Plugin Security Checker : N’installez plus de plugins WordPress vulnérables !

Publié le 24 septembre 2013 Extensions WordPress
Julio Potier

WordPress Plugin Security Checker

Ce plugin existe depuis 2 ans et je viens de le mettre à jour. Quand je dis « mettre à jour », je veux dire « totalement refait » car il y a 2 ans, je n’avais pas les mêmes réflexions, les mêmes idées et je ne codais pas de la même façon. Ce plugin fait bien sûr parti de la famille Sécurité et est selon moi un must have.

1 million d’extension, et moi et moi et moi

Aujourd’hui le repository officiel de plugins WordPress en contient environ 27000, pas mal ! Saviez-vous que leur sécurité n’est pas testée avant publication ?

En fait c’est humainement impossible, car déjà il faut parfois des compétences en Sécurité Web mais aussi le nombre d’ajouts et de mises à jour sont trop nombreuses, c’est juste impossible de trouver une équipe de bénévoles pour parcourir autant de fichiers à la recherche de failles et aucun script automatique ne saura faire ce travail.

Laissez la police faire son travail

Ce qui est bien avec WordPress (et c’est aussi pour ça que j’ai choisi WordPress au début) c’est sa communauté, aussi bien en France qu’ailleurs. Vous pouvez compter sur des gens pour avertir les auteurs en cas de trouvaille d’une faille de sécurité, aussi bien sur le core que sur les nombreux plugins.

À travers le monde, des personnes bien intentionnées auditent des plugins, tombent par hasard sur ces failles et en font un rapport, que le patch ai été publié (Responsible Disclosure) ou pas encore (Full Disclosure). Je fais parti de ces personnes bien sûr, en tant que Consultant en Sécurité Web et orienté WordPress (par plaisir !) je fais aussi ces tâches.

Notice dans le plugin Security Checker
Plugin Security Checker – Notice

Encore du travail ?

Que fait ce plugin maintenant. Maintenant ça a bien changé ! Pour ceux qui avaient l’ancienne version, il vous fallait obtenir une clé API sur mon site BoiteAWeb.fr, puis dans la page d’administration qui liste vos plugins vous deviez lancer des appels AJAX qui allaient eux chercher l’information sur mon site et vérifiaient si oui ou non j’avais déjà audité ce plugin et si oui ou non le plugin « tait vulnérable. Quel bazar … Je l’avoue ! Mea culpa.

Cette nouvelle version est bien plus simple, plus performante et plus effective. Fini la clé API, fini les appels AJAX, fini de ne vérifier que ma propre liste. J’y ai inclus une liste de plus de 10000 plugins ayant été retiré du repository, principalement pour cause de failles web non corrigées depuis trop longtemps, ou pour des problèmes de licences. Puis grâce à ma veille sécurité, j’y ajoute une liste des plugins ayant été reconnus malicieux mais corrigés pour la plupart. Rappelez vous de la faille dans W3 Total Cache, ce plugin ne va pas être supprimé mais corrigé. Plugin Security Checker vous invitera alors à vous mettre à jour ou de supprimer le plugin.

Le "bloc rouge" du Plugin Security Checker
Plugin Security Checker – Le « bloc rouge »

Comment ça marche, c’est pas compliqué

En fait, maintenant tout ce que vous avez à faire c’est télécharger Plugin Security Checker (il est gratuit), l’installer, l’activer et visiter la page d’administration qui liste les plugins. A chaque visite (et donc à chaque mise à jour auto ou nouvelle installation) le plugin vérifiera vos plugins.

Prêts à gagner un cran de sécurité ? C’est parti !

Julio Potier

"Avec WordPress, on peut tout faire, sans tout refaire."

9 Commentaires

Aurélien Denis Le 24 septembre 2013 à 10h15
J'ai testé et ouf pas de plugin à faille chez moi... et j'aime particulièrement la mention : "Mais maintenant que vous êtes là ... payez moi un chocolat !"
Jeromeweb Le 24 septembre 2013 à 12h47
Comment être sur que Plugin Security Checker n'est pas vulnérable? :-)
Tony Le 24 septembre 2013 à 12h56
Très intéressant, c'est un gros travail d'avoir réuni autant de données (+ de 10k, c'est vraiment complet).
Une petite question : est-ce que quelqu'un sait s'il est possible de re-créer un plugin dans le repository WordPress en utilisant le même nom qu'un plugin qui a été supprimé du dépôt ?
Parce que si c'est possible, alors il faut faire attention a ce qu'il n'y ai pas de plugins qui se créent avec le même nom qu'un plugin listé dans cette blacklist.
Laurent Matignon Le 24 septembre 2013 à 15h09
@Jeromeweb : j'ai pensé la même chose :D

Blague à part, j'ai utilisé ce plugin, en version 1.0 donc, il y a bien longtemps, sur un site où je me montrais boulimique de plugins... et c'est justement pour ça que je l'ai supprimé un jour de grand nettoyage, sur un coup de tête. Le pauvre, il n'y était pour rien !

Du coup je vais m'y intéresser à nouveau, ne serait-ce que pour mon site de test, ça me permettra de limiter les risques.

Merci pour cette réécriture complète donc... sacré travail !
Julio Potier Le 24 septembre 2013 à 23h33
Hello

@Jerome : Tu peux me faire confiance, et puis ... le plugin n'est pas dans la liste ! haha

@tony : impossible car les plugins ne sont pas vraiment supprimés mais leur page, liens, et recherche ne donne pas de résultat.

@aurélien : maintenant que je sais que tu as lu, tu me dois un choco !
jérôme Le 25 septembre 2013 à 0h01
Bonjour Julio,
bravo pour ton travail car pour tout répértorier et tenir à jour la liste c'est un sacré boulot.

Tu n'as pas pensé à faire un projet collaboratif pour faire participer un plus grand nombre de personnes et ainsi tenir plus facilement la base à jour ?
Aurélien Denis Le 25 septembre 2013 à 9h44
@julio : ben OK au prochain WordCamp. ;)
Thibaud Le 08 janvier 2014 à 20h49
Hello, et pour Theme Authenticity Checker (TAC) du nouveau ? Il me semble que tu ne l'aimais pas trop celui là, si je me rappelle bien.
Jenny Le 08 février 2014 à 17h51
Bonjour

j'ai téléchargé directement le plugin sous wordpress , il ne se passe rien... c'est normal? -ma question est peut etre bete...

merci d'avance pour la réponse

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *