Cet article a été mis à jour il y a plus de 20 mois. Le contenu qu'il propose n'est peut-être plus à jour.

WordPress Plugin Security Checker

Ce plugin existe depuis 2 ans et je viens de le mettre à jour. Quand je dis « mettre à jour », je veux dire « totalement refait » car il y a 2 ans, je n’avais pas les mêmes réflexions, les mêmes idées et je ne codais pas de la même façon. Ce plugin fait bien sûr parti de la famille Sécurité et est selon moi un must have.

1 million d’extension, et moi et moi et moi

Aujourd’hui le repository officiel de plugins WordPress en contient environ 27000, pas mal ! Saviez-vous que leur sécurité n’est pas testée avant publication ?

En fait c’est humainement impossible, car déjà il faut parfois des compétences en Sécurité Web mais aussi le nombre d’ajouts et de mises à jour sont trop nombreuses, c’est juste impossible de trouver une équipe de bénévoles pour parcourir autant de fichiers à la recherche de failles et aucun script automatique ne saura faire ce travail.

Laissez la police faire son travail

Ce qui est bien avec WordPress (et c’est aussi pour ça que j’ai choisi WordPress au début) c’est sa communauté, aussi bien en France qu’ailleurs. Vous pouvez compter sur des gens pour avertir les auteurs en cas de trouvaille d’une faille de sécurité, aussi bien sur le core que sur les nombreux plugins.

À travers le monde, des personnes bien intentionnées auditent des plugins, tombent par hasard sur ces failles et en font un rapport, que le patch ai été publié (Responsible Disclosure) ou pas encore (Full Disclosure). Je fais parti de ces personnes bien sûr, en tant que Consultant en Sécurité Web et orienté WordPress (par plaisir !) je fais aussi ces tâches.

Notice dans le plugin Security Checker
Plugin Security Checker – Notice

Encore du travail ?

Que fait ce plugin maintenant. Maintenant ça a bien changé ! Pour ceux qui avaient l’ancienne version, il vous fallait obtenir une clé API sur mon site BoiteAWeb.fr, puis dans la page d’administration qui liste vos plugins vous deviez lancer des appels AJAX qui allaient eux chercher l’information sur mon site et vérifiaient si oui ou non j’avais déjà audité ce plugin et si oui ou non le plugin « tait vulnérable. Quel bazar … Je l’avoue ! Mea culpa.

Cette nouvelle version est bien plus simple, plus performante et plus effective. Fini la clé API, fini les appels AJAX, fini de ne vérifier que ma propre liste. J’y ai inclus une liste de plus de 10000 plugins ayant été retiré du repository, principalement pour cause de failles web non corrigées depuis trop longtemps, ou pour des problèmes de licences. Puis grâce à ma veille sécurité, j’y ajoute une liste des plugins ayant été reconnus malicieux mais corrigés pour la plupart. Rappelez vous de la faille dans W3 Total Cache, ce plugin ne va pas être supprimé mais corrigé. Plugin Security Checker vous invitera alors à vous mettre à jour ou de supprimer le plugin.

Le "bloc rouge" du Plugin Security Checker
Plugin Security Checker – Le « bloc rouge »

Comment ça marche, c’est pas compliqué

En fait, maintenant tout ce que vous avez à faire c’est télécharger Plugin Security Checker (il est gratuit), l’installer, l’activer et visiter la page d’administration qui liste les plugins. A chaque visite (et donc à chaque mise à jour auto ou nouvelle installation) le plugin vérifiera vos plugins.

Prêts à gagner un cran de sécurité ? C’est parti !