Annonce de l'analyse des vulnérabilités dans Wordfence CLI 2.0.1 "Voodoo Child"

Note: Si vous êtes un utilisateur WordPress, nous vous recommandons le Plugin de sécurité Wordfence qui fournit un ensemble robuste et complet de contrôles de sécurité pour les sites Web WordPress. Si vous hébergez des serveurs WordPress et avez besoin d’une analyse haute performance des logiciels malveillants et des vulnérabilités sur la ligne de commande, lisez la suite !

Notre mission chez Defiant Inc, créateur de Wordfence, est de Sécurisez le Web. Nous avons rendu le Web plus sûr aujourd’hui avec la sortie d’une analyse entièrement gratuite des vulnérabilités des serveurs WordPress à grande échelle pour un usage personnel et commercial avec la sortie de Wordfence CLI 2.0.1, nom de code « Voodoo Child ».

CLI Wordfence est une application en ligne de commande Linux hautes performances qui nous avons lancé le WordCamp US il y a deux mois avec une analyse robuste des logiciels malveillants. Wordfence CLI est conçu pour les administrateurs de serveurs techniques travaillant sur la ligne de commande pour héberger des sites WordPress individuels ou pour fournir un hébergement WordPress à grande échelle. Avec celui d’aujourd’hui sortie de Wordfence CLI 2.0.1Wordfence CLI va maintenant analyser votre serveur WordPress, ou tout votre réseau, pour les vulnérabilités WordPress avec une seule commande. Cette fonctionnalité s’ajoute à la puissante capacité d’analyse des logiciels malveillants déjà fournie par Wordfence CLI.

Wordfence CLI a suscité beaucoup d’enthousiasme au Wordcamp US et la seule question retentissante qui nous a été posée était « va-t-il analyser mon site Web à la recherche de vulnérabilités ? Aujourd’hui, nous sommes extrêmement heureux de présenter l’analyse des vulnérabilités WordPress à grande échelle dans Wordfence CLI.

L’analyse des vulnérabilités est entièrement gratuite

L’analyse des vulnérabilités dans Wordfence CLI est entièrement gratuite pour un usage personnel ET commercial. Wordfence CLI utilise notre base de données de vulnérabilité ouverte qui est également disponible gratuitement pour que vous puissiez l’utiliser, y compris notre API de vulnérabilité et vulnérabilité Web Hooks qui vous alertera en temps réel lorsque nous ajouterons une nouvelle vulnérabilité. Wordfence CLI est open source, sous licence GPLv3.

Wordfence CLI 2.0.1 « Voodoo Child » a également une installation simplifiée. Vous n’avez plus besoin de venir sur notre site pour obtenir une clé API pour exécuter Wordfence CLI. Vous pouvez simplement lancer CLI, accepter nos conditions et commencer la numérisation. Wordfence CLI récupère désormais une clé API gratuite en coulisses, ce qui permet de récupérer nos données de vulnérabilité et nos signatures de logiciels malveillants gratuites. Nous avons effectué ce changement pour que vous puissiez être opérationnel rapidement !

L’analyse des logiciels malveillants dans la version gratuite de Wordfence CLI utilise notre ensemble de signatures de logiciels malveillants gratuit et une version payante de Wordfence CLI est disponible qui comprend notre ensemble de signatures commerciales étendu.

Alimenter les hôtes, les agences, les développeurs et l’économie WordPress

La publication à grande échelle de l’analyse des vulnérabilités et des logiciels malveillants avec Wordfence CLI permet la création d’une économie dynamique construite autour de la sécurité WordPress. Nous espérons que nous verrons des entreprises de toutes tailles, y compris des développeurs individuels, se familiariser avec la puissance de Wordfence CLI et commencer à fournir des services de sécurité nouveaux ou complémentaires à leurs clients utilisant Wordfence CLI. Voici quelques exemples:

Wordfence CLI peut être utilisé par nettoyeurs de sites et intervenants en cas d’incident pour trouver rapidement et efficacement les logiciels malveillants sur un site Web déjà infecté et rechercher les vulnérabilités afin de déterminer les vecteurs d’intrusion potentiels, tout en fournissant des mesures correctives après le nettoyage.
Développeurs et les équipes opérationnelles peuvent analyser un seul site ou un serveur entier à la recherche de vulnérabilités afin d’empêcher un piratage avant qu’il ne se produise.
Agences peut analyser des milliers de sites WordPress sur un serveur avec une seule commande pour rechercher des vulnérabilités ou localiser des logiciels malveillants.
Fournisseurs d’hébergement peuvent utiliser un serveur dédié doté de nombreux cœurs de processeur pour lancer une analyse multi-processus des logiciels malveillants qui accède à l’ensemble de leur parc de serveurs en mode lecture seule via le réseau afin de rechercher des logiciels malveillants à grande échelle. Il est tout à fait possible d’étendre cela jusqu’à 15 millions de sites Web ou plus pour les méga-hébergeurs.
Fournisseurs d’hébergement peut effectuer des analyses rapides de vulnérabilités à grande échelle sur l’ensemble d’un réseau pour alerter et fournir des options de remédiation aux clients.

Tout ce qui précède peut être planifié sous forme de tâche cron exécutée régulièrement. Wordfence CLI accepte les entrées canalisées et prend en charge la canalisation de sa sortie. Vous pouvez configurer Wordfence CLI pour utiliser autant de cœurs de processeur que vous le souhaitez lors de l’analyse des logiciels malveillants, afin de pouvoir utiliser efficacement vos ressources de calcul.

Propulsé par Wordfence Intelligence

L’analyse des vulnérabilités Wordfence CLI est alimentée par le Flux API de vulnérabilité de Wordfence Intelligencequi est aussi 100% gratuit pour un usage personnel et commercial. Ce flux contient plus de 12 250 enregistrements de vulnérabilités uniques qui affectent plus de 7 600 plugins et thèmes, et est constamment mis à jour par notre équipe Threat Intelligence. Typiquement, notre équipe ajoute entre 20 et 150 nouvelles vulnérabilités par semaine, avec une moyenne approximative de 82 par semainesur la base de nos données des 12 derniers mois.

Nous surveillons diverses sources telles que les journaux de modifications des plugins, la liste CVE, les bases de données de vulnérabilités et d’autres sources, tout en attribuant des identifiants CVE à des chercheurs indépendants et en menant nos propres recherches en interne. Tout cela vise à garantir que nous disposons dans notre base de données des informations sur les vulnérabilités les plus récentes et les plus précises auxquelles les utilisateurs peuvent avoir confiance. Tous les enregistrements de vulnérabilité contiennent des informations détaillées détaillées telles qu’un titre concis, une description, CWE, score CVSS, les plages de versions concernées, la version corrigée, etc. qui sont utilisables comme sortie avec le scanner de vulnérabilités Wordfence CLI. Cela devrait faciliter plus que jamais les alertes et la priorisation pour les propriétaires de sites et les fournisseurs d’hébergement.

Il est souvent difficile de croire qu’une base de données de vulnérabilités d’une telle qualité soit totalement accessible via le Web et via l’API, mais nous continuons à chercher de nouvelles façons de fournir les données gratuitement. Nous pensons que les vulnérabilités appartiennent à la communauté car elles sont créées par la communauté de sécurité, et c’est pourquoi nous avons adopté la même approche avec l’analyse des vulnérabilités dans Wordfence CLI qu’avec notre base de données de vulnérabilités. L’analyse des vulnérabilités avec Wordfence CLI et l’utilisation de notre base de données de vulnérabilités sont entièrement gratuites pour un usage commercial et personnel. Nous aimerions donc encourager les fournisseurs d’hébergement, les entreprises et les propriétaires de sites à mettre en œuvre ces données et à utiliser Wordfence CLI pour contribuer à rendre le Web plus sécurisé.

Exécution de votre première analyse de vulnérabilité

Si vous n’avez pas encore installé CLI, suivez ces instructions d’installation pour être opérationnel. Si vous disposez de Wordfence CLI, suivez ces instructions de mise à niveau pour mettre à jour votre installation vers la dernière version.

Pour effectuer une analyse de vulnérabilité de base à partir de la ligne de commande, appelez simplement :

wordfence vuln-scan /path/to/scan


If you’d like to run a malware scan, use this command to get started:
wordfence malware-scan /path/to/scan
Les analyses de logiciels malveillants sont un peu plus gourmandes en CPU, nous offrons donc la possibilité d’utiliser plusieurs cœurs de processeur lors de l’exécution d’une analyse de logiciels malveillants.  Ceci n’est pas disponible pour les analyses de vulnérabilité car elles s’exécutent très rapidement.  Pour utiliser 8 cœurs de processeur pour une analyse des logiciels malveillants et voir la progression en temps réel, exécutez cette commande :
wordfence malware-scan /path/to/scan --progress --workers 8
Pour scanner le /var/www/wordpress répertoire des vulnérabilités et écrire les résultats dans /home/username/wordfence-cli-vuln-scan.csv.
wordfence vuln-scan --output-path /home/username/wordfence-cli-vuln-scan.csv /var/www/wordpress

Si vous souhaitez analyser plusieurs installations WordPress, vous pouvez fournir un chemin vers chacune en tant qu’argument de ligne de commande :
wordfence vuln-scan --output-path /home/username/wordfence-cli-vuln-scan.csv /var/www/wordpress1 /var/www/wordpress2 /var/www/wordpress3

Pour exécuter une analyse quotidienne de votre installation WordPress, vous définissez une entrée cron comme celle-ci :
0 0 * * *  username /usr/local/bin/wordfence vuln-scan --output-path /home/username/wordfence-cli-vuln-scan.csv /var/www/wordpress

Cet exemple analyse le répertoire /var/www/wordpress et écrit les résultats dans /home/username/wordfence-cli-vuln-scan.csv comme le username utilisateur.  Cela serait similaire au fonctionnement d’une analyse planifiée dans le plugin Wordfence.  Le cronjob utilise un fichier de verrouillage à l’adresse /tmp/wordfence-cli-vuln-scan.lock pour empêcher l’exécution simultanée d’analyses de vulnérabilité en double.
Allez-y et sécurisez le Web !
Wordfence CLI est l’un de ces projets où la feuille de route du produit s’écrit toute seule car il existe un besoin évident d’un outil puissant comme celui-ci dans l’espace d’administration du serveur WordPress.  Nous sommes là pour le long terme et continuerons à investir massivement dans Wordfence CLI, avec vos conseils.  Une fois que vous aurez essayé CLI, nous aimerions connaître vos commentaires dans les commentaires.







Source link

Cookie	Durée	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Wordfence

Annonce de l’analyse des vulnérabilités dans Wordfence CLI 2.0.1 « Voodoo Child »

L’analyse des vulnérabilités est entièrement gratuite

Alimenter les hôtes, les agences, les développeurs et l’économie WordPress

Propulsé par Wordfence Intelligence

Exécution de votre première analyse de vulnérabilité

Allez-y et sécurisez le Web !