Accueil » Tous » Développement » WordPress » Pirater un blog WordPress – Une sécurité déjouée
Pirater un blog WordPress – Une sécurité déjouée

Pirater un blog WordPress – Une sécurité déjouée


 

Avant de lire cet article, je vous rappel que mon compte WordPress créé pour le plugin n’a pas été supprimé mais mon compte normal a été bloqué par l’équipe WordPress.org. Tout ça pour avoir démontrer les fonctions un peu dangereuse de WordPress. Je voulais juste aider cette grande communauté qu’est WordPress. Je vous conseil donc d’utiliser cet article comme exemple de prévention et de vérifier les plugins que vous téléchargez (soit sur d’autres blogs qui parle en bien de ces plugins, soit en vérifiant d’abord leurs contenus, avant téléchargement et avant mise à jour). Je remet donc en ligne cet article pour continuer cette campagne de prévention et non d’incitation au piratage.

Aujourd’hui, j’aimerais vous parler du résultat de mon expérience sur WordPress, après quelques semaines de programmation sur ce CMS, j’ai décidé de voir quelle était sa sécurité. J’ai donc programmé un plugin puis je les proposé sur la galerie WordPress. J’ai donc compris que les modérateurs ne vérifient pas tout le contenu des plugins.

Je pourrais garder cette astuce pour moi mais je préfère avertir les utilisateurs de WordPress sans les faire fuirent vers d’autres CMS pour les sensibiliser à faire attention aux extensions qu’ils téléchargent et qu’ils installent.

 

 

 

Présentation de WordPress

WordPress est un système de gestion de contenu libre écrit en PHP et reposant sur une base de données MySQL. WordPress est surtout utilisé comme moteur de blog, mais ses fonctionnalités lui permettent également de gérer n’importe quel site Web. Il est distribué selon les termes de la GNU GPL. Le logiciel est aussi à l’origine du service WordPress.com.

Source : fr.wikipedia.org/wiki/WordPress

 

Introduction

Je vais vous expliquer comment déjouer la sécurité de WordPress avec une extension. Ni moi, ni ce blog ne sera tenu pour responsable de vos actes!

Pour commencer, vous devez avoir quand même quelques connaissances dans ce domaine puisque je vais parler de programmation PHP, et l’hébergement SubVersioN (SVN).

Dans un premier temps, il faut récupérer une extension qui marche beaucoup sur WordPress. Par exemple, l’extension que j’ai utilisé s’appelle Contact Form 7 et j’ai changé son titre en Contact Form 7.3. A partir d’ici, le créateur du blog est trompé, il va donc télécharger aveuglement un plugin dont il ne connait pas la réputation et surtout son contenu.

Dans ce plugin, j’ai simplement modifier le titre ainsi que la version. J’ai laissé la description, l’auteur du plugin et puis le fichier readme.txt (contenu dans tout les plugins).

 

Arborescence du plugin

Voici l’arborescence des fichiers et répertoires de l’extension Contact Form 7 :

  • admin
    • admin.php
    • edit.php
    • scripts.js
    • styles.css
    • styles-rtl.css
    • taggenerator.js
  • images
    • ajax-loader.gif
    • dropdown.gif
  • includes
    • classes.php
    • controller.php
    • formatting.php
    • functions.php
    • pipe.php
    • shortcodes.php
    • taggenerator.php
  • languages
    • (fichiers de langues)
  • modules
    • acceptance.php
    • captcha.php
    • checkbox.php
    • file.php
    • icl.php
    • quiz.php
    • response.php
    • select.php
    • special-mail-tags.php
    • submit.php
    • text.php
    • textarea.php
  • jquery.form.js
  • licence.txt
  • readme.txt
  • screenshot-1.png
  • scripts.js
  • settings.php
  • styles.css
  • styles-rtl.css
  • uninstall.php
  • wp-contact-form-7.php

 

Ajout du fichier pirate

J’ai ajouté un fichier dans le répertoire admin que j’ai nommé admin_settings.php, ce nom de fichier ne parraît donc pas suspect :)

Ensuite, dans ce fichier, j’ai utilisé ce code PHP

Ce script récupère par le biais de l’ID d’un compte, le nom d’utilisateur utilisé par cet ID et dit à WordPress de connecter cet identifiant via les fonctions wp_set_current_user(), wp_set_auth_cookie() et do_action(). La dernière ligne affiche du javascript et redirige le pirate vers la page d’administration.

En réfléchissant à cette fonction, il est très facile de pirater le compte d’un administrateur sans avoir son identifiant de connexion, ni son mot de passe, il suffit juste d’utiliser l’ID numéro 1 qui correspond par défaut à l’ID créé en premier lors de la création du blog, à savoir l’ID de l’administrateur :)

Une fois que vous appelez cette page, vous vous connectez à compte administrateur du blog et les portes sont ouverte :)

 

Les méthodes d’accès

Pour avoir accès à cette page, il faut être tenu au courant que l’utilisateur a utilisé votre plugin. Pour cela, deux méthodes s’offre à vous :

  • La méthode du mail() par la fonction PHP qui consiste simplement à vous avertir par courrier électronique qu’un blog a utilisé votre plugin et par ailleurs vous envoi le lien de connexion pirate (nous le verrons plus bas).
  • La méthode qui me paraît la meilleure compte tenu de ce que vous allez lire plus bas, c’est la méthode file_get_contents() qui est aussi une fonction PHP et qui permet de charger une page à distance par le biais du PHP.

 

« Résultat de la première méthode »

Voyons maintenant, le résultat de la première méthode, à savoir celle de la fonction mail() en PHP :

Cette boîte Email a été créé spécialement pour cette expérience et les messages envoyés vers le dossier Spam sont aussi des messages envoyé par la fonction. Vous pouvez donc voir que cette méthode peut devenir pénible car il faut trier les doubles messages, etc… Enfin bref, n’utilisez pas votre propre boîte aux lettres, vous aurez surement du mal à la nettoyer ^^

 

« Code source de la première méthode »

Voici à présent le code que vous devrez ajouter dans le fichier settings.php du plugin par exemple :

Dans ces lignes de codes, on peut remarquer l’adresse Email complétement masquée :) Vous pouvez donner un autre sujet au courrier électronique.

Les lignes de codes suivantes vont être très utiles pour pirater le blog WordPress.

Ceci est le lien que vous allez recevoir par courrier électronique à votre adresse fictive. Dans ce lien, on retrouve l’URL du blog, ainsi que le répertoire des plugins du blog et surtout le chemin vers le fichier pirate admin settings.php. Remarquez ici que j’ai ajouté une variable d’environnement GET userid qui correspond à 1. Ce 1 est rappelez-vous un peu plus haut, l’ID du compte administrateur.

 

Résumé et conclusion

Le créateur du blog va ajouter le plugin Contact Form 73 pensant que c’est le plugin Contact Form 7, en l’activant, la fonction va envoyer un courrier électronique à votre adresse Email fictive qui contiendra le lien de l’accès pirate.

Le but de cet article est de prouver que WordPress n’est pas totalement infaillible et qu’il est possible d’accéder à un compte administrateur qui n’a pas été vigilant.

Pour éviter ceci, téléchargez des plugins qui ont une bonne réputation, et dont vous avez une bonne appréciation sur les autres blogs.

N’utilisez simplement cette faille pour limiter les risques de piratage sur votre blog. Je vous conseil de ne pas l’utiliser. Par ailleurs, je n’ai fais que recevoir les courriers électronique et je tiens à préciser que je me suis servit des liens pirates pour vérifier le fonctionnement de mon plugin, je n’ai pas touché aux blogs.

A propos de pirmax

Amoureux de la technologie, je partage l'actualité high-tech et informatique (Apple, Twitter, Facebook, etc.) sur le média mature qu'est aujourd'hui : l'Internet. Suivez-moi sur Twitter @pirmax.
  • Anonymous

    Merci

  • Li_An

    Un commentaire très en retard – je cherchais de la doc sur les éventuelles failles de Contact Form 7 – et je peux confirmer en effet le problème puisqu’un plugin a été posté il y a quelques années pour pirater les sites (il promettait monts en merveilles et a eu tout de suite beaucoup de succès). Il a été très rapidement retiré. D’ailleurs, on remarquera que ces derniers temps, de nombreux plugins ont disparu du dépôt – notamment ceux dont les failles ont été révélées et qui n’ont pas subi de mise à jour de sécurité. La plupart du temps, ce sont des plugins qui permettent la publication de contenu par des visiteurs en frontend.

  • Jean-Marc

    Tu sais certainement très bien “pirater” un blog wordpress…
    Mais, il faudrait aussi que tu apprennes l’orthographe.
    Ce serait peut être plus utile.

    Cordialement

    Jean-Marc

    • pirmax

      Bonjour,

      L’article a plus de deux ans, et depuis ce temps, je me suis amélioré… Oui Internet laisse des traces douloureuse quant-à mon passé :)

      Amicalement,
      Pirmax.

  • http://www.muondo.org muondo

    purée ça fait froid dans le dos.

  • http://www.grainedebeauterouen.fr esthetique rouen

    je fuis wordpress a toute jambe car il y a trop de failles de secu

  • http://www.grainedebeauterouen.fr esthetique rouen

    une raison de plus de fuire wordpress

  • Anonymousse

    Bonjour,

    Je pense à intégrer un Wp dans mon site de vente en ligne Prestashop.
    Wordpress est réputé pour être réellement fiable? Je ne voudrais pas avoir une porte d’entrée dans mon site de vente en ligne.

    Merci.

  • http://www.atophisse.com/catalogue-formation-informatique/formation-dif-wordpress/ atophisse

    effectivement, ce n’est pas sans rappeler les premiers problèmes qu’on avait avec Joomla. Même méthode, mais suppose de travailler sur des plugins wordpress connus… donc… c’est tout de même chaud, car la communauté attaque rapidement les plugins qui posent problèmes, tout se sait plus vite

  • Sebastien

    “Par ailleurs, je n’ai fais que recevoir les courriers électronique et je tiens à préciser que je me suis servit des liens pirates pour vérifier le fonctionnement de mon plugin, je n’ai pas touché aux blogs.”

    Oui, ça porte même le doux nom de “accès et maintient frauduleux dans un système de traitement automatisé de données” en droit pénal ça va chercher dans les 2 ans et 30 000€ d’amende.

    http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=8A66297C96AD879CE40B0B24D579F12B.tpdjo07v_2?idArticle=LEGIARTI000006418316&cidTexte=LEGITEXT000006070719&dateTexte=20081105

    Sinon à part ça c’est impossible à sécuriser, dans un système quel qu’il soit, que ce soit un os, un CMS, un serveur etc etc
    Plus on offre de liberté aux utilisateurs (installer des plugins en l’occurrence) plus il y aura de failles intrinsèques à cette liberté, tous les programmes malveillants ne font rien d’anormal sur un système ils utilisent juste les fonctionnalités fournies par le système pour commettre leurs méfaits, un bon exemple c’est la fork bomb, de tête en C ça donne ça:
    while (fork())
    malloc(1024*1024*1024*100);

    Et voilà comment avec deux lignes de code on fait planter un système type unix en 5 secondes, pourtant fork() est une fonction essentielle pour beaucoup de programmes (dont Apache entre autres), et malloc encore plus.

  • coline garcia

    Bonjour Maxence. Je vais être franc jeu avec vous. J’ai 14 ans et j’habite dans un petit village d’Aveyron. Le village a été promu en 1997 et jusqu’à maintenant du titre de l’un des plus beaux villages de France ce qui n’est pas rien. Seulement, depuis 2001, un barrage électrique entrave le Tarn de ses 5 turbines, sales et bruyantes. Le projet de construire deux nouvelles turbines (et pour cela, de détruire une partie du vieux quartier composé de maisons médiévales inhabitées) a été proposé. Ce projet à été accepté il y a deux mois et il est actuellement en cours de travaux. Nous spammons déjà les boites mail de la mairie et de la SIEDA (L’EDF d’Aveyron) mais ceci ne sert définitivement plus à rien. Le site officiel de brousse, qui publie d’habitude des photos récentes de Brousse s’est stoppé sur une photo idyllique de notre ex-beau village et nous aurions besoin d’aide pour remettre les photo à jour. Comme nous somme extrêmement fort en informatique (vous l’auriez compris, c’est ironique) nous aurions besoin d’aide pour pénétrer chez eux. Nous connaissons d’avance votre réponse mais espérons que vous nous aiderez un peu quand même.

  • http://www.gaysexyboy.fr/ Laurent

    Bonjour, je viens de lire avec intérêt ton édito sur le piratage et je suis débutant dans le domaine de wordpress. Je pense avoir été victime d’un blogger qui s’est chargé de mettre hors jeu mon blog, et je n’arrive plus du tout à accéder à l’adresse, ni au server, je suis un peu démuni face à la situation. Est-ce que tu pourrais m’aidé? Je te remercie d’avance Maxence

  • Christophe Certain

    C’est bien de montrer qu’il y a des failles dans WordPress, mais les failles il y en a partout, alors si tu as des choses à dire tu les adresses en privé à ceux qui font le dev de WordPress, au lieu de faire ta propre pub en mettant des exploits sur WordPress à la portée du premier imbécile venu, et ce ne sont pas les imbéciles qui manquent sur le web. Tu leur donnes donc de bonnes idées pour emmerder un peu plus ceux qui essaient de faire leur travail de webmaster comme moi, des idées qu’ils n’auraient certainement pas eus tous seuls.
    Maintenant si tu crois qu’il suffit de recenser l’utilisation de deux ou 3 fonctions pour sécuriser WordPress, tu crois au père Noël. Toute modification ou création de fichier, toute insertion sql peut être dangereuse, alors comment tu vas gérer ça automatiquement ? Eh bien tu ne peux pas sinon aucun plugin ne passerait le test.
    Il n’y a plus qu’à regarder manuellement, et tout a un prix.

    • http://www.maxence-blog.fr/ Maxence

      Moi je suis d’avis qu’il faut exposer ces failles pour justement montrer aux webmasters de blogs qu’il faut se méfier des plugins qu’on utilise sur le Net et notamment sur WordPress.

      Mon blog a été cité lors de la Wordcamp 2011 (Novembre). Julio de http://www.boiteaweb.fr/ était chargé d’en parler lors de sa conférence.

      Maxence

  • emule-ed2k

    bonjour

    je dirige plusieurs site qui utilise worldpress comme cms mais en tant que site et non en tant que blog déjà j’aimerais dire merci a toi comme a tout les développeur de plugin car sans connaitre le php la gestion de site facilement était interdite pour moi car joomla etc je galérer alors merci a worldpress mais j’ai une petite question ton plugin sera disponible quand car vu tout le boulot que j’ai fait dans mais site j’ai pas envie que tout soit broyer par un bouffon donc ta mon email si tu pouvez me contacter car j’aurais d’autre question a te demander merci

    • http://www.maxence-blog.fr/ Maxence

      Salut,

      Le plugin est supprimé, c’était pour démontrer que WordPress ne filtre pas toujours les plugins potentiellement dangereux. De plus, je n’ai piraté aucuns blogs et ne t’en fais pas, tu n’es pas ma cible :) (personnes d’autres d’ailleurs).

      Cette faille ne sera pas corrigée par WordPress, donc elle peut être exploité par beaucoup d’autres programmeurs qui pourront piéger leur code source de plugin.

      Je tiens à préciser que mes plugins (que je partage sur la librairie de WordPress) ne sont pas infectés par cette “faille”, ils sont fait pour être utiliser dans le bon sens, donc ne vous inquiétez pas!

      Cordialement,
      Maxence

      PS: pour les autres questions, veuillez me contacter via le formulaire de contact de mon blog ;) Merci.

  • http://pfeditions-infopreneur.com myespace

    Merci pour ces infos, pas trop rassurantes. Je suis moi-même victime, sur un de mes blogs, d’un pirate qui bousille tous mes postes en injectant des backinks, en veux-tu en voila. Je suis un peu dérouté pour le moment, car je ne sais pas par ou je dois chercher la faille. Le pirate penetre dans l’admin, installe un tas de nouveaux admins, des commentaires “approuvés” avec une IP 127.0.0.1 (que tous ont a sur son PC) et bousille mes postes qui deviennent illisibles car il n’utilise pas des caracteres propres aux francophones….Une chose est a peu pres évidente: cela doit être un de ces services payants qui vous promettent des backlinks un peu partout sur tous les blogs, peu importe la langue du blog.
    Que faut-il faire dans ces cas-la? Une piste pour m’aider?

    Sorry pour la longueur de mon intervention
    Merci de votre aide

    Pascal

  • http://www.maxence-blog.fr/ Maxence

    Voilà les amis, mon compte a été réactivé suite à une demande que j’ai faite avec deux amis à moi. Le compte est maintenant réouvert et je tacherai le prochaine fois de faire une petite vidéo, pas de code source dans l’article, et surtout de prévenir WordPress.ORG et WordPress.COM avant :)

    Maxence

  • http://creapage.net/ Artopage

    Bonjour. Le plug-in de vérification du code sera facilement déjoué. Par exemple pour appeler une fonction dangereuse de WP :

    La seule vraie solution serait une charge de travail supplémentaire : créer des “labels de certification” à apposer sur les versions des plug-ins certifiés.

    • http://creapage.net/ Artopage

      Le code PHP ne passe pas ??? Je retente sans les balises d’ouverture.

      function fonction_dangereuse() {
      echo “Hello!”;
      }
      $var = ‘fonction_dangereuse';
      $var();

      • http://www.maxence-blog.fr/ Maxence

        Salut Artopage,

        Je pense que tu parles de mon prochain plugin de sécurité.

        Pour te répondre, si le pirate utilise ton idée, c’est qu’il aura quand même déclaré une fonction… cette fonction dans tous les cas sera détecté par le plugin. Que ce soit “class” ou “fonction”, c’est le même prix : interdiction!

        Les fonctions que je considère comme dangereuse pour le moment sont : file_get_contents(), mail(), celles utilisées dans l’article plus haut, etc…

        Pour le label de certification, je trouve ça une très bonne idée, pourquoi pas… mais la vérité, il faudrait que beaucoup de webmaster de blog vérifie les contenus de plugins puis utilisent la fonction de note sur les pages des plugins WordPress, ça aide plus sauf quand il y a qu’une seule note ou quand les notes sont très basse… la seconde solution serait d’avertir sur le forum de support dédié à chaque plugin.

        Maxence

        • http://creapage.net/ Artopage

          $var = ‘file’ . ‘_get_contents';
          echo $var(‘test.txt’);

          • pascal61

            Salut artopage, je pense que le plugin de maxence serait d’aider à la vérification de fonctions dites dangereuse, il n’existe pas encore de plugin disant à 100% la sécurité qu’a un plugin… pour ça il faut lire et relire les commentaires des utilisateurs sur internet.

            Après rien n’empêche une mauvaise mise à jour :)

  • http://www.maxence-blog.fr/ Maxence

    Voici à quoi ressemblera à peu près le plugin de sécurité qui scanne les fichiers des plugins.

    http://img11.hostingpics.net/pics/522408exemplewpscan.jpg

    Merci à vous tous pour vos commentaires.

    Malheureusement, WordPress m’a bannis pour avoir dévoilé une faille sur leur CMS, plutôt que de la boucher, il préfère l’ignorait et perdre un “client”.

  • lashonwp

    Merci Maxence pour cet immense partage.
    Mon premier commentaire chez toi mais pas ma première visite sur ton blog ^^
    A souligner que ta méthode est valable avec un thème wordpress. Donc même remarque : gare aux thème téléchargés

    Une des possibilités de vigilance que j’utilise et soumets à ton expertise, c’est d’une part de ne jamais tester un plugin sur un site en ligne, mais uniquement en local.

    Ensuite, j’utilise les plugins suivants pour ce qui est du développement/vérifications
    – log-deprecated-notices (vérifie la propreté du code que je crée mais aussi celui des thèmes téléchargés
    – theme-check
    – tac
    – wp-developer-assistant

    et ensuite, pour l’utilisateur lambda il y a les plugins de sécurité quand même :

    – askapache-password-protect
    – better-wp-security
    qui ne protègeront pas évidement les attaques dont tu parles…

    une autre possibilité pourrait elle de supprimer l’admin ID=1 et de de passer en ID= autre chiffre ? ça peut aider ou pas ?

    • http://www.maxence-blog.fr/ Maxence

      Ca me fait plaisir.

      Je suis en train de programmer un plugin qui va scanner tous les fichiers de tous les plugins WordPress installé sur le blog. Ce plugin listera sur une page les fonctions utilisés par le plugin en question et affichera en rouge, orange, ou vert selon la dangereusité – si on peut dire ça comme ça – de chaque fonctions utilisés. Par exemple, la fonction mail() sera en orange, la fonction do_action() aussi, la fonction wp_set_current_user() et wp_set_auth_cookie() seront en rouge parce-que je considère ces fonctions très dangeureuse étant donné la possibilité de les exploiter.

      Otto a fermer mon compte sachant que ce n’est pas le bon compte qui a publié le plugin “pirate” pour avoir prouver et dénoncer cette “faille”. Pourtant je fais la une de WordPress en ce moment :)

      Merci à toi de ton commentaire.

      Maxence

    • http://www.maxence-blog.fr/ Maxence

      J’avais oublié de précisé que les thèmes WordPress sont beaucoup moins téléchargés que les plugins… les plugins sont beaucoup plus exposés à ce problème :)

  • billboc

    salut,
    tu as fait passer une fausse mise à jour du plugin c’est ça ?

    • http://www.maxence-blog.fr/ Maxence

      En gros j’ai démontré qu’en copiant un plugin et en lui ajoutant les lignes de code ci-dessus, on pouvait pirater un blog. Je l’ai démontré, et essayé sur quelques blogs, or je n’ai pas détérioré les blogs!

      Otto a fait fermer mon compte principale qui n’a rien à voir avec ce plugin, et a laissé le compte “pirate” ouvert… je n’y comprend rie :(

  • http://ottodestruct.com Otto

    So in other words, you acted like a jerk and got yourself banned from the WordPress.org forums. Well done, I guess..

    • http://www.maxence-blog.fr/ Maxence

      Yes but it’s the wrong account banned! “wordpressdb”instead of “pirmax”;)

      • http://ottodestruct.com Otto

        I think you’ll find that you’re wrong on that point.

    • http://www.maxence-blog.fr/ Maxence

      Delete an account, because we are condemning a flaw is particularly disgusting that the deleted account is one that has nothing to do with history.

      • http://ozh.org/ Ozh

        In English in case Otto’s still reading here:

        I think you should have simply posted a proof of concept instead of going through the full process (get plugin approved & hosted and from there hack a few blogs — remember that no one knows what your intention were at that point)

        Now, to the point of my comment: I don’t understand the point of your experiences.

        Plugins are not reviewed and they probably never will: not only there are too many of them, but you’d have to monitor & approve every *commit* to plugins. Hundreds of people commit changes to plugins every day. It’s impossible to monitor.

        The central plugin (and theme) repository has a number of very valuable benefits: one place for everything, support forums, automatic updating, user rating & commenting… Security audit is just not one of them. It’s like blaming a car constructor because somebody puked inside yours and it doesn’t smell all that nice now.

        Yes, some hosted plugins are shit, a ton of them because their coders lack knowledge and share exploitable code. Don’t blame the repository for not validating what you can download from it, it’s simply not what it’s supposed to do.

  • Christophe

    Moins on utilise de plugins moins on risque d’attraper ce type de programmes malveillants.

    Si on est développeur, on peut mettre le nez dans le code et repérer ce type de manoeuvre mais le non technicien est complètement largué et obligé de faire confiance aux auteurs du plugin.

    La facilité avec laquelle on peut installer des plugins dans WP en fait donc naturellement un terrain de jeu privilégié pour les pirates souhaitant abuser les non informaticiens…

  • http://www.buayacorp.com/ alex

    Ce problème est connu depuis longtemps. C’était peut-être encore pire quand il n’existait pas la galerie de plugins.

    Au delà des certaines vérifications automatiques des extensions, je ne pense pas que cela changera dans le futur. Il ne suffit pas seulement de les vérifier juste une fois. Quelqu’un qui a envie de mettre du code malveillant pourrait le faire dans une mise à jour. Il serait donc nécessaire de vérifier chaque “commit” fait sur le serveur svn. Imagine la quantité de personnes nécessaires pour le faire !

    Le conseil reste toujours le même, il faut utiliser les plugins qui sont les plus “populaires”. Leur code est normalment audité par plus de gens.

    Jette un coup d’oeil à cette présentation d’un des développeurs de WP http://wordpress.tv/2011/01/29/mark-jaquith-theme-plugin-security/

    • http://www.maxence-blog.fr/ Maxence

      Salut Alex, merci pour ton commentaire.

      Je suis en train de programmer un plugin pour cette occasion, ce ne sera pas un plugin de sécurité mais plutôt de prévention qui se présentera sous une seule page et qui affichera les TOUTES les fonctions qu’utilise un plugin. Tous les plugins seront passés à la loupe et les différents fonctions dites potentiellement dangereuse seront en surbrillance rouge pour taper à l’oeil du créateur du blog.
      Il pourra donc vérifier si un plugin n’est pas susceptible de contenir du contenu similaire à celui ci-dessus dans l’article.

      Maxence

      • http://lashon.fr lashonwp

        Génial! je l’attends avec impatience

  • Pingback: L’Hebdo WordPress : Thèmes – WordPress 3.2 – Piratage()

  • Pingback: L’Hebdo WordPress : Thèmes – WordPress 3.2 – Piratage | WordPress Francophone()

  • http://www.seomix.fr Daniel, de WordPress SeoMix

    Les plugins peuvent être vraiment nuisibles pour la sécurité d’un site. D’ailleurs, ton exemple montre un cas concret d’un développeur voulant pirater un site grâce à un plugin WordPress, mais il y a également le cas fréquent où le plugin est mal codé et permet à n’importe quel pirate de rentrer dans l’administration.

    Autrement dit, il faut toujours faire attention dans le choix de ses plugins, que l’on peut toujours remplacer par des hacks de son thème (cf. cet ancien article 21 hacks pour 21 plugins WordPress inutiles)

    • http://www.maxence-blog.fr/ Maxence

      En effet, ton commentaire n’est pas faux, il se peut aussi que des fois, des plugins soient mal régis par rapport aux droits d’accès, donc un utilisateur expérimenté de WordPress, peut en quelques clics et après études du plugin en question, s’introduire sur le blog.

      Je propose donc pour sécurisé WordPress, d’obtenir via l’interface du blog, une clé générée aléatoirement à entrer dans le plugin par l’utilisateur du blog.

  • http://www.devquotes.com devquote

    Bien :)
    Rare de voir un fr se pencher sur ce genre de questions.

    Bravo

    • http://www.maxence-blog.fr/ Maxence

      Je m’intéresse beaucoup à WordPress et il me paraît nécessaire d’en connaître sa sécurité.

      Vous pouvez faire de même avec un affiche des variables définies dans le fichier wp-config.php, ces variables qui peuvent être appelé partout, contienne le mot de passe de connexion à la base de donnée, le nom d’utilisateur de la base de donnée, l’hôte, etc…

      Merci à toi pour ton commentaire.

  • http://www.geekeries.fr Valentin

    Hey !

    Bonne synthèse, car en effet l’immense base de données de l’extend WordPress fait sa force, mais également sa faiblesse.

    Comme tu le signal “… les modérateurs ne vérifient pas tout le contenu des plugins.” Ce qui est normal je pense, car imagine le travail….

    Aujourd’hui, il y a plus 14 713 plugins. J’en ai présenté que 600 environs et la semaine prochaine il y en aura 15 000. À ce rythme il est impossible de vérifier chacune de ces extensions, ou de les présenter ;p

    Par contre, tu n’es pas le seul à utiliser la méthode “mail()”. Quand je veux présenter une extension, je l’essaye d’abord et il m’arrive de vouloir la personnaliser. C’est en regardant de plus près que cette fonction est utilisée. Soit pour communiquer l’utilisation de l’extension, soit pour envoyer des données non sensibles.

    • http://www.maxence-blog.fr/ Maxence

      Merci Valentin pour ton commentaire, cette galerie de 15 000 plugins est très riche, mais comme dans toutes les galeries (App Store, Galerie Dotclear, Galerie Joomla, etc), il y a du bon et du moins bon, et des fois, du très mauvais en terme de sécurité comme le montre mon exemple ci-dessus.

      J’espère que cet article sera lu par l’équipe de WordPress car c’est quand même une très grosse faille pour ce CMS.

  • http://www.referencement-tutorial.com faq referencement

    C’est pourquoi, j’essaye d’utiliser très peu de plugins (à moins qu’il y ait eu quelques tests dessus), mais le plus souvent, quand je veux quelque chose, j’essai de le programmer moi même

    • http://www.maxence-blog.fr/ Maxence

      Je fais de même. Le plugin une fois achevée, je le propose à la communauté de développement WordPress pour en faire profiter les autres :)

      Il y a quelques plugins que j’utilise car j’ai un peu la flemme de me pencher sur le sujet, je télécharge donc le plugin mais je l’installe après l’avoir étudier de prêt. Ou alors, après avoir lu quelques bonnes appréciations dessus, je l’installe sans même l’étudier, encore une fois la flemme :)

    • http://www.geekeries.fr/wordpress/ Valentin

      On compte actuellement plus de 18,500 plugins :/
      Bientôt le ménage ? ;)