WordPress propulse aujourd’hui plus de 43 % des sites web dans le monde. C’est colossal — et forcément, ça attire du monde. Les pirates, les bots, les scripts automatisés… tous adorent cibler WordPress. Pas parce que WordPress est mauvais, mais parce que c’est une cible facile quand on ne s’en occupe pas. Et c’est là qu’intervient WPScan : un scanner de vulnérabilités conçu spécifiquement pour WordPress, open source, et franchement redoutable.

Dans cet article, on vous explique ce qu’est WPScan, comment il fonctionne, et comment l’utiliser pour garder votre site en bonne santé.

1. WPScan, c’est quoi exactement ?

WPScan est un scanner de sécurité en ligne de commande dédié aux sites WordPress. Il a été créé en 2012 et est maintenu par WPScan LLC, qui alimente également une base de données de vulnérabilités WordPress (la WPVulnDB) utilisée par de nombreux outils de sécurité professionnels.

Son rôle : analyser votre installation WordPress pour détecter les failles connues dans le core, les thèmes, et les plugins. Il est utilisé aussi bien par les développeurs que par les pentesters, et il fait partie des outils de référence dans le domaine.

Bonne nouvelle : WPScan est gratuit pour un usage personnel. Une clé API est nécessaire pour accéder à la base de vulnérabilités complète, mais le plan gratuit couvre largement les besoins d’un site standard.

2. Ce que WPScan est capable de détecter

WPScan ne fait pas dans la dentelle. Voici ce qu’il passe en revue lors d’un scan :

  • La version de WordPress installée (et si elle est obsolète ou vulnérable)
  • Les plugins actifs et inactifs, avec leurs versions
  • Les thèmes installés
  • Les utilisateurs enregistrés (et leur login exposé)
  • Les fichiers sensibles accessibles publiquement (readme.html, debug.log, xmlrpc…)
  • La configuration du fichier robots.txt et des en-têtes HTTP
  • Les CVE connues associées à chaque composant

3. Installation de WPScan

WPScan est développé en Ruby. Plusieurs méthodes d’installation existent selon votre environnement.

Via RubyGems (recommandé)

gem install wpscan

Via Docker (si vous n’avez pas Ruby)

docker pull wpscanteam/wpscan

Sous Kali Linux (déjà inclus)

sudo apt install wpscan

4. Lancer votre premier scan

La commande de base est volontairement simple :

wpscan --url https://www.votre-site.com

Pour aller plus loin et obtenir un scan vraiment complet avec la base de vulnérabilités :

wpscan --url https://www.votre-site.com --api-token VOTRE_TOKEN --enumerate p,t,u

Les options utilisées ici :

  • –api-token : votre clé API WPScan (gratuite sur wpscan.com)
  • –enumerate p : liste les plugins
  • –enumerate t : liste les thèmes
  • –enumerate u : liste les utilisateurs (très utile pour détecter les logins exposés)

5. Interpréter les résultats

WPScan affiche ses résultats directement dans le terminal, avec un code couleur clair :

  • [!] en rouge : vulnérabilité identifiée, action requise
  • [+] en vert : information trouvée (pas forcément critique)
  • [i] en bleu : information neutre

Pour chaque vulnérabilité détectée, WPScan fournit le CVE associé, une description, et souvent un lien vers le correctif ou la mise à jour à appliquer.

Vous pouvez aussi exporter les résultats au format JSON pour les intégrer à vos processus de reporting :

wpscan --url https://www.votre-site.com --format json --output rapport.json

6. Bonnes pratiques autour de WPScan

WPScan est un outil d’audit, pas une solution de protection en temps réel. Pour en tirer le maximum :

  • Lancez un scan régulièrement — idéalement à chaque mise à jour de plugin ou de thème
  • Mettez à jour immédiatement ce qui remonte comme vulnérable
  • Supprimez les plugins et thèmes inactifs : même désactivés, ils restent sur le serveur et peuvent être exploités
  • Désactivez l’énumération des utilisateurs en limitant les réponses de l’API REST et l’accès à /?author=N
  • Supprimez le fichier readme.html à la racine de votre WordPress : il expose votre version publiquement
  • Complétez WPScan avec un plugin de sécurité (Wordfence, iThemes Security, Solid Security…) pour une protection continue

Conclusion

WPScan, c’est un peu la radiographie de votre site WordPress. Il ne guérit rien tout seul, mais il vous dit exactement où regarder. Et franchement, dans un contexte où les attaques automatisées sont quotidiennes, ne pas auditer son site c’est un peu comme partir en voyage sans vérifier ses pneus.

La bonne nouvelle, c’est que l’outil est accessible, la prise en main rapide, et les bénéfices immédiats. Alors autant l’intégrer dans votre routine de maintenance WordPress.

Vous avez un site WordPress et vous voulez vérifier son niveau de sécurité ?
Contactez-nous, on peut vous accompagner sur un audit complet.