La sécurité de votre blog après l’installation d’extensions WordPress !

Les extensions WordPress sont nombreuses, nous en comptant plus de onze mille et cela ne cesse de progresser. Cependant, certaines d’entres elles comportent des failles, de la plus terrible à la plus minimum. Le risque zéro étant une grande blague il est donc difficile de maintenir un blog sécurisé, si vous installez des extensions WordPress. À l’aide de Julio de Boiteaweb et ce nouveau partenariat, nous allons essayer de vous présenter des extensions sécurisées ! Nous comptons, dès aujourd’hui, plus de quatre cents (400) extensions WordPress présentés sur ce blog et nous souhaitons maintenant maintenir à jour notre catalogue et vous prévenir des possibles risques. Cela aide également la communauté anglophone, puisque les extensions sont alors misent à jour, corrigeant la faille.

Sécurisation des extensions WordPress

La sécurisation des extensions est un excellent moyen, pour le moment, d’aider la communauté WordPress à mieux se protéger des extensions contenant des failles. Pour cela nous avons mis en place un module, simple, mais visible au-dessus de notre contenu. Trois états sont disponibles et permet alors de vous notifier en un coup d’oeil de l’état de l’extension. Lorsque Julio détecte une ou plusieurs failles dans l’extension présentée sur le blog, nous mettons à jour l’article contenant les informations. Vous pouvez alors apercevoir différentes abréviations.

Les abréviations

  • XSS | Provoque une/des action/s non souhaitée/s par l’administrateur : injections de données, vols d’informations, redirections.
  • CSRF | Utilise l’utilisateur comme déclencheur, il devient complice de l’attaque.
  • SQLi | Injections SQL

Les états des extensions

  • Validée | L’extension a été validée ou corrigée. Elle ne comporte aucune faille.
  • Attention | L’extension contient une faille importante et ne peut être mise à jour dans de bref délais.
  • En attente | L’extension est un possible danger. L’auteur a été contacté et elle sera bientôt mise à jour.

Exemples

Conclusion

Pour finir, nous envisageons également d’introduire un système de ticket avancé pour prévenir des risques, mais également de lister les dernières failles et extensions selon leurs statuts. Ces tickets afficherons certains détails concernant les failles trouvées.

Allez plus loins

10 réponses

  1. Une très bonne initiative de votre part. Plus WordPress va se populariser, plus on a des risques de voir débarquer du code malicieux dans les différents plugins proposés, que cela soit par mégarde ou par malhonnêteté…

    1. Personnellement je n’ai jamais vu de code malicieux volontaire, il y a bien eu le « phpinfo() disclosure » mais l’auteur m’a dit qu’il l’avait mis pour dépanner les gens qui ont des soucis d’installation.
      Il n’avais pas réalisé que tout le monde pouvait donc avoir accès à ces informations.
      Merci à toi

  2. Vraiment sympa cette idée ainsi que la conception !
    Par contre ça ne risque pas d’être fastidieux à la longue vu que les extensions sont mises à jour plus ou moins souvent ?

    1. Si c’est très fastidieux bien entendu mais je repasserais sur les extensions déjà sécurisées afin de s’assurer sur les versions suivantes n’ont pas réouvert une brèche. Cela prends beaucoup de mon temps, tenir le rythme de est difficile. Dans tous les cas, le librairie wordpress contient plus de 11000 plugins, je ne peux humainement pas tout faire ! Et même si j’y arrive, j’aurais raté toutes les mises à jour… ouch :)
      C’est donc pour cela qu’avec geekeries, nous allons d’abord tenter de passer sur les extensions présentées.
      Plus tard sur mon site, j’ajouterais une demande de vérification de plugin gratuite (seul l’auteur pourra bien sur), patience le site est encore en mouvement et va changer encore et encore pour gagner en clarté.
      Merci à vous pour vos retours.

  3. Je trouve l’idée excellente mais je m’inquiète un peu sur sa mise en oeuvre : combien de personnes vont s’en occuper ? Car ne serait-ce que pour les 400 extensions déjà présentées, il faut ps mal de temps.
    Désolé de ne pas pouvoir aider mais je ne suis vraiment pas au niveau.

  4. salut,
    Pour faire plus simple (et accessoirement alléger votre travail) :
    Il vous suffit de répertorier les exploits/failles de WordPress à partir de site de référencement d’exploits qui existe sur la toile (comme l’ancien Mil0worm.com).
    Ciao.

    1. Désolé mais je ne me suffit pas de copier/coller ce que d’autres auraient pû trouver. De plus, je ne connais aucun site qui répertorie les failles dans les plugins WordPress contrairement aux plugins Joomla.
      Mon métier étant la sécurité web, je préfère 100 fois chercher et trouver moi même les failles plutôt que de lire des rigolos comme sur inj3ctor.com (tu parlais de milw0rm ;))
      Je ne pourrais evidémment et humainement pas vérifier les plus de 11000 plugins existant, toutes versions confondues, rien que le temps de faire ça, combien de nouveaux plugins auront été postés, combien auront été mis à jour, bref ton idée ne me tente pas du tout.

      1. salut,
        Avant tout, il existe des sites qui références les exploits/Failles sur les plugins de wordpress. Je ne vais pas m’amuser à les donner ici, mais google est là pour toi :).

        Une faille web ne se limite pas à une injection sql, une faille xss ou csrf. Et surtout comme tu l’as soulignés, il y a tellement de plugins que tu ne peux pas tous les contrôler et surtout l’audit que tu réalises ne te permet pas de tester toutes les failles (ça me rappel les 100 failles à trouver de « security-challenge » :P).

        Bref, l’idée que je préconisait c’était de répertorier les failles de plugins EN PLUS de ton travail d’audit.

        Bonne soirée.

        1. Merci ash, aurais tu la gentillesse de m’envoyer les liens des sites qui repertorient les failles des plugins wordpress ? J’ai cherché mais pas trouvé, j’ai bien http://www.in****or.com mais ya pas trop trop de plugins la dessus …
          Juliobosk @ gmail.com merci d’avance

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *