprend comment ces scanners fonctionnent, et avec quelle facilité ils peuvent être contournés, cette tranquillité d'esprit commence à sembler bien fragile.

Commençons par les bases. Il existe deux types de scanners :

  • Les scanners locaux (comme WordFence ou NinjaScanner) s'exécutent à l'intérieur de votre site WordPress.
  • Les scanners à distance (comme MalCare ou Virusdie) envoient vos fichiers à une application externe par le biais d'un plugin pour qu'ils soient analysés.

Elles adoptent des approches différentes, mais la limitation principale est la même : elles ont un impact sur les performances et vous indiquent si quelque chose de grave s'est déjà produit. Et même cela n'est pas une garantie.

Avec les scanners locaux, vous comptez sur un plugin WordPress pour inspecter l'environnement dans lequel les logiciels malveillants s'exécutent déjà. Si cela semble risqué, c'est que c'est le cas.

Une fois que le logiciel malveillant est actif, il peut altérer le scanner lui-même, en le désactivant, en s'inscrivant sur la liste blanche ou en lui fournissant des données d'apparence propre. Dans certains cas, il ne laisse même pas de trace. Un scanner peut renvoyer un rapport propre, mais uniquement parce que le logiciel malveillant lui a dit ce qu'il devait dire.

Les scanners à distance sont plus difficiles à tromper, mais pas impossibles. Ils s'appuient sur un plugin local pour collecter des données et les envoyer à leur scanner externe. Si un logiciel malveillant peut intercepter ou modifier ces données avant qu'elles ne soient envoyées, le résultat est le même : des faux négatifs, des menaces manquées et un risque très réel de passer inaperçu, ainsi qu'un impact sur la bande passante de votre serveur.

Les logiciels malveillants sophistiqués se cachent souvent à la vue de tous. Au lieu d'utiliser des modèles évidents comme base64_decode, ils assemblent leur comportement malveillant au moment de l'exécution à l'aide de chaînes ou de variables dynamiques. La plupart des scanners s'appuient sur une analyse statique : ils recherchent des modèles connus dans vos fichiers. Ils ne peuvent pas voir ce que le code fera lorsqu'il s'exécutera.

Le résultat ? Des analyses propres, mais des sites compromis.

Certains logiciels malveillants s'exécutent une fois, accomplissent leur tâche (comme l'injection d'une porte dérobée ou l'exportation de données utilisateur), puis se suppriment immédiatement. Si votre analyseur ne s'exécute pas exactement au même moment, à la milliseconde près, il risque de ne jamais pouvoir détecter la menace. Le temps que l'analyse s'exécute, la menace a déjà disparu.

Faut-il alors désinstaller le scanner de logiciels malveillants ?

Pas nécessairement. Les scanners ont toujours un rôle à jouer, en particulier contre les attaques à faible effort. Mais si le balayage est le seul moyen de protéger les sites de vos clients, vous misez sur un système défectueux.

C'est pourquoi Site Protect adopte une approche différente. Propulsé par Patchstack, il utilise ce que l'on appelle un correctif virtuel. Au lieu de rechercher les logiciels malveillants après leur téléchargement, Site Protect empêche les vulnérabilités connues d'être exploitées, même si le plugin ou le thème n'est pas encore corrigé.

Supposons qu'un plugin présente une vulnérabilité d'injection SQL liée à un paramètre spécifique. Site Protect applique une règle qui bloque ce modèle d'attaque exact, au niveau PHP, avant même le chargement complet de WordPress. Le plugin reste techniquement vulnérable, mais l'exploit ne se produit jamais.

C'est ce qui différencie Site Protect : il ne repose pas sur des alertes et ne surcharge pas votre serveur. Il protège les sites de vos clients pendant la fenêtre exacte de divulgation et de mise à jour, où se produisent la plupart des attaques.

Comment Site Protect aide les agences à garder une longueur d'avance sur les vulnérabilités connues

Site Protect : blocage des vulnérabilités
  1. Bloque les vulnérabilités connues des plugins avant qu'elles ne soient exploitées

La plupart des agences ne mettent pas à jour les plugins dès la sortie d'un correctif. Parfois, il y a un retard dans les tests, parfois le correctif introduit de nouveaux problèmes. Pendant ce temps, les attaquants n'attendent pas. Dès qu'une vulnérabilité est rendue publique, les tentatives d'exploitation ont tendance à se multiplier.

Site Protect ferme cette fenêtre. Lorsqu'une vulnérabilité est confirmée, il applique une règle qui bloque l'exploit exact, même si le plugin n'a pas encore été mis à jour. Ces règles proviennent directement du flux de menaces de Patchstack et sont déployées sans toucher au code. La vulnérabilité existe toujours, techniquement, mais l'attaque est stoppée au moment de l'exécution.

Cela vous donne le temps de planifier les mises à jour à votre convenance, au lieu de les faire sous la pression.

  1. Ne ralentit pas votre site 

La sécurité ne devrait pas être quelque chose que vous devez configurer ou surveiller en permanence. Avec Site Protect, il n'y a pas de paramètres à régler ni de compromis à envisager en matière de performances. Une fois activé, il gère automatiquement la protection contre les vulnérabilités, sans analyser les fichiers, sans charger de scripts supplémentaires et sans augmenter la pression sur le serveur. Il fonctionne au niveau de PHP, bloquant discrètement les exploits connus sans entraver vos flux de travail.

  1. N'altère pas la fonctionnalité du site WordPress

C'est une chose de bloquer les menaces. C'en est une autre de le faire sans causer de problèmes aux utilisateurs du site. Site Protect se concentre uniquement sur les vulnérabilités confirmées et applique des règles très ciblées. Pas de pare-feu exagérés, pas de faux positifs, pas de formulaires de contact cassés. Vos sites continuent à fonctionner comme ils le devraient, avec moins de moyens d'accès pour les attaquants.

Ce qui est inclus dans Site Protect

Site Protect associe des correctifs virtuels en temps réel à un ensemble de règles de renforcement qui couvrent les vecteurs d'attaque les plus courants. Voici un aperçu de ce qu'il apporte lorsqu'il est activé :

FonctionnalitésCe qu'il faitPourquoi c'est important
Vulnérabilité Patching virtuel Pare-feuBloque automatiquement les vulnérabilités connues dans le noyau, les thèmes et les plugins de WordPress, ainsi que les vecteurs d'attaque courants.Prévient les exploits avant que les mises à jour ne soient appliquées ou publiées. Cela vous aide à protéger vos sites web contre les nouveaux logiciels malveillants et les attaques courantes.
Désactiver les éditeurs de thèmes/fichiersSupprime les éditeurs intégrés de l'administration de WPEmpêche les attaquants d'injecter du code malveillant (et vos clients de faire des folies)
Bloquer le fichier readme.txt / WP version metaCache les informations sur la version de WordPressÉvite d'être la cible de bots
Désactiver l'énumération des utilisateursEmpêche les attaquants de découvrir les noms d'utilisateurDéfense contre les connexions par force brute
Restreindre l'accès à XML-RPCN'autorise XML-RPC que pour les utilisateurs authentifiésRéduction du spam et de la surface d'attaque
En-têtes de sécuritéAjoute des en-têtes comme X-Frame-Options, X-XSS-ProtectionProtège contre le détournement de clics, les XSS et bien d'autres choses encore
Bloquer les fichiers debug.log et sample configEmpêche l'accès aux informations sensibles du fichier debug.logGarde les configurations internes privées
Désactiver les vues d'indexBloque l'inscription dans l'annuaireEmpêche l'exposition accidentelle des fichiers
Bloquer l'affichage de commentaires par procurationDésactivation des commentaires via des services tiersRéduit les tentatives de spam et d'abus

Comment activer Site Protect 

Comment activer Site Protect dans WP Umbrella

Étape 1 : Passer à un plan premium WP Umbrella

Site Protect n'est disponible que pour les utilisateurs Premium. Si vous êtes sur le plan gratuit, la première étape est de passer à la version supérieure. Une fois que vous avez changé, l'add-on Site Protect devient une option dans votre tableau de bord. En savoir plus sur les tarifs de WP Umbrella.

Étape 2 : Activer Site Protect à partir du tableau de bord

Ouvrez le site que vous voulez protéger dans WP Umbrella et allez dans l'onglet Sécurité. Là, vous verrez la bascule pour Site Protect. En l'activant, vous ajoutez la fonctionnalité pour 2$/mois/site. 

Étape 3 : Renforcement de la sécurité

Après l'activation, vous n'avez rien d'autre à configurer. Site Protect fonctionne en arrière-plan, les règles sont mises à jour en temps réel et les protections s'exécutent en continu au niveau PHP. Vos rapports clients incluront également une section dédiée montrant comment Site Protect sécurise leurs sites web de manière proactive, même lorsque les plugins ne sont pas mis à jour.

Dernières réflexions

Assurer la sécurité des sites WordPress est un travail permanent, et la pression retombe généralement sur les personnes chargées de gérer les mises à jour et les attentes des clients. Site Protect ne remplace pas ces responsabilités, mais il vous donne de l'air. Les vulnérabilités sont bloquées avant d'être utilisées, les sites continuent de fonctionner normalement et vous n'avez pas à vous démener lorsqu'un correctif n'est pas prêt ou qu'un client retarde son approbation.

Des milliers de sites web fonctionnent déjà avec Site Protect activé. Il suffit de quelques clics pour l'activer et, à partir de là, les règles se mettent à jour en arrière-plan sans que vous ayez besoin de vérifier. Si vous utilisez déjà WP Umbrella, l'étape est simple : allez dans votre tableau de bord, naviguez jusqu'à la section sécurité du site web, et activez la bascule.

Activez Site Protect maintenant.

Lisez ensuite un guide complet sur la vente de la protection des sites aux clients.

Source : Patchstack