Créa-blog

#100JoursPourCoder
Projet Créa-code

Ressources pour développeur web

Théme de la semaine : Les REGEX

WPScan : Guide pour analyser la sécurité d’un site WordPress

Temps de lecture estimé : 8 minutes
Accueil Sécurité WPScan : Guide pour analyser la sécurité d’un site WordPress

Introduction

Quand on installe WordPress pour la première fois, on pense souvent thèmes, design, plugins sympas et référencement. On oublie pourtant un élément essentiel : la sécurité. Et pourtant, un site piraté peut ruiner des heures de travail, dégrader votre image et même vous coûter cher si des données personnelles sont exposées. La bonne nouvelle, c’est qu’il existe des outils simples et puissants pour détecter les failles avant les pirates. Parmi eux, WPScan est l’un des plus connus et l’un des plus efficaces pour le pentesting.

  • Comprendre clairement ce qu’est WPScan, ce qu’il permet de détecter et pourquoi il peut réellement protéger un site WordPress.
  • Savoir comment l’installer proprement et réussir à le prendre en main même si l’on débute en sécurité web.
  • Être capable d’interpréter les résultats, d’évaluer les risques et de prendre les bonnes décisions pour renforcer la sécurité d’un site.

Vous n’êtes pas un hacker, vous n’êtes pas expert sécurité, et rien que le mot “scan de vulnérabilités” vous donne mal à la tête ? Rassurez-vous. WPScan peut être compris par n’importe quel utilisateur dès qu’on prend le temps d’expliquer les choses calmement, étape par étape. Et c’est exactement ce que nous allons faire ici en vous expliquant pourquoi il est utile, comment l’installer, comment l’utiliser et surtout comment interpréter ses résultats.

Parce que oui, installer un outil ne sert à rien si l’on ne comprend pas ce qu’il vous raconte. L’objectif de ce guide est donc simple : à la fin de votre lecture, vous saurez ce qu’est WPScan, comment il fonctionne et comment l’utiliser pour renforcer la sécurité d’un site WordPress, même si vous partez de zéro.

WPScan : c’est quoi exactement et à quoi ça sert ?

WPScan est un outil spécialisé pour analyser la sécurité d’un site WordPress. Contrairement à de simples scanners basiques qui vérifient juste si votre site “répond”, WPScan analyse profondément la structure de WordPress. Il va inspecter la version du CMS, les extensions installées, le thème actif et certaines configurations sensibles afin d’identifier les failles connues. Il ne s’agit pas d’un outil magique qui “devine”, mais d’un scanner basé sur une énorme base de données de vulnérabilités WordPress régulièrement mise à jour.

L’idée est simple : WordPress évolue, ses plugins évoluent, mais des failles apparaissent régulièrement. Quand une faille est découverte, elle est répertoriée. WPScan connaît ces failles et vérifie si votre site correspond à l’une d’elles. Si oui, il vous alerte. Vous avez donc l’information avant les pirates, ce qui change tout.

WPScan peut ainsi vous aider à identifier des plugins vulnérables, vérifier la version de WordPress et ses risques associés, détecter un thème à problème, repérer des comptes administrateurs trop exposés, signaler des configurations dangereuses.

Et pour rassurer tout le monde, WPScan n’est pas un outil illégal. Il est utilisé par les administrateurs, développeurs, hébergeurs et consultants en sécurité dans un objectif parfaitement légitime : protéger des sites web.

J’ai déjà vu une entreprise persuadée que son site était “parfaitement sécurisé” parce que “l’agence l’a dit”. Un simple scan WPScan a révélé un plugin critique non mis à jour depuis deux ans avec une faille permettant d’envoyer des fichiers malveillants sur le serveur. Autant dire qu’ils ont vite compris l’intérêt de cet outil.

Comment installer WPScan pas à pas

WPScan peut s’installer sur plusieurs systèmes : Windows, macOS, Linux. Historiquement, il fonctionne surtout très bien sous Linux et macOS, mais il est aujourd’hui accessible partout. Nous allons voir les méthodes simples.

Installation sous Linux (Ubuntu, Debian, etc.)

Sous Linux, WPScan s’installe très facilement car il est disponible dans les dépôts officiels. Il faut d’abord mettre à jour votre système afin d’éviter les erreurs. Ensuite, vous installez WPScan comme un logiciel classique. Une fois installé, vous pouvez vérifier qu’il fonctionne en lançant une simple commande pour afficher sa version. Si une version apparaît, c’est que tout s’est bien passé.

sudo apt update
sudo apt install wpscan
wpscan --version

Installation sur macOS

Sur macOS, la méthode la plus simple est d’utiliser Homebrew. Si vous ne connaissez pas Homebrew, c’est un gestionnaire de logiciels pour Mac. Après avoir installé Homebrew, une commande permet d’installer WPScan automatiquement. Là encore, vous pouvez vérifier l’installation avec une commande de test.

L’opération ne prend que quelques minutes et tout se fait dans le Terminal :

brew install wpscanteam/tap/wpscan

Puis, pour vérifier que WPScan est bien installé :

wpscan --version

Installation sur Windows

Sur Windows, il est possible d’utiliser WPScan soit via Windows Subsystem for Linux, soit via Docker. La méthode la plus confortable pour un débutant reste souvent WSL, car vous obtenez un environnement Linux directement dans Windows. Une fois WSL installé, vous suivez exactement la même procédure que sous Linux.

Clé API WPScan

WPScan fonctionne parfaitement sans clé API, mais si vous voulez accéder à plus de détails sur certaines vulnérabilités, il est recommandé de créer un compte gratuit sur le site officiel. Vous obtiendrez une clé qui permet d’améliorer les résultats. Il suffit ensuite de la renseigner dans la commande ou dans un fichier de configuration. Rien de compliqué, juste un copier-coller bien placé.

Première découverte : comment lancer votre premier scan WPScan

Maintenant que WPScan est installé, vous pouvez enfin l’utiliser. Et rassurez-vous, ce n’est pas “un truc de hackers mystérieux rempli de codes incompréhensibles”. Tout se passe dans une simple ligne de commande, claire et logique.

WPScan depuis le terminal

Pour lancer un premier scan de base, vous aurez simplement besoin de l’adresse du site WordPress à analyser. WPScan analyse ensuite la page d’accueil, identifie qu’il s’agit de WordPress, puis commence à examiner tous les éléments techniques visibles. Le scan dure plus ou moins longtemps selon la taille du site, sa configuration et votre connexion.

wpscan --url https://monsite.com

Si vous utilisez une clé API WPScan (pour obtenir plus d’informations sur les vulnérabilités), vous pouvez utiliser :

wpscan --url https://monsite.com --api-token VOTRE_CLE_API

WPScan peut faire un scan rapide, mais il peut aussi être configuré pour analyser plus profondément. Par exemple, il peut essayer de détecter les utilisateurs existants visibles publiquement. Ce n’est pas une attaque, mais une information. Si un pirate peut détecter facilement votre compte admin, cela représente déjà une fragilité.

Vous pouvez également demander une analyse uniquement sur les plugins, uniquement sur le thème, ou un scan complet. WPScan permet vraiment d’adapter la profondeur d’analyse en fonction de vos besoins.

Les principales commandes WPScan que vous devez connaître

Une fois WPScan installé, la base consiste à savoir comment lancer un scan correct. Rassurez-vous, vous n’avez pas besoin d’apprendre un dictionnaire entier de commandes. Quelques-unes suffisent largement pour débuter et déjà sécuriser votre site WordPress.

La commande la plus simple consiste à lancer une analyse classique sur un site WordPress. Vous lui donnez simplement l’URL du site, et WPScan s’occupe du reste. Il va détecter la version de WordPress, vérifier les plugins visibles, analyser le thème actif et afficher les éventuelles failles connues. C’est souvent la première étape pour faire un état des lieux.

wpscan --url https://monsite.com

Ensuite, vous pouvez affiner. Par exemple, vous pouvez lui demander d’afficher plus de détails, car WPScan peut travailler en mode plus “verbeux”. Ce mode fournit davantage d’explications sur ce qu’il fait, ce qu’il cherche et ce qu’il trouve. C’est très pratique pour un débutant, car vous comprenez progressivement la logique de l’outil.

wpscan --url https://monsite.com --verbose

Ou version courte :

wpscan --url https://monsite.com -v

WPScan propose aussi l’analyse des utilisateurs. Même si cela peut surprendre, WordPress révèle parfois publiquement des noms d’utilisateurs par certaines pages, notamment les pages d’auteur. Un pirate qui connaît un identifiant valide a déjà fait la moitié du chemin. WPScan peut alors vous aider à savoir si vos comptes administrateurs sont trop visibles.

Pour demander à WPScan d’analyser et d’énumérer les utilisateurs visibles d’un site WordPress, vous pouvez utiliser l’option d’énumération --enumerate u. Cela permet de détecter les identifiants exposés publiquement (souvent via les pages auteurs). Voici la commande :

wpscan --url https://monsite.com --enumerate u

Version plus détaillée (avec affichage verbeux) :

Formation web et informatique - Alban Guillier - Formateur

Des formations informatique pour tous !

Débutant ou curieux ? Apprenez le développement web, le référencement, le webmarketing, la bureautique, à maîtriser vos appareils Apple et bien plus encore…

Formateur indépendant, professionnel du web depuis 2006, je vous accompagne pas à pas et en cours particulier, que vous soyez débutant ou que vous souhaitiez progresser. En visio, à votre rythme, et toujours avec pédagogie.

Découvrez mes formations Qui suis-je ?
wpscan --url https://monsite.com --enumerate u --verbose

Faites-le uniquement sur un site qui vous appartient ou pour lequel vous avez une autorisation. Cela vous aidera à vérifier si des comptes sensibles, comme les administrateurs, sont trop facilement repérables.

Vous pouvez ensuite activer l’utilisation de la fameuse clé API WPScan. Cette clé permet d’enrichir les informations sur les vulnérabilités détectées. Au lieu d’avoir juste une alerte générique, vous obtenez un descriptif détaillé de la faille, son niveau de gravité et parfois même un lien vers la solution officielle.

Enfin, WPScan peut fonctionner en mode “agressif”. Là, il pousse les analyses plus loin, explore plus d’URLs, compare davantage d’éléments et peut détecter des composants moins visibles. Ce mode est plus long, parfois plus intrusif, et doit être utilisé avec responsabilité. Il est à privilégier sur vos propres sites ou des environnements sous votre contrôle.

Pour lancer WPScan en mode agressif, vous pouvez utiliser l’option --detection-mode aggressive. Cela pousse l’analyse plus loin et peut révéler davantage d’informations techniques.

wpscan --url https://monsite.com --detection-mode aggressive

Vous pouvez aussi cibler spécifiquement certains éléments en mode agressif, par exemple pour les plugins :

wpscan --url https://monsite.com --plugins-detection aggressive

Comment interpréter les résultats d’un scan WPScan

L’un des points les plus importants avec WPScan n’est pas seulement l’analyse, mais la compréhension des résultats. Un scan WPScan vous renvoie généralement trois grands types d’informations : des informations, des avertissements et des vulnérabilités critiques.

Interpréter les résultats de WPScan

Les informations simples ne sont pas forcément mauvaises. Par exemple, la version de WordPress détectée, le thème utilisé, ou la liste des plugins actifs. Ce sont surtout des données pour vous permettre de mieux comprendre votre site. Si WPScan voit un plugin très ancien, il ne crie pas directement à la catastrophe. Il vous dit simplement : attention, ce plugin mérite votre vigilance.

Ensuite viennent les alertes de vulnérabilités. WPScan vous indique souvent le nom de la faille, une description claire, et surtout son niveau de gravité. C’est un peu comme une météo de la sécurité : certaines alertes sont bénignes, d’autres extrêmement sérieuses. Une faille critique signifie généralement qu’un pirate pourrait prendre le contrôle du site, exécuter du code ou accéder aux données. À l’inverse, une faille faible peut parfois n’être qu’un détail qui n’offre pas un réel risque d’exploitation.

WPScan vous indique aussi, dans de nombreux cas, si une mise à jour existe pour corriger le problème. Et c’est là que le pouvoir de l’outil devient évident. Si une extension vulnérable possède une mise à jour sécurisée, vous savez exactement quoi faire : mettre à jour. Parfois, WPScan vous indique que le plugin n’est plus maintenu et qu’aucune correction ne sera publiée. Dans ce cas, la seule solution responsable est souvent de le remplacer.

Il arrive également que WPScan ne puisse pas déterminer clairement la présence d’une faille, mais qu’il suspecte un risque. Cela peut paraître frustrant, mais dans le domaine de la cybersécurité, la prudence n’est jamais une mauvaise chose. Dans ce cas, il est préférable de vérifier manuellement, lire la documentation du plugin concerné, ou consulter les notes officielles de sécurité.

Pour résumer l’état d’esprit à adopter : ne paniquez pas, mais ne minimisez pas. WPScan n’est pas là pour vous faire peur, mais pour vous donner une vision lucide de l’état de santé de votre site WordPress.

Que faire après un scan WPScan : passer de l’analyse à l’action

Analyser, c’est bien. Agir, c’est encore mieux. Une fois que WPScan vous a donné ses résultats, vous devez les transformer en décisions concrètes. Et rassurez-vous, dans la grande majorité des cas, les solutions sont simples.

La première action consiste à mettre à jour WordPress s’il ne l’est pas. Une version ancienne du CMS est l’une des premières portes d’entrée pour une attaque. WPScan insiste souvent sur ce point lorsqu’il détecte une version vulnérable.

Ensuite, vous devez regarder les plugins. Si WPScan signale un plugin vulnérable, la meilleure réaction est de vérifier s’il existe une mise à jour. Dans la plupart des cas, une version récente corrige la faille. Vous mettez à jour, vous rescannez, et vous vérifiez que tout est rentré dans l’ordre. Cela devient presque une routine de sécurité.

Si un plugin n’est plus maintenu ou s’il présente trop de risques, la décision qui fait mal mais qui sauve votre site consiste à le désinstaller et le remplacer. Beaucoup d’attaques WordPress viennent d’extensions abandonnées qui traînent pendant des années sur des sites.

Un autre point concerne vos comptes utilisateurs. Si WPScan détecte des comptes trop exposés, revoyez vos rôles, masquez les comptes administrateurs publics et utilisez des mots de passe solides. WPScan n’est pas là pour juger, mais il vous montre parfois des imprudences qu’on ne remarque même plus.

Pour allez plus loin dans le pentesting :

Vous pouvez également décider d’intégrer WPScan dans une routine régulière. Par exemple, scanner votre site une fois par mois, ou après chaque grosse mise à jour. Cela devient un réflexe sain, comme vérifier la pression des pneus avant un long trajet.

WPScan pour les débutants : oui, c’est vraiment pour vous

Beaucoup de débutants pensent que WPScan est réservé aux “experts sécurité” ou aux “hackers professionnels”. C’est totalement faux. WPScan a effectivement un côté technique, puisqu’il fonctionne en ligne de commande, mais son fonctionnement reste logique, lisible et surtout compréhensible dès que quelqu’un vous explique calmement.

En réalité, WPScan vous apprend la sécurité au fur et à mesure. Plus vous l’utilisez, plus vous comprenez la structure d’un site WordPress, la notion de plugin vulnérable, l’importance des mises à jour, ou encore la différence entre une faille critique et une faille mineure. WPScan devient donc autant un outil de protection qu’un outil pédagogique.

Et puis, soyons honnêtes, sécuriser son site apporte une certaine satisfaction. On a cette petite sensation de contrôle, comme si on installait une bonne serrure sur la porte de sa maison. On dort mieux ensuite.

Tableau récapitulatif des commandes et paramètres de WPScan

Voici un tableau récapitulatif clair et utile des principales commandes et paramètres WPScan, pour vous aider à les retenir facilement et à comprendre leur rôle.

Commande / ParamètreRôleExemple
--urlIndique l’URL du site WordPress à analyserwpscan --url https://monsite.com
--api-tokenUtilise une clé API pour obtenir plus de détails sur les vulnérabilitéswpscan --url https://monsite.com --api-token VOTRE_CLE
-v / --verboseMode verbeux, plus d’informations affichéeswpscan --url https://monsite.com -v
--enumerate uÉnumération des utilisateurs visibleswpscan --url https://monsite.com --enumerate u
--enumerate pRecherche des plugins et détection de vulnérabilitéswpscan --url https://monsite.com --enumerate p
--enumerate tAnalyse du thème actifwpscan --url https://monsite.com --enumerate t
--enumerate apAnalyse des plugins actifs uniquementwpscan --url https://monsite.com --enumerate ap
--enumerate atAnalyse des thèmes actifs uniquementwpscan --url https://monsite.com --enumerate at
--detection-mode aggressiveMode agressif, analyse approfondiewpscan --url https://monsite.com --detection-mode aggressive
--plugins-detection aggressiveMode agressif uniquement sur les pluginswpscan --url https://monsite.com --plugins-detection aggressive
--updateMet à jour la base de données de WPScanwpscan --update
--random-user-agentMasque l’analyse avec un user agent aléatoirewpscan --url https://monsite.com --random-user-agent
--helpAffiche l’aide complètewpscan --help

WPScan, un allié indispensable pour protéger votre WordPress

Si vous avez lu jusque-là, vous avez probablement compris une chose essentielle : la sécurité WordPress n’est pas un luxe réservé aux grandes entreprises. Elle concerne tous les propriétaires de sites, du petit blog personnel au site professionnel. WPScan n’est pas un gadget, mais un outil fiable, reconnu et terriblement utile pour détecter les failles avant qu’elles ne se retournent contre vous.

Utiliser WPScan, c’est accepter de regarder la réalité technique de son site, parfois avec quelques sueurs froides, mais toujours avec la possibilité d’agir. Vous gagnez en connaissance, en maîtrise et surtout en tranquillité d’esprit. Et au fond, ce n’est pas ce que tout propriétaire de site recherche ?

Alors, ne laissez pas votre site WordPress devenir une cible facile. Prenez l’habitude d’analyser, de comprendre et de sécuriser. WPScan vous accompagne, et avec un peu de pratique, vous verrez que ce puissant outil deviendra aussi familier qu’un simple plugin. Et peut-être qu’un jour, vous serez celui qui rassurera les autres en leur expliquant calmement : “Ne vous inquiétez pas, j’ai scanné avec WPScan.”

Articles relatifs

  1. Wordpress : Nettoyer les tables de la base de données
    Découvrez pourquoi nettoyer régulièrement la base de données WordPress accélère votre site, améliore le SEO et libère de l’espace. Un guide complet pour optimiser facilement vos tables et garder un…
  2. Attribut sandbox HTML5 : Sécurité et contrôle. Guide complet
    Découvrez comment l’attribut sandbox en HTML5 renforce la sécurité de vos iframes. Apprenez à l’utiliser efficacement, ses valeurs, ses limites et les meilleures pratiques pour protéger vos sites web….
  3. Netstat et grep : guide complet pour analyser votre réseau
    Ce tutoriel a pour but de vous apprendre, étape par étape, à utiliser les commandes netstat et grep. Vous découvrirez ce que sont ces deux outils, à quoi ils servent, leurs avantages et…
  4. Maths et WebDev : Série et limite pour analyser la performance
    Découvrez comment les séries et limites mathématiques peuvent améliorer la performance de vos serveurs et algorithmes web. Un guide clair, concret et accessible à tous pour allier logique et code…