Faites attention aux sites de thèmes et plugins non-officiels ou obscurs !

Pouvez-vous vraiment installer à tout va des thèmes et des plugins que vous dégotez ça et là ?

Peut-être que vous avez été comme moi en découvrant votre premier CMS : la pure excitation !

Des choses à tester dans tous les recoins, et surtout, la possibilité d’installer des plug-ins ou des thèmes en 1 clic… la vache, c’était aussi cool que de découvrir un nouveau système d’exploitation ! Et si en plus vous aviez fait tous vos sites à la main jusque là, ça a vraiment du être le même extase que pour moi.

Toutefois, le plaisir des premiers instants passés, le retour à la réalité nous rappelle que ce beau monde du CMS est malheureusement comme le reste : tout n’est pas si parfait.

L’interface d’administration d’un blog, c’est probablement un des derniers endroits où vous penserez à appliquer soigneusement les règles de sécurité élémentaire. Bah oui, ça paraît déjà nettement moins proche ! C’est dans votre navigateur et hébergé sur un lointain serveur…

Un blog est cependant une cible de choix pour tout ceux qui souhaitent :
[unordered_list style= »green-dot »]

  • Placer discrètement des liens pour augmenter le poids de certains sites dans les moteurs de recherche ;
  • Voler des informations relatives aux membres (adresses mail, vrai nom, tout ce sur quoi on peut tomber…) ;
  • Servir du malware aux visiteurs. De loin le plus problématique, parce que ça peut avoir un impact très négatif sur votre image ! Non, je ne vais pas cliquer sur un site dont Google m’indique qu’il contient peut-être des malwares. C’est d’ailleurs une bonne raison d’utiliser leurs outils pour webmaster.

[/unordered_list]

Et le pire c’est que tout ça peut se passer sans que vous ne le remarquiez : l’époque des hackers qui s’ennuient, qui pénètrent dans votre site et y laissent un message humoristique sans toucher à rien d’autre est bien loin… à présent, c’est plutôt le business qui prime et tant pis pour ceux qui s’y laissent prendre.

Le must ? Il n’y a même plus besoin d’aller chercher une faille à exploiter soi-même sur un blog, puisque leurs auteurs sont prêts à y installer tout ce qu’ils trouvent sur le net !

Pourvu que ça ait l’air cool et que ce soit gratuit…

C’est donc l’occasion de répéter les règles de base à respecter pour réduire fortement les risques de compromission. Ces règles sont d’ailleurs également applicables à votre ordinateur, votre téléphone portable et, de manière générale, à tout ce qui permet l’installation de logiciels ou modules tiers.

[unordered_list style= »tick »]

  • Réfléchissez toujours brièvement avant d’ouvrir un fichier (texte, PDF, image,…) dont vous n’avez aucune idée de la provenance. Dans ce cas le risque de se faire exploiter est extrêmement faible, mais il ne sert à rien de l’encourir si tous les capteurs sont déjà au rouge : vous l’avez reçu par mail de quelqu’un que vous ne connaissez pas et qui s’exprime dans un français très approximatif, par exemple…
  • Lorsque vous allez exécuter un fichier reçu, reposez-vous deux fois la question de sa provenance. Est-elle fiable ? Le fichier a-t-il pu être modifié par un tiers ? Car lorsque vous exécutez quelque chose, les possibilités d’exploiter un bug deviennent nettement plus nombreuses ;
  • Puis, demandez-vous : ai-je vraiment besoin de ce truc ? Ce n’est pas très important quand vous êtes sur votre blog personnel ou votre ordinateur à la maison : à nouveau, les risques sont faibles si la provenance est sûre. Par contre, si vous bossez actuellement sur quelque chose de critique (votre business ou des données sensibles), évitez les installations compulsives de thêmes ou de plugins… qui peuvent également, c’est rare mais pas impossible, causer des bugs sur votre installation.

[/unordered_list]

Vous pouvez résumer ça par Que vaut la possibilité que je sois compromis face à ce que va m’apporter l’installation de ce module ?

Pour quelques exemples, voyez cet article sur wordpress-fr qui décortique assez bien le problème des thèmes vérolés :

Préférez donc toujours les sources officielles ou reconnues par la communauté, et, en cas de doutes, appliquez le principe de précaution : ne faites rien. Car sur Internet vous n’êtes qu’à quelque clics des malfrats !

Et au cas où vous vous le demandez, je fournis ici un début d’explication à propos de ce que peuvent valoir vos données personnelles.

Implanter du malware sur des sites est un véritable business pour certains ! Alors ne leur facilitez pas la tâche en exécutant leurs attrapes automatiques. Et comme pour le spam, il suffit d’un très faible pourcentage de gens crédules pour que ça soit rentable : alors n’oubliez pas non plus d’en parler à vos camarades de bloging ! 🙂

A propos Julien@Réflexe Sécurité

Étudiant en Systèmes de Communications, je me suis lancé dans le bloging en commençant par mon sujet favori : la sécurité. But : aboutir à un ensemble de ressources sur lesquelles je peux pointer lorsqu'on me pose une question. Ma vision de "La Sécurité sur Internet pour les Nuls", en somme.
Pour marque-pages : Permaliens.

33 Commentaires

  1. Prudence prudence.
    Perso j’utilise uniquement des extensions installables depuis wp.org.

    Et même comme ça, j’ai eu une surprise hier avec la MAJ de WP 3.2 qui m’a forcé à updater de nombreux plugins. L’un d’entre eux (YAPP pour pas le nommer) m’a alors affiché un énorme popup de pub dans mon admin, j’en suis resté baba !

  2. Le choix de son thème ou de plugins peut paraître anodin au départ. Et puis, on met les mains dedans pour personnaliser un peu et on se rend compte qu’il n’a pas été rendu très « adaptable », bien traduit …
    Méfiance donc quant à ses choix de thèmes ou plugins!

  3. Moi je n’utilise que des plugins proposes par Kate je dois donc être tranquille ;-).
    L’article complémentaire sur « pourquoi ne jamais chercher un thème gratuit sur google » est vraiment impressionnant.
    Pour quelques dizaines d’euros que coute un theme payant pourquoi s’en priver? Je suis justement a la recherche d’un nouveau theme pour mon blog.

  4. Excellent article ! Je recommande surtout de ne pas utiliser des thèmes premium obtenus gratuitement. On ne sait pas quelles modifications ont pu leur être apportés.
    Idem pour les plugins.
    En ce qui concerne les thèmes gratuits, télechargez les sur des sites de confiance et vérifiez qu’ils ne contiennent pas de code crypté.

    Bon courage avec vos sites.
    Alexandre

  5. Et pour les paranos, on pourra toujours aller chercher les outils indiqués sur wordpress-fr pour aller farfouiller un peu le code source du thême, même s’il est gratuit et « authentique » 🙂

  6. J’ai ouïe dire que l’extension TAC n’était pas si performante que ça, tu en penses quoi ?

  7. Si tu as l’intention d’installer un gratuit, autant faire cette petite vérification même si elle n’est pas parfaite.

    Après, il faut aussi être capable de discerner si une alerte est fausse ou pas : j’ai testé l’extension « Antivirus ». Elle vérifie tous les fichiers du thème et relève par exemple tous les endroits ou un fichier est inclu => ça clignote tout rouge même sur un thême clean et il faut simplement lui indiquer que c’est normal.

    Par contre quelqu’un qui ne connait pas du tout PHP va paniquer en voyant ça, alors que tout va bien 😀

  8. Merci pour l’extension, je ne la connaissais pas.
    Je vais tester 🙂

  9. [mode parano on] On ne devrait jamais lire ce genre d’article ! [mode parano off] 😉

  10. En dehors des soucis de bacdoor éventuels, un plugin mal conçus/codé risque également de ralentir de façon sensible le temps de chargement de la page.
    C’est un réel problème sachant que le temps de chargement d’une page est l’un des facteurs de ranking retenu par google.

  11. Et comment savoir si un template est vérolé ? là est la question …

  12. A ce propos, tu saurais à partir de quelle durée de chargement celle-ci devient handicapante ?

    Je savais que ça rentrait en compte mais je ne me suis jamais intéressé au problème de plus près…

  13. Salut,

    il y a un moyen de vérifier cela, en allant dans le footer.php.

    Si vous apercevez un code en base64 (EX : (KGJhc2U2NF9kZWNvZGUokUZabkhEb1JWRWxGL2NtSTdJdzU …), méfiez-vous !

    Derrière ce code se cache souvent des liens qui n’ont rien à voir avec WordPress … ou des codes espions !

    Nico

  14. Salut Kate

    Dis donc on sent le vécu dans cet article ! Tu as eu un souci de cet ordre ?
    Merci en tout cas pour ce retour.

    Et puisque je suis là, voici un petit truc d’éditeur en plus pour être certain de ne pas se faire pirater les adresses email de ses membres inpunéments :

    Glisser subrepticement une dizaine d’adresses pièges dans la base, disséminées un peu partout de manière aléatoire (une nouvelle adresse piège tous les 200 abonnements, par exemple).

    Ca marche à tous les coups ! Si quelqu’un te vole ta base et utilise tes mails pour un envoi de spam, il est levé à tous les coups. Certains services d’huissiers proposent même ce service avec une action immédiate en cas d’utilisation frauduleuse.

    Une adresse gmail, yahoo ou hotmail est indétectable 😉

    Bonne journée

    Yvon

  15. Voilà certainement pourquoi je ne fais pas de mise à jour de plugins ou de version de WP à moins d’y être contraint et forcé par une fonctionnalité manquante.

    On dit partout que les anciennes versions ont des failles, mais ça me parait moins handicapant qu’une nouvelle version où il faut revoir 10 plugins qui ne fonctionnent plus

  16. Moi aussi quand j’ai mis à jour WordPress j’ai une pub sur mon tableau de bord qui me dit que mon navigateur Internet Explorer a besoin d’être mis à jour !

    Cordialement,
    Chafik

  17. Un antivirus n’est rien si on ne sait pas ce qu’il fait ou qu’on fait carrément des bêtises tout seul.

    Ceci dit, j’ai testé :

    – Antivirus : qui scanne tous les fichiers du thème ;
    – Secure WP : permet de régler certains trucs, comme empêcher l’affichage de certaines infos (prisées pour d’éventuels exploit) ;
    – WP-Security : effectue plus ou moins les mêmes vérifications que Secure WP, avec quelques différences.

    (D’ailleurs les deux derniers peuvent être reliés à WebSiteDefender.com, truc que je n’ai pas encore testé.

    Quelque chose de pas mal est aussi d’avoir un compte Google avec les Webmaster Tools. Si Google détecte un problème il vous en avertira (d’ailleurs je viens de recevoir un message de ce service m’invitant à mettre WordPress à jour sur un blog que je gère).

    Valà, j’espère que ça peut en aider 🙂

  18. Merci pour ce truc ! C’est vraiment un bon moyen de détecter un vol de données.

    Cependant, ça permet surtout de réagir (prévenir ses lecteurs par exemple) : une fois que les mails sont volés, ils ne sont pas « récupérables »…

    Et quand l’attaque provient d’un endroit où l’on fait peu de cas de ce genre de vols, l’équipe d’huissiers ne servira malheureusement pas à grand chose :-/.

  19. Le « ça me paraît moins handicapant » est vraiment une chose à évaluer au cas par cas, pour soi-même.

    Si un défacement, la présence de liens injectés ou le vol de données ne te porte pas un préjudice trop grand (tant au niveau du business qu’au niveau de l’image si on ne parle pas d’un blog perso), c’est vrai que ça ne sert pas à grand chose d’être au taquet niveau mises à jour.

    Cependant, il vaut mieux bien y réfléchir une fois, car c’est quand y’a un véritable souci qui arrive qu’on réalise qu’on a perdu des choses de valeur, qu’on a pas de backup stocké ailleurs ou qu’on a mal évalué le dégât d’image potentiel…

    Après, les mises à jour de de sécurité sont indiquées comme telles et il vaut mieux effectuer celles-ci.

    Et pour les plug-ins qui ne marchent plus, je n’ai jamais eu ce souci, bien que j’attende toujours un petit peu pour faire les màj histoire de ne pas avoir à essuyer les plâtres.

  20. Je pense qu’il faut faire attention car certains plugins peuvent aussi apporter des failles de sécurité. Ce qui n’est pas un joli cadeau

  21. Ca permet aussi de réagir de manière légale afin d’éviter que le voleur ne recommence. Le vol d’adresse est un vol comme les autres. Et si le gars vole ces adresses et les contacte, c’est qu’il a quelque chose à vendre, forcément.

    Donc dépôt de plainte, Paypal, Google, tout y passe… Beaucoup ne font rien alors beaucoup se croient tout permis. Mais quand on a un service spécial qui s’occupe de ça toute l’année, il va jusqu’au bout. Et ça paye 9 fois sur 10…

  22. Le prix d’un tel service tourne dans les combien ? Et je serais curieux d’explorer quelques sites qui proposent ces services 🙂

  23. Le tarif c’est environ 4000 € par an. Et tu ne trouveras pas de site Internet qui parle de ça. Ce sont des services qu’on négocie en bugne à bugne. C’en est que plus efficace.

  24. Je me rappelle avoir lu un article il y a quelques mois (je ne saurais pas le retrouver) qui expliquait très clairement que les sites en tête des résultats (US) sur des requêtes comme « viagra » ou « poker », pour ne citer que les plus connus, beneficiaient d’énormément de backlinks en provenance de blogs WordPress qui ne le savaient même pas … des liens cachés dans des thèmes gratuits … certains à l’allure très professionnels tant qu’a faire …

  25. Tu as tout à fait raison de rappeler ce genre de risques qui peuvent être pris lorsque l’on utilise un thème ou un plugin gratuit venant d’un site malveillant. Ce qu’il y a d’important à faire : vérifier ces sources et voir le sérieux du site qui propose le thème/plugin.

  26. Bonjour et merci pour ces rappels de sécurité.
    Je me permets d’ajouter dans les situations douteuses (et pas que douteuses) je préconise de faire des backup de la base de données.

    D’ailleurs il existe des plugins qui peuvent faire des sauvegardes automatiques et quotidiennes de la base de données.

    Aussi, à chaque mise à jour de WordPress (et même plus souvent si nécessaire) penser à sauvegarder les fichiers et images wordpress en local au cas ou…

    Une opération de sauvegarde prend 5 minutes (selon les fichiers déposés) mais depuis quelques semaines je le fait quasiment 2 fois par mois.

    OUI, j’ai perdu des données de valeurs….

  27. Tiens juste une petite question qui m’est venu en pensant à ton article : certains sites vendent des thèmes « premium », quelle garantie a-t-on qu’il n’y a pas un vilain truc à l’intérieur ?

  28. Hum bonne question et je vais laisser julien y répondre. Même si je pense qu’on peut se baser sur les retours clients.

    Par exemple ayant acheté des thèmes sur WOOthemes, je peux te dire que je n’ai eu aucun problème 😉

  29. C’est simple, tu n’as aucune garantie tangible tant que tu ne vérifies pas tout par toi-même :-).

    Mais comme le dit kate, le retour client est un bon palliatif : si un bricoleur trouve qu’un gros vendeur planque un truc louche dans ses thêmes, ça va lui faire tout sauf de la bonne publicité…

    Une autre possibilité est d’installer un plug-in qui scanne tous les fichiers du thême à la recherche d’inclusions de fichier ou de code en base64. Mais à nouveau, il faut savoir ce qu’on fait car il y a pas mal de faux positifs… (Il s’agit du plug-in « Antivirus » en l’occurrence).

    Bref, c’est surtout une question de confiance, car le client lambda n’a en fait que très peu de moyens de vérifier qu’il n’y a pas anguille sous roche. C’est d’ailleurs le cas presque partout ailleurs : pour les logiciels en général, votre voiture chez le garagiste…

    J’espère avoir répondu à ta question !

  30. Merci Julien de ta réponse complète.
    Effectivement je crois que c’est comme sur tout le web : il faut éviter les trucs un peu douteux et s’en remettre à l’avis des utilisateurs quand ils existent.
    Mais bon, pas très rassurant quand même tout ça… 😉

  31. Je n’avais aucune idée de ce qui pouvait se cacher dans ces thèmes ou plugins, merci d’avoir relevé cette info je vais faire plus attention

  32. En effet, il faut être très vigilant en téléchargeant des thèmes gratuits sur le net (sauf quand ils viennent de wordpress.org). Beaucoup contiennent du code en base64 qui dans le meilleur des cas affiche des liens indésirables dans le footer mais dont l’effet peut être bien plus gênant… Faites donc attention à ce que vous téléchargez, surtout quand vous travaillez pour un client !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *