Pleins feux sur la fonctionnalité iThemes Security Pro – Gestion des versions

Dans les publications Feature Spotlight, nous mettons en évidence une fonctionnalité dans iThemes Security Pro et partageons un peu les raisons pour lesquelles nous avons développé la fonctionnalité, à qui elle est destinée et comment l'utiliser.

Aujourd'hui, nous allons couvrir la gestion des versions, un excellent outil qui facilite la gestion des mises à jour de WordPress ou des thèmes et plugins.

Pourquoi nous avons développé la gestion des versions

La mise à jour des logiciels est un élément essentiel de toute stratégie de sécurité. Les mises à jour ne concernent pas uniquement les corrections de bugs et les nouvelles fonctionnalités. Les mises à jour peuvent également inclure des correctifs de sécurité critiques. Sans ce correctif, vous laissez votre téléphone, ordinateur, serveur, routeur ou site Web vulnérable aux attaques.

Patch mardi

Patch Tuesday est le terme non officiel pour désigner les correctifs de bogues et de sécurité réguliers que Microsoft publie le deuxième mardi de chaque mois. C'est fantastique que Microsoft publie des correctifs de sécurité sur une cadence aussi fiable. Patch Tuesday est également le jour où les vulnérabilités de sécurité corrigées par Microsoft sont rendues publiques.

Consultez la section Quoi mettre à jour et comment automatiser vos mises à jour de l'ebook The Ultimate Guide to WordPress Security in 2020 pour savoir comment appliquer automatiquement les mises à jour Patch Tuesday.

Exploiter mercredi

Le mercredi suivant le Patch Tuesday, il est courant de voir de nombreux attaquants exploiter une vulnérabilité déjà connue sur des systèmes obsolètes et non corrigés. Ainsi, le mercredi suivant un Patch Tuesday a été officieusement appelé Exploit Mercredi.

Pourquoi les pirates ciblent-ils les vulnérabilités corrigées ?

Les pirates informatiques ciblent les vulnérabilités corrigées car ils savent que les gens ne mettent pas à jour (y compris les plugins et les thèmes sur votre site Web). C'est une norme de l'industrie de divulguer publiquement les vulnérabilités le jour où elles sont corrigées. Une fois qu'une vulnérabilité est divulguée publiquement, la vulnérabilité devient une « vulnérabilité connue » pour les versions obsolètes et non corrigées du logiciel. Les logiciels présentant des vulnérabilités connues sont une cible facile pour les pirates.

Les pirates aiment les cibles faciles, et avoir un logiciel avec des vulnérabilités connues, c'est comme donner à un pirate les instructions étape par étape pour s'introduire dans votre site Web WordPress, serveur, ordinateur ou tout autre appareil connecté à Internet.

Divulgation responsable

Vous vous demandez peut-être pourquoi une vulnérabilité serait divulguée si elle donne aux pirates un exploit à attaquer. Eh bien, il est très courant qu'un chercheur en sécurité trouve et signale en privé la vulnérabilité au développeur du logiciel.

Avec une divulgation responsable, le rapport initial du chercheur est remis en privé aux développeurs de la société propriétaire du logiciel, mais avec un accord selon lequel tous les détails seront publiés une fois qu'un correctif sera disponible. Pour les vulnérabilités de sécurité importantes, il peut y avoir un léger retard dans la divulgation de la vulnérabilité pour donner à plus de personnes le temps de corriger.

Le chercheur en sécurité peut fournir une date limite au développeur du logiciel pour répondre au rapport ou pour fournir un correctif. Si ce délai n'est pas respecté, le chercheur peut divulguer publiquement la vulnérabilité pour faire pression sur le développeur pour qu'il publie un correctif.

Divulguer publiquement une vulnérabilité et introduire apparemment un Zero Day - un type de vulnérabilité qui n'a pas de correctif et qui est exploité à l'état sauvage - peut sembler contre-productif. Mais c'est le seul levier dont dispose un chercheur pour faire pression sur le développeur pour qu'il corrige la vulnérabilité.

Si un pirate informatique découvrait la vulnérabilité, il pourrait utiliser discrètement l'exploit et causer des dommages à l'utilisateur final (c'est vous), tandis que le développeur du logiciel reste satisfait de laisser la vulnérabilité non corrigée.

Le Project Zero de Google a des directives similaires en ce qui concerne la divulgation des vulnérabilités. Ils publient tous les détails de la vulnérabilité après 90 jours, que la vulnérabilité ait été corrigée ou non.

Les plugins et thèmes obsolètes sont la vulnérabilité n°1 de WP

Il est difficile de garder une trace de chaque vulnérabilité WordPress divulguée - nous les suivons et les partageons dans nos résumés des vulnérabilités WordPress - et comparons cette liste aux versions des plugins et des thèmes que vous avez installés sur votre site Web. Cependant, cela n'empêche pas les pirates WordPress de cibler les plugins et les thèmes présentant des vulnérabilités connues. Avoir un logiciel avec des vulnérabilités connues installé sur votre site donne aux pirates les plans dont ils ont besoin pour prendre le contrôle de votre site Web.

L'analyse de site iThemes Security Pro vérifie sur votre site Web les vulnérabilités connues de WordPress, des plugins et des thèmes et applique un correctif lorsqu'il est disponible.

Fin 2018, les pirates profitaient activement d'un exploit dans le plugin WP GDPR Compliance. L'exploit a permis aux utilisateurs non autorisés (personnes non connectées à un site Web) de modifier les paramètres d'enregistrement des utilisateurs WP et de changer le nouveau rôle d'utilisateur par défaut d'abonné à administrateur. Heureusement, les développeurs du plugin WP GDPR Compliance ont agi rapidement et ont publié un correctif pour la vulnérabilité le lendemain de sa divulgation publique.

Mais, tout comme avec Exploit mercredi, les pirates ont ciblé la vulnérabilité même si un correctif avait été publié. Dans les jours et les semaines qui ont suivi la divulgation de la vulnérabilité WP GDPR Compliance, nous avons reçu une rafale de rapports selon lesquels des sites Web WordPress ont été piratés par des attaquants exploitant la vulnérabilité.

Avoir un plugin ou un thème vulnérable pour lequel un correctif est disponible mais non appliqué est le principal coupable des sites Web WordPress piratés. C'EST TROP FRUSTRANT !!!!! Cela signifie que la plupart des piratages WP auraient pu être évités.

Il est bouleversant de penser à toutes les personnes qui ont dépensé des tonnes d'argent pour nettoyer leur site Web, aux revenus qu'elles ont perdus alors que leurs sites étaient en panne et aux revenus futurs qu'elles ont perdus en perdant la confiance de leurs clients. Cela le rend encore plus bouleversant lorsque vous savez que toute cette angoisse aurait pu être évitée avec une simple mise à jour.

Avec la gestion des versions, nous voulions faciliter la gestion des mises à jour pour les utilisateurs et les empêcher d'utiliser des versions de logiciels présentant des vulnérabilités connues.

Qu'est-ce que la gestion des versions ?

Au-delà de cela, Version Management propose également des options pour renforcer votre site Web lorsque vous exécutez un logiciel obsolète et rechercher d'anciens sites Web.

Mises à jour automatiques de WP par rapport à la gestion des versions

Je sais ce que vous pensez : « WordPress n'a-t-il pas une option de mise à jour automatique ? Oui, grâce à l'ajout de mises à jour automatiques dans WordPress 5.5, c'est désormais vrai, mais les fonctionnalités de mise à jour automatique dans iThemes Security Pro sont bien plus robustes. Prenons une minute pour comparer les mises à jour automatiques de WP et iThemes Security Pro.

Permettez-moi de commencer par dire que je pense que l'ajout de mises à jour automatiques par WordPress est excellent pour l'avenir de WordPress. La communauté WordPress adoptant les mises à jour automatiques signifie que moins de sites Web seront piratés. Moins de sites Web piratés conduiront à moins de personnes ayant la fausse perception que WordPress est une plate-forme non sécurisée.

Les mises à jour automatiques permettront également aux développeurs de plugins et de thèmes de proposer de meilleures versions. Si nous savons que nos clients comptent sur les mises à jour automatiques, nous veillerons à ce que nos versions n'aient pas besoin d'une série de versions de suivi pour corriger les bogues introduits avec la version initiale. Cela aidera à changer la perception que WordPress nécessite plus de maintenance manuelle par rapport aux autres plateformes.

Voici les trois façons dont iThemes Security Pro Version Management offre plus de flexibilité par rapport aux mises à jour automatiques par défaut de WordPress.

• Gestion simplifiée des plugins et des thèmes - gérez toutes vos mises à jour de plugins et de thèmes à partir des paramètres de gestion de version.
• Ajoutez des délais personnalisés pour les mises à jour des plugins et des thèmes – Les mises à jour automatiques de WordPress offrent uniquement la possibilité d'appliquer les mises à jour immédiatement. Le planificateur de mise à jour vous permet de créer un délai personnalisé. Retarder peut être une bonne option pour les plugins ou les thèmes qui ont tendance à nécessiter des versions de suivi pour résoudre les problèmes après une version majeure.
• Appliquer uniquement les mises à jour qui corrigent les vulnérabilités connues – appliquez uniquement les mises à jour qui corrigent les vulnérabilités connues. Cette option est parfaite si vous souhaitez exécuter manuellement toutes vos mises à jour mais que vous souhaitez recevoir immédiatement les correctifs de sécurité.

Mises à jour automatiques de WordPress

WordPress propose deux options pour les mises à jour automatiques des plugins et des thèmes, Activé ou Désactivé. Vous activerez les mises à jour automatiques des plugins sur la page des plugins WordPress.

L'option de mise à jour automatique du thème est en quelque sorte cachée dans la page des détails du thème.

Mises à jour automatiques de la gestion des versions

Le planificateur de mise à jour de la gestion des versions propose des options pour désactiver les mises à jour automatiques, mettre à jour immédiatement ou retarder les mises à jour aussi longtemps que vous le souhaitez. De plus, vous pouvez configurer les calendriers de mise à jour des plugins et des thèmes dans les paramètres de gestion des versions.

Bon, allons dans les paramètres et examinons de plus près les différentes options de gestion des versions.

Comment utiliser la gestion des versions dans iThemes Security Pro

Pour commencer à utiliser la gestion des versions, activez le module sur la page principale des paramètres de sécurité.

Cliquez maintenant sur le bouton Configurer les paramètres pour examiner de plus près les paramètres.

• Mises à jour WordPress – Installez automatiquement la dernière version de WordPress.
• Mises à jour des plugins – Installez automatiquement les dernières mises à jour des plugins. L'activation de ce paramètre désactivera la fonctionnalité des plugins de mise à jour automatique de WordPress pour éviter les conflits.
• Mises à jour de thème – Installez automatiquement les dernières mises à jour de thème. L'activation de ce paramètre désactivera la fonctionnalité de mise à jour automatique du thème WordPress pour éviter les conflits.
• Renforcez le site lors de l'exécution d'un logiciel obsolète - Ajoutez automatiquement des protections supplémentaires au site lorsqu'une mise à jour disponible n'a pas été installée depuis un mois.
  • Forcez tous les utilisateurs qui n'ont pas activé le double facteur à fournir un code de connexion envoyé à leur adresse e-mail avant de se reconnecter.
  • Désactivez l'éditeur de fichiers WP (qui empêche les utilisateurs de modifier le code du plugin ou du thème).
  • Désactivez les pingbacks XML-RPC et bloquez plusieurs tentatives d'authentification par requête XML-RPC (les deux rendant XML-RPC plus fort contre les attaques sans avoir à le désactiver complètement).

• Analyser les anciens sites WordPress – Exécutez une analyse quotidienne du compte d'hébergement pour les anciens sites WordPress qui pourraient permettre à un attaquant de compromettre le serveur. Un seul site WordPress obsolète avec une vulnérabilité pourrait permettre aux attaquants de compromettre tous les autres sites sur le même compte d'hébergement.
• Mise à jour automatique si la vulnérabilité corrige - Cette option fonctionne en tandem avec l'analyse du site iThemes Security Pro pour rechercher sur votre site Web les vulnérabilités connues de WordPress, des plugins et des thèmes et appliquer un correctif lorsqu'il est disponible.

Mises à jour des plugins et des thèmes

Examinons maintenant de plus près la configuration des mises à jour des plugins et des thèmes. Avant de commencer, je voulais rappeler rapidement que l'activation des paramètres de mise à jour du plugin et du thème désactivera la fonction de mise à jour automatique de WordPress pour éviter les conflits.

Les paramètres de mise à jour du plugin et du thème ont trois choix.

1. Vide/Aucun – Laisser le paramètre vide permettra à WordPress de gérer les mises à jour du plugin et du thème.
2. Personnalisé – L'option Personnalisé vous permet de personnaliser les mises à jour précisément à votre guise. Nous allons couvrir cela plus dans un peu.
3. Tout – Tout mettra à jour tous vos plugins ou thèmes dès qu'une mise à jour sera disponible.

Examinons maintenant de plus près l'option Personnalisé .

La sélection de l'option Personnalisé offre trois choix différents pour les mises à jour de votre plugin et de votre thème.

1. Activer – Choisissez les plugins que vous souhaitez mettre à jour immédiatement après une nouvelle version.
2. Désactiver – Utilisez cette option pour les plugins que vous souhaitez mettre à jour manuellement.
3. Retard – L'option de retard vous permet de définir le nombre de jours pendant lesquels vous souhaitez retarder une mise à jour d'une version. Cela peut être une bonne option pour les développeurs qui ont tendance à avoir besoin de versions de suivi pour résoudre les problèmes après une version majeure.

Comme nous pouvons le voir, le paramètre Mises à jour automatiques personnalisées offre beaucoup plus de flexibilité que l'option de mise à jour automatique activée ou désactivée de WordPress.

Emballer

Avoir un plugin ou un thème vulnérable pour lequel un correctif est disponible mais non appliqué est le principal coupable des sites Web WordPress piratés. Cela signifie que la majorité des piratages WordPress peuvent être évités simplement en mettant à jour.

La fonction de gestion des versions d'iThemes Security Pro vous permet de gérer vos mises à jour automatiques selon votre calendrier. iThemes Security Pro vous indique si vous souhaitez installer toutes les nouvelles mises à jour dès leur publication ou uniquement si la mise à jour corrige une vulnérabilité.

Michael Moore

Chaque semaine, Michael rédige le rapport de vulnérabilité WordPress pour vous aider à protéger vos sites. En tant que chef de produit chez iThemes, il nous aide à continuer à améliorer la gamme de produits iThemes. C'est un nerd géant et il adore apprendre tout ce qui touche à la technologie, ancienne et nouvelle. Vous pouvez trouver Michael traîner avec sa femme et sa fille, lire ou écouter de la musique lorsqu'il ne travaille pas.