Plugins Wordpress : attentions aux failles, mais pas seulement

13.10.2012 | Réseau Dumac
2335 visiteurs  -  Aucun commentaire

Si les utilisateurs du moteur de blog Wordpress sont si nombreux de par le monde, c’est principalement pour les innombrables ressources que l’on peut trouver et télécharger gratuitement sur internet.

Il existe également de très nombreuses applications payantes, mais la grande majorité des sites propulsés par WordPress le sont pour des raisons d’économie et n’utilisent que des extensions gratuites.

Las ! Il faut être bien naïf en ce bas-monde pour encore croire au "tout gratuit" de nos jours... Parmi tous ces développement soi-disants "gratuits", beaucoup contiennent des contreparties qui ne sont pas affichées.

Cela peut aller du "simple" lien vers le site du développeur à l’exécution de code plus ou moins malicieux (script exécuté en local ou depuis une iframe).

Cf. nos articles précédents sur les failles de sécurités WP : Plugin TimThumb pour WordPress http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=142, ou encore injection de code et faux antivirus http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=151

La plupart du temps, le webmaster qui a installé cette extension ou ce plug-in (plus rarement fait un copier-coller de code PHP dans le fichier fonctions.php) n’est au courant de rien. Son site est alors "réquisitionné" pour servir les intérêts de tiers. Et son site peut alors participer à des opérations d’envergure lors d’attaques informatiques (on parle de PC zombie dans de vastes réseaux de botnets) de type DdoS, ou peut servir de passerelle relais, etc

Dans une moindre mesure, il se peut que le "malware" ne soit qu’un lien. Mais lorsque codé dynamiquement, le lien appelé sur un serveur distant et affiché (en caché ou non) sur le site propulsé par WP peut changer selon les besoins du développeur-exploiteur. Et par exemple, diriger l’internaute vers des sites au contenu interdit aux mineurs ou illégaux. Auquel cas le webmaster utilisateur subit une double peine :

> Google risque de pénaliser son site pour violation des guidelines pour webmasters (lien caché)

> La mauvaise fréquentation avec des sites repérés comme dangereux, pédophiles, racistes, etc peut avoir un effet "retour de bâton" et pénaliser également le site émetteur du lien...

Il est donc primordial de vérifier les thèmes, les plugins, extensions et widgets que l’on installe avec WordPress !

Voir notre article Tester les vulnérabilités de son blog WordPress http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=149

Dans la même rubrique

Derniers Commentaires

Articles récemment mis à jour

Too Cool for Internet Explorer

Reseau Dumac : le site des anciens étudiants du diplôme universitaire média interactif et ses applications est motorisé par le logiciel libre Spip 1.8.3 associé au squelette graphique BliP 0.91

17 rubriques ... 176 articles ... 2 commentaires ... 63 sites référencés ... 5 visiteurs par jour (105540 au total)

Haut de page | XHTML 1.0 | CSS 2