Pour les contributions gratuites, il a y le référentiel officiel WordPress, dans lequel ces dernières sont vérifiées. Mais sur le Net, il y a des milliers de sites Web qui distribuent des thèmes et plugins WordPress, gratuits ou payants. Il est alors impossible de leur faire confiance sans vérifications élémentaires…
Cela est une pratique courante. Des sites spécialisés utilisent leur présence sur le Web et les moteurs de recherche afin de multiplier les téléchargements des fichiers qu’ils proposent et la plupart d’entre eux ajoutent un code malveillant aux thèmes et plugins, et il faut avouer que ce n’est pas facile pour vous de le découvrir.
Avant d’apprendre à régler ce problème, parlons des causes du phénomène :
- Pour obtenir des backlinks depuis votre site sans que vous le sachiez (SEO)
- Pour avoir accès à votre blog (backdoor)
- Pour rediriger le trafic de votre site vers des cibles (achat de trafic Web)
- Pour rediriger votre blog via des liens de spam
- Pour ajouter à leurs annonces et bannières publicitaires
- Pour pirater purement et simplement votre site
Comme vous le voyez, les causes sont nombreuses et variées. Non seulement les thèmes et les plugins gratuits sont soumis à ces risques, mais aussi ceux que vous pouvez trouver et télécharger via le Warez ou P2P, les fameux “free nulled premium” peuvent également être infectés par ces codes malveillants.
Ce genre de cas peut arriver à tous, particulier amateur ou professionnel ! Pour cela, une règle simple à appliquer : ne jamais faire confiance à un thème ou plugin WordPress trouvé sur Internet.
Détecter les codes malveillants
Après avoir téléchargé un plugin ou un thème WordPress, la première chose à faire est de vérifier la présence de malware dans l’archive (backdoor PHP, virus, chevaux de Troie, password stealer, etc). Pour cela, rien de plus fiable qu’un scan en ligne utilisant toute une gamme d’antivirus tel que VirusTotal.com. Il suffit alors d’y uploader l’archive pour vérification.
Si votre fichier est infecté, laissez tomber et supprimez l’archive. Sinon, vous pouvez passer à l’étape suivante.
Détecter les codes malveillants
Maintenant passons à l’étape suivante qui consiste à vérifier la présence de codes indésirables et/ou malveillants au sein du plugin ou du thème WordPress. Vous pouvez notamment télécharger et installer le plugin “Exploit Scanner“, téléchargeable via le site officiel WordPress.
Après l’installation d’aller au tableau de bord >> Outils >> Exploit Scanner et exécuter le scan. Il faudra un certain temps pour effectuer l’analyse et le temps dépend du nombre de plugins que vous avez installés.
Après le scan, vous pouvez voir une liste des codes détectés comme suspects. Vous pouvez utiliser la fonction de recherche du navigateur pour trouver les plugins que vous avez installés et n’appartenant pas au référentiel WordPress.
Si vous trouvez du code chiffré, vous pouvez tenter de le déchiffrer via cet outil en ligne.
Vérifier l’authenticité du thème
L’ajout d’un backlink dans un thème libre est une technique très courante mais vous pouvez facilement identifier ces thèmes en utilisant le plugin appelé Theme Authenticity Checker (TAC).
Installez le plugin et allez sur tableau de bord >> Apparence >> TAC. Vous pouvez alors voir la liste des thèmes installés avec leur resultat. Si il y a un problème d’authenticité, le plugin fournira un avertissement (par exemple si des liens chiffrés se trouvent dans un thème).
La sécurité est entre vos mains
Il est rare d’être victime d’un piratage mais il faut toujours être vigilent et agir sagement sous peine de vous laissez berner facilement.
Bonjour,
voilà un outil que ne demande qu’a être testé tant ses promesses sont attractives. A celà peut-être devriez-vous ajouter les mesures préventives qui s’imposent :
– changer le préfixe de la base de données lors de l’installation (ce qui implique de favoriser l’installation manuelle et pas forcément celle proposée en automatique par certains hébergeurs).
– ne pas télécharger de plugins et autres thèmes proposés hors du repository de WP.
– éviter les comptes administrateurs avec pour identifiant ‘admin’ et pour mot de passe ‘date de naissance’.
– mettre à jour systématiquement le core, les plugins et les thèmes à chaque nouvelle version.
– optimiser et sauvegarder régulièrement la base de données pour pouvoir repartir de zéro en cas de soucis.
– sauvegarder régulièrement, et en lieux sûr, le dossier WP-CONTENT de votre installation WordPress.
(liste non exhaustive qui ne demande qu’à être complétée).
Lors de mes interventions d’assistance, dans des cas d’intrusion, j’ai pu faire le constat que ces précautions d’usage n’étaient pas respectées.
Prendre ces mesures préventives et s’équiper tel que le préconise l’auteur de ce post pourrait éviter bien des soucis.
Merci pour cette news !
Bonjour,
Merci pour ces astuces qui viennent compléter parfaitement l’article 🙂 Effectivement le sujet est large et je me suis limité qu’à un thème précis dans l’article pour ne pas tout mélanger.
Les commentaires sont fermés.