Ce module de recherche instantanée vous permet de rechechez en une seconde ce que vous avez besoin. L'ensemble des données du blog y sont répertoriés. De ce fait, vous trouverez les articles, dossiers, codes sources, découvertes et les professionnels du web de notre annuaire.
Les extensions WordPress sont nombreuses, nous en comptant plus de onze mille et cela ne cesse de progresser. Cependant, certaines d’entres elles comportent des failles, de la plus terrible à la plus minimum. Le risque zéro étant une grande blague il est donc difficile de maintenir un blog sécurisé, si vous installez des extensions WordPress. À l’aide de Julio de Boiteaweb et ce nouveau partenariat, nous allons essayer de vous présenter des extensions sécurisées ! Nous comptons, dès aujourd’hui, plus de quatre cents (400) extensions WordPress présentés sur ce blog et nous souhaitons maintenant maintenir à jour notre catalogue et vous prévenir des possibles risques. Cela aide également la communauté anglophone, puisque les extensions sont alors misent à jour, corrigeant la faille.
La sécurisation des extensions est un excellent moyen, pour le moment, d’aider la communauté WordPress à mieux se protéger des extensions contenant des failles. Pour cela nous avons mis en place un module, simple, mais visible au-dessus de notre contenu. Trois états sont disponibles et permet alors de vous notifier en un coup d’oeil de l’état de l’extension. Lorsque Julio détecte une ou plusieurs failles dans l’extension présentée sur le blog, nous mettons à jour l’article contenant les informations. Vous pouvez alors apercevoir différentes abréviations.
En attente
Validée
Pour finir, nous envisageons également d’introduire un système de ticket avancé pour prévenir des risques, mais également de lister les dernières failles et extensions selon leurs statuts. Ces tickets afficherons certains détails concernant les failles trouvées.
9 commentaires !
Maxime from agence web says:
sept 3, 2010
Une très bonne initiative de votre part. Plus WordPress va se populariser, plus on a des risques de voir débarquer du code malicieux dans les différents plugins proposés, que cela soit par mégarde ou par malhonnêteté…
Boiteaweb says:
sept 6, 2010
Personnellement je n’ai jamais vu de code malicieux volontaire, il y a bien eu le “phpinfo() disclosure” mais l’auteur m’a dit qu’il l’avait mis pour dépanner les gens qui ont des soucis d’installation.
Il n’avais pas réalisé que tout le monde pouvait donc avoir accès à ces informations.
Merci à toi
Crunch from thème ps3 says:
sept 3, 2010
Vraiment sympa cette idée ainsi que la conception !
Par contre ça ne risque pas d’être fastidieux à la longue vu que les extensions sont mises à jour plus ou moins souvent ?
Boiteaweb says:
sept 6, 2010
Si c’est très fastidieux bien entendu mais je repasserais sur les extensions déjà sécurisées afin de s’assurer sur les versions suivantes n’ont pas réouvert une brèche. Cela prends beaucoup de mon temps, tenir le rythme de est difficile. Dans tous les cas, le librairie wordpress contient plus de 11000 plugins, je ne peux humainement pas tout faire ! Et même si j’y arrive, j’aurais raté toutes les mises à jour… ouch :)
C’est donc pour cela qu’avec geekeries, nous allons d’abord tenter de passer sur les extensions présentées.
Plus tard sur mon site, j’ajouterais une demande de vérification de plugin gratuite (seul l’auteur pourra bien sur), patience le site est encore en mouvement et va changer encore et encore pour gagner en clarté.
Merci à vous pour vos retours.
Sebastien from artisanat japonais says:
sept 10, 2010
Je trouve l’idée excellente mais je m’inquiète un peu sur sa mise en oeuvre : combien de personnes vont s’en occuper ? Car ne serait-ce que pour les 400 extensions déjà présentées, il faut ps mal de temps.
Désolé de ne pas pouvoir aider mais je ne suis vraiment pas au niveau.
ash says:
sept 19, 2010
salut,
Pour faire plus simple (et accessoirement alléger votre travail) :
Il vous suffit de répertorier les exploits/failles de WordPress à partir de site de référencement d’exploits qui existe sur la toile (comme l’ancien Mil0worm.com).
Ciao.
BoiteaWeb says:
sept 19, 2010
Désolé mais je ne me suffit pas de copier/coller ce que d’autres auraient pû trouver. De plus, je ne connais aucun site qui répertorie les failles dans les plugins WordPress contrairement aux plugins Joomla.
Mon métier étant la sécurité web, je préfère 100 fois chercher et trouver moi même les failles plutôt que de lire des rigolos comme sur inj3ctor.com (tu parlais de milw0rm ;))
Je ne pourrais evidémment et humainement pas vérifier les plus de 11000 plugins existant, toutes versions confondues, rien que le temps de faire ça, combien de nouveaux plugins auront été postés, combien auront été mis à jour, bref ton idée ne me tente pas du tout.
ash says:
sept 27, 2010
salut,
Avant tout, il existe des sites qui références les exploits/Failles sur les plugins de wordpress. Je ne vais pas m’amuser à les donner ici, mais google est là pour toi :).
Une faille web ne se limite pas à une injection sql, une faille xss ou csrf. Et surtout comme tu l’as soulignés, il y a tellement de plugins que tu ne peux pas tous les contrôler et surtout l’audit que tu réalises ne te permet pas de tester toutes les failles (ça me rappel les 100 failles à trouver de “security-challenge” :P).
Bref, l’idée que je préconisait c’était de répertorier les failles de plugins EN PLUS de ton travail d’audit.
Bonne soirée.
Boiteaweb says:
sept 27, 2010
Merci ash, aurais tu la gentillesse de m’envoyer les liens des sites qui repertorient les failles des plugins wordpress ? J’ai cherché mais pas trouvé, j’ai bien http://www.in****or.com mais ya pas trop trop de plugins la dessus …
Juliobosk @ gmail.com merci d’avance
Qu'est-ce que vous en pensez ? :)