Utilisation de WPScan à la recherche de failles WordPress

A leur façon, WordPress et Windows ont quelque-chose en commun. Ils sont les numéros 1 dans leur secteur respectif. En effet, Windows est l’OS le plus utilisé au monde quand WordPress est le CMS le plus utilisé pour créer des sites Internet. Même si l’augmentation tant à se réduire, on voit très clairement que même entre 2020 et 2022, la part d’utilisation de WordPress afin de créer un site Internet (quel que soit le format) ne cesse d’augmenter.

Comme Windows en tant qu’OS, il est donc tout à fait logique que WordPress soit également le CMS le plus attaqué. Et bien souvent, il n’est pas nécessaire d’avoir des compétences techniques très avancées – l’essentiel (ou en tout cas le point de départ) est d‘obtenir des informations sur le site Internet que vous visez :

• Connaître la version de WordPress qui est utilisée ?
  • Est-elle à jour ?
  • Si non, est-ce qu’il y a des failles connues ?
• Quel est le thème ou les extensions qui sont utilisées ?
  • Disposent-elles de failles disponibles à date ?

En fait, c’est surtout un travail de recherches et d’analyse. 🤓

Utilisation de wpscan dans Kali

Nous en avons déjà discuté dans des précédents articles, mais si vous n’avez pas encore utiliser la distribution Linux Kali je vous encourage à la tester rapidement. Il s’agit d’un OS Linux optimisé pour le monde de la cybersécurité. Concrètement, vous la déployez en VM et vous aurez alors à disposition plein d’outils pour vous entraîner à pénétrer ou défendre un système informatique (site Internet, Wifi, etc.).

Aujourd’hui, nous testons l’outil wpscan. Cet outil permet en ligne de commande de pouvoir obtenir plein d’informations sur un site WordPress. L’objectif ici c’est de pouvoir trouver des versions d’outils (themes, extensions, etc.). L’utilisation est très simple, il suffit d’indiquer l’adresse du site à scanner.

Ci-dessus, rien de particulier à observer… on va tester un peu plus loin sur un autre site. 🙂

En fonction des informations qui seront fournies, il reste à voir s’il est possible de trouver des failles connues ou exploits. Derrière ce terme, c’est la possibilité de télécharger et d’utiliser des outils / scripts qui permettent d’accéder à un site Internet.

Utilisation de Exploit-DB

Et ce qui est cool c’est que la sécurité est devenue très « as a service » ces dernières années… ce qui veut dire que l’on peut trouver des sites Internet qui référencent les possibilités de hack en fonction des versions d’un WordPress ou même simplement d’une extension. Le plus connu est probablement : https://www.exploit-db.com/.

Utilisons maintenant WPScan sur un autre site Internet…

Dans le screenshot ci-dessous, on voit clairement que le site en question n’est pas à jour. Il utilise la version WordPress 5.8.2 qui date de novembre 2021. Je ne vous montre pas les extensions… vous voyez l’idée.

Il me reste maintenant à vérifier si je trouve une faille qui serait exploitable…

Pas besoin de chercher très loin, on trouve très rapidement un potentielle faille permettant d’accéder au site en question grâce à une injection SQL.

Alors bien sûr, nous ne sommes pas des experts. Donc même s’il y a une description complète avec un fichier à télécharger sur comment procéder… est-ce que l’on ne pourrait pas trouver quelque-chose de plus didactique ?

Là encore, le monde de la cybersécurité étant bien plus ouvert et accessible ces dernières années, il vous suffit de noter la référence de la CVE (acronyme pour Common Vulnerabilities and Exposures). Dans notre cas, il s’agit de la CVE nommée : CVE-2022-21661.

Il ne vous reste alors plus qu’à utiliser ce mot clé sur votre moteur de recherches préféré – ou même sur YouTube pour avoir accès à un tutoriel complet de comment utiliser cette faille de sécurité… Quelques secondes plus tard, vous avez un tuto étape par étape pour tenter d’appliquer cette CVE au site que vous visiez initialement :

• https://kiksecurity.com/blog/sql-injection-in-wordpress-core-cve-2022-21661/
• https://stackdiary.com/sql-injection-in-wordpress-core-cve-2022-21661/
• https://www.youtube.com/watch?v=X5bRN43zxSk
• https://www.youtube.com/watch?v=SI_O6CHXMZk

Encore une fois, la base de la cybersécurité c’est la recherche, la patience et surtout… ne rien lâcher. On teste ça dans un prochain article pour aller plus loin.