Nom et prénom : MAMAN Kokou Kami Landry # **Pentest pour cracker un site wordpress** Pour mon pentest, j'utilise kali linux qui tourne dans une machine virtuelle.Cette version de Kali contient un bon nombre d'outils pour effectuer mon pentest. ### Vu global de mon site ou Scanner le site web J'utilise wpcan pour effectuer une analyse du site wpscan --url www.ml-market.com    ### Récupérer la liste des utilisateurs du site wpscan --url www.ml-market.com -e u  S'il n'y a pas d'utilisateurs qui apparaissent alors il faut utiliser un autre outil.Dans ce cas j'utilise metasploit pour avoir au moins un utilisateur.  ### Obtenir le mot de passe de chaque membre **Utilisation de hydra** J'utilise hydra pour accentuer la recheccher de mot de passe.  **Utiliser wpscan** wpscan --url www.ml-market.com -U user.txt -P /usr/share/wordlists/rockyou.txt A la fin de l'analyse, je n'ai pas pu récupérer le mot de passe de l'utilisateur.  ## Actions défensifs 1. Utiliser un nom d'utilisateur different de **admin** dans un premier temps. 2. Mettre en place une prévention contre l'énumeration des utilisateurs en désactivant la fonctionnalité REST API sur le site. 3. Configurer le serveur pour bloquer les requetes de type /?author=<numero> 4. Utiliser un mot de passe complexe d'au moins 8 caracteres composés de chiffres, lettres et caracteres spéciaux. 5. Changer le mot de passe régulierement. 6. Effectuer les mises à jour régulières wordpress et des plugins. 7. Mettre à jour le certificat ssl. 8. Ne pas autoriser l'acces **/wp-admin** and **/wp-login.php** directement sur internet.