Pleins feux sur la fonctionnalité iThemes Security Pro : analyse du site

Publié: 2021-06-23

Dans les publications Feature Spotlight, nous mettons en évidence une fonctionnalité dans iThemes Security Pro et partageons un peu les raisons pour lesquelles nous avons développé la fonctionnalité, à qui elle est destinée et comment l'utiliser. Aujourd'hui, nous braquons les projecteurs sur l' analyse de site iThemes Security Pro , une excellente fonctionnalité pour sécuriser et protéger votre site Web.

Pourquoi nous avons développé l'analyse de site iThemes Security Pro

Fin 2018, les pirates profitaient activement d'un exploit dans le plugin WP GDPR Compliance. L'exploit a permis à des utilisateurs non autorisés (personnes non connectées à un site Web) de modifier les paramètres d'enregistrement des utilisateurs WP et de changer le nouveau rôle d'utilisateur par défaut d'abonné à administrateur. Heureusement, les développeurs du plugin WP GDPR Compliance ont agi rapidement et ont publié un correctif pour le lendemain de la divulgation publique de la vulnérabilité.

Dans les jours qui ont suivi la divulgation de la vulnérabilité WP GDPR Compliance, nous avons reçu une rafale de rapports de nos clients selon lesquels ils trouvaient de nouveaux utilisateurs administrateurs inattendus sur leur site Web. Ou pire, que leur utilisateur administrateur a été supprimé et, par conséquent, qu'ils ont perdu le contrôle de leur site Web . Heureusement, nous savions quel était le coupable des attaques, et nous avons pu demander aux gens de supprimer les nouveaux utilisateurs et de mettre à jour WP GDPR Compliance vers la version 1.4.3 ou supérieure pour corriger le point d'entrée et empêcher de nouvelles attaques sur le exploit. Malheureusement, certains de nos clients qui ont perdu l'accès à leur site Web n'avaient pas de sauvegarde WordPress à partir de laquelle restaurer et ont dû embaucher un spécialiste de la réparation de piratage pour retrouver l'accès à leur site Web.

Nous ne nous attendions pas à recevoir un grand nombre de rapports de sites clients exploités par WP GDPR Compliance des mois après la publication d'un correctif. Ce n'est qu'un an après la sortie du correctif que nous avons finalement cessé de recevoir des rapports réguliers sur les sites de clients piratés via cet exploit. Cette année-là, nos clients avaient collectivement des centaines de sites Web piratés qui auraient pu être évités simplement en gardant leurs plugins à jour.

La chose la plus frustrante pour moi de mon temps au support a été d'entendre des clients qui sont victimes de piratages qui auraient pu être facilement évités. Cela m'a fait grincer des dents de penser à tout le temps inutile passé à nettoyer les sites piratés et à toutes les conversations difficiles informant les clients et les clients des violations évitables.

Avoir un plugin ou un thème vulnérable pour lequel un correctif est disponible mais non appliqué est le principal coupable des sites Web WordPress piratés. Comme nous l'avons appris plus tôt, la vulnérabilité WP GDPR Compliance a donné aux pirates informatiques le plan dont ils avaient besoin pour prendre en charge tout site qui n'a pas été mis à jour vers la version 1.4.3 pour corriger le point d'entrée. Parlez de dérouler le tapis rouge.

La chose la plus frustrante pour moi de mon temps au support a été d'entendre des clients qui sont victimes de piratages qui auraient pu être facilement évités. Cela m'a fait grincer des dents de penser à tout le temps inutile passé à nettoyer les sites piratés et à toutes les conversations difficiles informant les clients et les clients des violations évitables.

Nous savions que nos clients n'avaient pas le temps de garder une trace de chaque vulnérabilité WordPress divulguée et de comparer cette liste aux versions des plugins et des thèmes que vous avez installés sur votre site. Nous avons donc créé un moyen de protéger automatiquement les clients des thèmes Security Pro contre le coupable n ° 1 des sites Web WordPress piratés.

Qu'est-ce que l'analyse de site iThemes Security Pro ?

Le scanner de site iThemes Security Pro est notre moyen de sécuriser et de protéger votre site Web WordPress contre la principale cause de tous les piratages logiciels. Le scanner de site recherche sur votre site les vulnérabilités connues et applique automatiquement un correctif s'il est disponible.

Les 3 types de vulnérabilités vérifiés

  1. Vulnérabilités WordPress
  2. Vulnérabilités des plugins
  3. Vulnérabilités du thème

À l'aide de l'API de navigation sécurisée de Google, l'analyse du site vérifie également l'état de votre liste de blocage Google et vous alertera si Google a trouvé un logiciel malveillant sur votre site Web. Je suis tellement excité en pensant à la façon dont l'analyse de site iThemes Security Pro évitera aux gens de passer inutilement du temps et de l'argent à nettoyer des sites Web piratés.

Je ressens un sentiment de soulagement, sachant que l'analyse du site empêchera nos clients de perdre leurs clients ou clients après les avoir informés d'un piratage réussi.

Comment utiliser l'analyse de site iThemes Security Pro

Pour commencer avec l'analyse du site, accédez au menu Fonctionnalités des paramètres de sécurité et activez l' analyse du site .

Comment effectuer une analyse manuelle du site

Pour déclencher une analyse de site manuelle, accédez à votre tableau de bord de sécurité et cliquez sur le bouton Analyser maintenant sur la carte de sécurité de l' analyse de site .

Les résultats de l'analyse du site s'afficheront dans une fenêtre contextuelle.

Si l'analyse du site détecte une vulnérabilité, cliquez sur le lien de vulnérabilité pour afficher la page de détails.

Sur la page de vulnérabilité de l'analyse du site, vous verrez s'il existe un correctif disponible pour la vulnérabilité. Si un correctif est disponible, vous pouvez cliquer sur le bouton Mettre à jour le plug- in pour appliquer le correctif sur votre site Web.

Il peut y avoir un délai entre le moment où un correctif est disponible et la mise à jour de la base de données des vulnérabilités de sécurité iThemes pour refléter le correctif. Dans ce cas, vous pouvez désactiver la notification pour ne plus recevoir d'alertes liées à la vulnérabilité.

Important : vous ne devez pas désactiver une notification de vulnérabilité tant que vous n'avez pas confirmé que votre version actuelle inclut un correctif de sécurité ou que la vulnérabilité n'affecte pas votre site.

Comment activer la correction automatique des vulnérabilités

Le scanner de site s'intègre à la fonction de gestion des versions iThemes Security Pro pour mettre à jour automatiquement les logiciels vulnérables lorsqu'un correctif est disponible.

Pour activer la correction automatique des vulnérabilités, accédez au menu Fonctionnalités des paramètres de sécurité et activez la gestion des versions . Une fois la gestion des versions activée, cliquez sur la roue dentée des paramètres.

Ensuite, cochez la case en regard de l'option Mise à jour automatique si corrige la vulnérabilité dans les paramètres de gestion des versions.

Une fois activé, iThemes Security Pro mettra automatiquement à jour un plugin ou un thème s'il corrige une vulnérabilité trouvée par le scanner de site.

Emballer

L'analyse de site iThemes Security Pro est un outil puissant pour protéger votre site Web WordPress du principal coupable des sites Web WordPress piratés. Dans les mois à venir, nous prévoyons d'ajouter l' analyse des logiciels malveillants au niveau des fichiers et la correction automatique des logiciels malveillants à l'analyse du site pour ajouter plus de couches de protection à votre site Web.

Pleins feux sur les fonctionnalités