Les plugins sont certainement l’un des avantages de la construction de sites Web utilisant WordPress. Cependant, les plugins peuvent sérieusement compromettre la sécurité de votre site si vous ne faites pas attention.

Avec 54% des vulnérabilités détectées attribuées aux plugins, ce n’est pas un secret, ils sont la principale cause des violations de sécurité WordPress. Bien sûr, cela peut généralement être réduit à une erreur de l’utilisateur (c’est-à-dire qu’un plugin n’a pas été mis à jour alors qu’il aurait dû l’être). Mais parfois, ces problèmes de sécurité du plugin n’ont rien à voir avec ce type d’erreur utilisateur. Au lieu de cela, ils proviennent d’autres utilisateurs; spécifiquement, les pirates informatiques qui injectent sciemment leurs propres plugins avec un code malveillant.

Oui, c’est vrai: il existe de faux plugins WordPress construits dans le but explicite d’infecter des sites Web . Comme vous le verrez bientôt, ces infections ne sont pas toujours faciles à repérer non plus. Jetons un coup d’oeil à la raison pour laquelle les pirates utilisent des plugins WordPress pour se frayer un chemin dans votre site Web, comment ils le font, et ce que vous pouvez faire pour l’empêcher.


Quelques Faux plugins WordPress qui ont trompé tout le monde

Très bien, donc vous savez assez bien comment sécuriser un site WordPress.  La zone d’administration a besoin dune attention particulière attention, tout comme le répertoire racine de votre site. Tout contact direct avec les visiteurs de votre site doit être fortifié, tout comme les serveurs de votre hébergeur. Fondamentalement, tous les angles doivent être couverts.

Mais que faites-vous quand le hack vient de l’intérieur de votre site Web?

Des Faux plugins WordPress ? Ce que vous devez savoir !

Les pirates informatiques qui se donnent la peine de construire un faux plugin WordPress savent ce qu’ils font.

La plupart des faux plugins qui ont nui aux sites Web des utilisateurs sont passés inaperçus parce que le code  « à première vue » est apparu légitime.

Si vous n’avez jamais rencontré un faux plugin WordPress auparavant, permettez-moi de vous présenter un certain nombre de cas bien connus:


Plugin Pingatorpin

Pingatorpin était un plugin en 2013 qui n’a pas été immédiatement identifié comme ce qu’il était vraiment. Sucuri a trébuché sur un grand nombre de sites Web contenant des logiciels malveillants, tous partageant un ensemble de fichiers similaires. Ce n’est qu’à partir du moment où ils ont commencé à creuser plus profondément qu’ils ont réalisé que le plugin Pingatorpin était à l’origine du spam répandu sur ces sites.


Plugin Anti-Spam SI CAPTCHA

Vous voulez  voir quelque chose de plus complexe ? 

Procurez-vous  le plugin SI CAPTCHA , qui, jusqu’à l’été 2017, était en fait un plugin CAPTCHA valide.
En Juin, le plugin a été acheté par une autre partie et changé de propriétaire. C’est là que les problèmes ont commencé.

Le nouveau propriétaire a ajouté du code dans le plugin qui permettrait de lui d’injecter des publicités  dans les billets de blog des utilisateurs. Ce n’était pas le seul plugin utilisé par ce hacker, car huit autres plugins WordPress ont été utilisés comme un moyen d’obtenir un accès backdoor à des sites Web afin d’y lancer du spam.

Il y a donc des hackers astucieux comme ceux-ci qui achèteront des plugins bien connus a leur développeurs et publient ensuite des mises à jour avec une vulnérabilité à l’intérieur qui leur permettra d’accéder aux sites des utilisateurs. Ils savent que les développeurs WordPress et d’autres utilisateurs hypervigilants en matière de sécurité hésitent probablement à utiliser un plugin peu connu du dépôt, donc ce mouvement super sournois est vraiment très intelligent quand on y pense.


WP-Base-SEO Plugin

Près de 4 000 sites Web WordPress ont été piratés en avril 2017 lors de l’installation du plugin WP-Base-SEO. Le hacker derrière celui-ci n’a pas construit le plugin à partir de zéro et n’a pas acheté un plugin déjà connu pour gagner la confiance des utilisateurs. Au lieu de cela, il a copié le code d’un autre plugin SEO afin de le faire passer comme un plugin légitime, ce qui explique comment il a échappé à l’attention des scanners en ligne.

Bien sûr, les gens ont vite réalisé que quelque chose n’allait pas. Lors de l’inspection, ils ont rapidement identifié un certain nombre de fichiers suspects avec une requête PHP encodée en base64 qui a conduit à l’infection.


X-WP-SPAM-SHIELD-PRO

Pour toutes fins utiles, cela semblait être un plugin de sécurité bien codé pour WordPress. Il avait même des structures de dossiers ressemblant à celles d’un plugin normal et sécure . Mais une fois que Sucuri a mis la main dessus (ainsi que sur certains sites infectés ), ils ont remarqué des problèmes majeurs avec le code.

Voici juste un avant-goût de ce que celui-ci espionnt

  • La version actuelle de WordPress.
  • Une liste de tous les plugins installés sur le site.
  • Une liste des utilisateurs admin du site.
  • Le nom des utilisateurs connectés, leurs mots de passe, ainsi que les adresses IP, entre autres détails sensibles.

Une fois qu’il avait toutes ces informations, il avait le pouvoir de:

  • Ajouter un nouvel utilisateur admin, se donnant la possibilité de se déplacer librement sur le site.
  • Désactiver tout plugin utilisé sur le site, y compris les plugins de sécurité.
  • Téléchargez n’importe quel fichier sur le site.
  • Recevoir une notification chaque fois que quelqu’un a installé le plugin, afin qu’ils sachent le moment où ils avaient un accès complet pour le démolir.

Trucs effrayants.


Alors, jetons un oeil à ce que vous pouvez faire pour empêcher vos sites WordPress de faux plugins.

9 meilleures pratiques WordPress plugin pour garder les pirates à la baie

Maintenant que vous savez ce que les pirates cherchent à faire avec de faux plugins, c’est votre travail de vous assurer que vous ne tombez pas dans leurs pièges. Voici les 9 meilleures pratiques de plugin WordPress à suivre:


1. Passez en revue le plugin pour le contrôle de qualité global

Si vous trouvez un plugin WordPress situé dans le dépôt WordPress ou une autre source de confiance pour les plugins WordPress (comme CodeCanyon ), passez en revue tout ceci :

Des Faux plugins WordPress ? Ce que vous devez savoir !

  1. Tout d’abord, la réputation du développeur de plugin. Si vous ne les reconnaissez pas, faites vos recherches pour vérifier leur crédibilité.
  2. La fréquence des mises à jour a également de l’importance, car un site Web qui reste non maintenu pendant plus de quelques mois peut être un signe sérieux de problème; peut-être pas que c’est un faux, mais qu’il est abandonné et n’a pas de soutien disponible.
  3. Vous pouvez en dire beaucoup sur la qualité d’un plugin en fonction du nombre de personnes qui l’utilisent. Je dirais que plus de quelques milliers de personnes sont un nombre sûr auquel vous pouvez faire confiance.
  4. Les évaluations vont de pair avec le nombre d’utilisateurs. Un score inférieur à 4,5 devrait vous demander « Pourquoi? »
  5. Enfin, vous devriez explorer les commentaires réels laissés par les utilisateurs lorsqu’ils ont évalué le plugin. Cela vous donnera un meilleur aperçu des problèmes récurrents avec le plugin. Toutes les notes sur la sécurité et vous devriez abandonner le plugin immédiatement.

Si vous trouvez un plugin en dehors des ressources WordPress standard et fiables, alors vous devrez faire des recherches en dehors d’eux. Une recherche Google est un bon point de départ, tout comme les forums WordPress. Ils vous donneront une idée du type de plaintes ou de problèmes rencontrés par d’autres utilisateurs.


2. Revoir le code

La première chose que vous devriez faire avant d’installer un nouveau plugin est d’inspecter la structure du fichier et assurez-vous qu’il semble légitime. S’il réussit l’inspection, vous pouvez regarder de plus près le code. Même si vous n’êtes pas un développeur de plugins, vous serez capable de repérer les problèmes potentiels de codage dans les fichiers du plugin si vous regardez assez proche. S’il y a des appels pour des informations sensibles qui n’y appartiennent pas, alors vous saurez que quelque chose est en place.


3. Passez en revue votre thème

Avez-vous entendu parler des exploits TimThumb ou Slider Revolution ? Bien qu’il ne s’agisse pas de faux plugins, leurs vulnérabilités ont pu passer entre les mailles du filet en raison de leur utilisation.

Certains thèmes WordPress incluront un ensemble groupé de plugins en leur sein. Cela peut sembler pratique d’avoir toutes ces fonctionnalités intégrées prêtes à l’emploi, mais cela peut poser de sérieux problèmes si le développeur de thèmes ne reste pas à l’affût des faille de sécurité des plugins et ne les envoie pas aux utilisateurs.

Alors, faites-vous une faveur, et passez en revue votre thème pour voir s’il inclut n’importe quels plugins dedans. TimThumb, Slider Revolution, et Gravity Forms sont trois des plugins les plus problématiques quand ils ne sont pas mis à jour, ils seront donc vos premiers drapeaux rouges. Puis c’est une bonne idée de savoir ce que vous avez  au cas où une nouvelle faille ou faux plugin est détecté.


4. Utiliser un scanner de vulnérabilité

Un scanner de vulnérabilité peut ne pas être capable d’attraper un faux plugin pour ce qu’il est, mais il vous indiquera quand un malware, un spam ou une autre infection est détecté.


5. Utilisez un plug-in de sécurité

Les plugins de sécurité ont un certain nombre de responsabilités sur votre site; l’un d’entre eux étant de vous informer lorsque les plugins sont supprimés du référentiel WordPress ou ont été signalés.


6. Gérer et maintenir vos plugins

Les plugin  WordPress ont besoin d’attention et d’amour réguliers. Voici ce que vous pouvez faire pour gérer et maintenir correctement votre liste:

  • Gardez tous vos plugins (ainsi que le noyau WordPress et votre thème) à jour.
  • Supprimez tous les plugins anciens ou inutilisés.
  • Jetez les faux plugins WordPress ou ceux avec des problèmes de sécurité ou de performance sous-jacents graves. Référencez cette liste de SiteLock pour voir si vous en avez maintenant.

7. Passez en revue votre site après l’installation du plugin

Chaque fois que vous installez un nouveau plugin ou que vous en publiez une, assurez-vous de consulter le site Web en direct. De nombreux utilisateurs ne savaient même pas qu’ils avaient de faux plugins installés jusqu’à ce qu’ils remarquent que des publicités de spam apparaissent sur leur blog.


8. Utilisez la base de données de vulnérabilités WPScan

Des Faux plugins WordPress ? Ce que vous devez savoir !

Ce tracker en ligne conserve une liste des vulnérabilités détectées dans WordPress, les plugins et les thèmes. Si vous pensez qu’un plugin que vous utilisez peut avoir des problèmes, utilisez-le comme point de référence. En fait, abonnez-vous à leurs alertes afin de toujours savoir quand un problème a été signalé dans WordPress.


9. Faites confiance au meilleur

En cas de doute, sourcez vos plugins WordPress seulement parmi les meilleurs. Si vous êtes inquiet, cela prendra plus de temps pendant que vous parcourez le dépôt et CodeCanyon pour les développeurs réputés, ne soyez pas.


Conclusion

Même avec les normes de sécurité les plus strictes en place, les pirates trouveront un moyen d’exploiter les vulnérabilités connues de WordPress. Malheureusement, l’une de ces faiblesses est notre dépendance sur les plugins pour gérer une bonne partie du travail en notre nom.

Cela ne veut bien sûr pas dire que vous devriez arrêter d’utiliser des plugins WordPress. Cela signifie simplement que vous devez être plus vigilant et également un peu méfiant au moment de décider quels plugins à utiliser sur votre site WordPress. Tant que vous adhérez aux meilleures pratiques de plug-in et ne faites confiance qu’à des tiers bien connus et soigneusement évalués pour fournir à votre site des fonctions et fonctionnalités améliorées, vous devriez constater que les faux plugins ne vous concernent pas.