Fichiers journaux de débogage de WordPress

Que sont les fichiers journaux de débogage ?

Lorsque les développeurs WordPress travaillent au codage d’un thème ou d’un plugin, il est souvent utile qu’ils enregistrent des données importantes dans un fichier, comme les messages d’erreur, afin de pouvoir visualiser et corriger les problèmes éventuels. Dans WordPress, le fichier journal de débogage est créé avec un nom de fichier connu, debug.log, et généralement stocké dans le répertoire /wp-content/ accessible au public.

Pour activer la journalisation du débogage dans WordPress, le développeur doit définir les constantes suivantes dans le fichier wp-config.php :

define( 'WP_DEBUG', true ); define( 'WP_DEBUG_LOG', true );

Ces constantes ne doivent pas être activées lorsque le site Web WordPress est en ligne dans un environnement de production, car elles exposent les données sensibles aux attaquants.

Quels sont les risques de sécurité liés aux fichiers journaux de débogage de WordPress ?

Comme mentionné ci-dessus, les fichiers journaux de débogage sont laissés dans un répertoire accessible au public sur le serveur web avec un nom de fichier prévisible et peuvent être facilement accessibles par un attaquant. Tout ce que l’attaquant doit faire est de deviner le nom correct du fichier journal de débogage et son répertoire pour télécharger le fichier. Et cela est facile, car il se trouve généralement dans le fichier /wp-content/debug.log.

Les fichiers journaux de débogage peuvent contenir toutes sortes d’informations juteuses qui pourraient aider un attaquant. Il peut s’agir des chemins d’accès aux répertoires côté serveur, des erreurs du serveur, des noms d’utilisateur et, dans des cas extrêmes, des mots de passe en clair.

Les fichiers journaux de débogage sont si souvent laissés exposés qu’il est possible d’en trouver un grand nombre sur Google en utilisant les bons mots clés. Un extrait expurgé peut être trouvé ci-dessous :

Comment vérifier les fichiers journaux de débogage

Scanner de sécurité WordPress WPScan

Notre scanner de sécurité WordPress à interface de ligne de commande WPScan peut détecter les fichiers journaux de débogage du point de vue extérieur d’un attaquant.

WPScan vérifiera si le fichier /wp-content/debug.log existe par défaut, par exemple, avec la commande suivante :

wpscan --url http://example.com/

Vous pouvez en savoir plus sur l’utilisation de l’outil WPScan CLI dans notre documentation utilisateur.

Plugin WordPress WPScan

Notre plugin de sécurité WordPress vérifiera la présence de fichiers debug.log dans votre répertoire public, et s’il en détecte un, il affichera un avertissement.

Conclusions

Les fichiers debug.log de WordPress sont souvent laissés sur les sites Web lorsqu’ils sont dans leurs environnements de production et peuvent contenir des informations sensibles qui pourraient être utiles à un attaquant.

Vous pouvez utiliser notre scanner de sécurité WordPress et notre plugin de sécurité WordPress pour vérifier les fichiers debug.log exposés.

Photo by Pixabay from Pexels