Ce plugin existe depuis 2 ans et je viens de le mettre à jour. Quand je dis "mettre à jour", je veux dire "totalement refait" car il y a 2 ans, je n'avais pas les mêmes réflexions, les mêmes idées et je ne codais pas de la même façon. Ce plugin fait bien sûr parti de la famille Sécurité et est selon moi un must have.
1 million d'extension, et moi et moi et moi
Aujourd'hui le repository officiel de plugins WordPress en contient environ 27000, pas mal ! Saviez-vous que leur sécurité n'est pas testée avant publication ?
En fait c'est humainement impossible, car déjà il faut parfois des compétences en Sécurité Web mais aussi le nombre d'ajouts et de mises à jour sont trop nombreuses, c'est juste impossible de trouver une équipe de bénévoles pour parcourir autant de fichiers à la recherche de failles et aucun script automatique ne saura faire ce travail.
Laissez la police faire son travail
Ce qui est bien avec WordPress (et c'est aussi pour ça que j'ai choisi WordPress au début) c'est sa communauté, aussi bien en France qu'ailleurs. Vous pouvez compter sur des gens pour avertir les auteurs en cas de trouvaille d'une faille de sécurité, aussi bien sur le core que sur les nombreux plugins.
À travers le monde, des personnes bien intentionnées auditent des plugins, tombent par hasard sur ces failles et en font un rapport, que le patch ai été publié (Responsible Disclosure) ou pas encore (Full Disclosure). Je fais parti de ces personnes bien sûr, en tant que Consultant en Sécurité Web et orienté WordPress (par plaisir !) je fais aussi ces tâches.
Encore du travail ?
Que fait ce plugin maintenant. Maintenant ça a bien changé ! Pour ceux qui avaient l'ancienne version, il vous fallait obtenir une clé API sur mon site BoiteAWeb.fr, puis dans la page d'administration qui liste vos plugins vous deviez lancer des appels AJAX qui allaient eux chercher l'information sur mon site et vérifiaient si oui ou non j'avais déjà audité ce plugin et si oui ou non le plugin "tait vulnérable. Quel bazar ... Je l'avoue ! Mea culpa.
Cette nouvelle version est bien plus simple, plus performante et plus effective. Fini la clé API, fini les appels AJAX, fini de ne vérifier que ma propre liste. J'y ai inclus une liste de plus de 10000 plugins ayant été retiré du repository, principalement pour cause de failles web non corrigées depuis trop longtemps, ou pour des problèmes de licences. Puis grâce à ma veille sécurité, j'y ajoute une liste des plugins ayant été reconnus malicieux mais corrigés pour la plupart. Rappelez vous de la faille dans W3 Total Cache, ce plugin ne va pas être supprimé mais corrigé. Plugin Security Checker vous invitera alors à vous mettre à jour ou de supprimer le plugin.
Comment ça marche, c'est pas compliqué
En fait, maintenant tout ce que vous avez à faire c'est télécharger Plugin Security Checker (il est gratuit), l'installer, l'activer et visiter la page d'administration qui liste les plugins. A chaque visite (et donc à chaque mise à jour auto ou nouvelle installation) le plugin vérifiera vos plugins.
Prêts à gagner un cran de sécurité ? C'est parti !
12 Commentaires
J'ai testé et ouf pas de plugin à faille chez moi... et j'aime particulièrement la mention : "Mais maintenant que vous êtes là ... payez moi un chocolat !"
Comment être sur que Plugin Security Checker n'est pas vulnérable? :-)
Très intéressant, c'est un gros travail d'avoir réuni autant de données (+ de 10k, c'est vraiment complet).
Une petite question : est-ce que quelqu'un sait s'il est possible de re-créer un plugin dans le repository WordPress en utilisant le même nom qu'un plugin qui a été supprimé du dépôt ?
Parce que si c'est possible, alors il faut faire attention a ce qu'il n'y ai pas de plugins qui se créent avec le même nom qu'un plugin listé dans cette blacklist.
@Jeromeweb : j'ai pensé la même chose :D
Blague à part, j'ai utilisé ce plugin, en version 1.0 donc, il y a bien longtemps, sur un site où je me montrais boulimique de plugins... et c'est justement pour ça que je l'ai supprimé un jour de grand nettoyage, sur un coup de tête. Le pauvre, il n'y était pour rien !
Du coup je vais m'y intéresser à nouveau, ne serait-ce que pour mon site de test, ça me permettra de limiter les risques.
Merci pour cette réécriture complète donc... sacré travail !
Hello
@Jerome : Tu peux me faire confiance, et puis ... le plugin n'est pas dans la liste ! haha
@tony : impossible car les plugins ne sont pas vraiment supprimés mais leur page, liens, et recherche ne donne pas de résultat.
@aurélien : maintenant que je sais que tu as lu, tu me dois un choco !
Bonjour Julio,
bravo pour ton travail car pour tout répértorier et tenir à jour la liste c'est un sacré boulot.
Tu n'as pas pensé à faire un projet collaboratif pour faire participer un plus grand nombre de personnes et ainsi tenir plus facilement la base à jour ?
@julio : ben OK au prochain WordCamp. ;)
Hello, et pour Theme Authenticity Checker (TAC) du nouveau ? Il me semble que tu ne l'aimais pas trop celui là, si je me rappelle bien.
Bonjour
j'ai téléchargé directement le plugin sous wordpress , il ne se passe rien... c'est normal? -ma question est peut etre bete...
merci d'avance pour la réponse
Bravo Julio !
Dommage que Plugin Security Checker ainsi que BAW Anti CSRF ne soient pas à nouveau mis à jour.
Un comble lorsque 'Secupress' les pointe comme "2 plugins n’ayant pas été mis à jour depuis 2 ans au moins" !
Les cordonniers seraient-ils les plus mal chaussés ;-) ?
Oui, c'est souvent le cas. Par contre, SecuPress indique la date de mise à jour d'un plugin comme potentiel problème. Mais il faut garder en tête qu'une extension non mise à jour est parfois chose normale si l'extension concernée fait correctement son travail sans faille ni problème de performances.
Merci :)
Laisser un commentaire