1000 thèmes touchés par la faille Revolution Slider

Il y a quelques jours, je vous racontais ma mésaventure "Piraté à l'insu de mon plein gré" ou je relatais principalement la faille de sécurité critique qui a été trouvé dans le très populaire plugin WordPress Revolution Slider et corrigé en toute discrétion par son auteur.

Je n'ai pas été le seul touché par cette faille et les retours ont commencé à s'amplifier cette semaine, les plaintes des utilisateurs aussi, à tel point que la place de marché Envato a depuis lancé une enquête plus approfondie sur la question, à juste titre d’ailleurs: le plugin Revolution Slider est non seulement vendu sur CodeCanyon, mais aussi livré (en bundle) avec de nombreux thèmes sur la plateforme ThemeForest.

commentaire themeforest

 

1000 thèmes premium suspendus par Envato

Le chiffre est tout simplement hallucinant ! Plus de 1000 thèmes premium dont certains best-sellers, imaginez un instant le nombre de téléchargements et de facto, le nombre potentiel de site WordPress qui pourraient être concernés par la faille Revolution Slider.

Envato a ainsi identifié plus de 1000 thèmes premium susceptibles d'être affectés par cette vulnérabilité et vendus par le biais de ThemeForest. Alors que le plugin Revolution Slider a déjà été patché dans sa version 4.2 et en est aujourd'hui à la 4.6, certains auteurs de thèmes n'ont pas encore réagi.

En raison de la gravité de cette vulnérabilité et la facilité avec laquelle elle peut être exploitée, la réaction d'Envato a été de désactiver temporairement tous les thèmes qui n'ont pas encore été corrigées:

Nous commençons à désactiver temporairement tous les thèmes touchés qui n'ont pas été mises à jour, en contact avec les auteurs de ces thèmes pour obtenir une mise à jour le plus rapidement possible. Cela va prendre un certain temps car il y a beaucoup de thèmes a trier manuellement...

Même pour les plugins déja patchés, le prochain défi est d'amener tous les utilisateurs à se mettre à jour. De nombreux thèmes n'ont pas un système de mise à jour automatique inclus pour informer les utilisateurs. Il faut aussi noter que ces derniers n'appliquent pas toujours les mises à jour dès qu'elles sont disponibles, de peur de casser leur WordPress.

Envato propose donc de traiter cette question en envoyant un email aux utilisateurs enregistrés pour les informer de cette faille de sécurité:

Nous communiquerons avec tous les acheteurs de thèmes touchés directement via leur adresse e-mail Envato le plus tôt possible afin de s'assurer qu'ils lisent et agissent au vue de ces informations...

Envato a publié des instructions détaillées pour aider les utilisateurs à déterminer s'ils sont affectés ou pas, à lire sur http://marketblog.envato.com/general/plugin-vulnerability/

Nota : La liste publie les quelques 1000 thèmes "potentiellement affectés", aussi si vous cliquez sur un de ces thèmes et que vous obtenez une magnifique erreur 404, c'est que le thème n'a pas encore été patché par son auteur, qu'il contient encore la faille et de fait il est logiquement retiré de la plateforme ThemeForest.

En revanche, si vous arrivez à accéder au thème c'est que ce dernier a été mis à jour et est donc désormais sans risque, dans ce dernier cas profitez-en et mettez à jour immédiatement!

faille securite revolution slider

 

Le danger des thèmes avec Bundle

Quand une faille de sécurité affecte potentiellement plus de 1 000 thèmes, une correction de cette faille en toute discrétion n'est pas acceptable. Cette dernière aurait dû être rendue publique par l'équipe ThemePunch (l'équipe qui développe Revolution Slider) et ce, au moment même où elle s'est produite, ce qui aurait pu empêcher que la vulnérabilité soit activement exploitée.

A la fin de son article, Envato met en évidence qu'ils font tout pour s'assurer que cela ne se reproduise pas:

Nous allons publier des lignes directrices et des processus pour s'assurer que les problèmes de ce genre nous parviennent plus vite, et pour aider les auteurs à s'assurer que leurs acheteurs soient mis à jour et patchés aussi vite que possible. Nous allons également revoir la façon dont les mises à jour sont gérées pour les Bundles et les thèmes qui incluent des plugins séparés...

Malheureusement "plus de directives et d'avantage de processus" ne traiteront pas la racine du problème. Cette vulnérabilité met en évidence le danger de permettre aux auteurs de thème de regrouper des plugins dans leurs produits. Envato n'aurait jamais eu besoin de lister plus de 1000 thèmes potentiellement touchés si elle avait découragé, voire interdit, les thèmes avec bundle.

La logique économique n'est pas forcément en adéquation avec les bonnes pratiques (sécuritaires tout du moins), interdire aux thèmes best-sellers l'utilisation de bundle entraînerait forcément une perte de profit pour Envato. Il semble y avoir peu d'intérêt pour ces derniers a agir de manière décisive suite à cette faille de sécurité et peu de chance pour qu'elle se dirige vers de meilleures pratiques...

WordPress est à ce jour utilisé par plus de 23% des sites Web dans le monde et sera toujours une cible pour les pirates qui cherchent à exploiter les vulnérabilités. Si Envato ne prend pas position contre les auteurs de thème avec bundle, il continuera à rencontrer les mêmes problèmes de sécurité qui font la une (et une très mauvaise presse) cette semaine!

 

Sources et ressources : 

 

A propos de l'auteur...

WPFormation

Fabrice Ducarme, formateur WordPress je suis éditeur, auteur et fondateur du site WP Formation.com. Conférencier lors des WordCamp Paris 2013 & 2015 ainsi qu'au WP Tech Nantes 2014, je vous propose plus de 400 articles & tutoriaux à propos de WordPress, mes trucs & astuces mais aussi des coups de gueule...

10 commentaires pertinents à ce jour ;)

  • Sebastien dit :
    Là concrètement si je dois acheter un thème wordpress il faudrait que j’en prenne un sans bundle ?
    C’est moins intéressant pour les acheteurs aussi.
    Mais plus sécure.
  • WPFormation dit :
    ,

    Cela dépend du dév, certains ont mis à jour et publient régulièrement des màj et des patchs. Quoiqu’il en soit et pour éviter ce genre de mésaventure, il vaut mieux se passer des bundles ou à défaut acheter séparément les plugins intégrés;)

  • Antoine dit :
    Salut,

    J’ai retrouvé un lien vers un article (en anglais) de Coen Jacobs qui conseille de ne pas se procurer ces fameux thèmes avec bundles. Il en donne bien évidement les raisons.

    http://coenjacobs.me/dont-buy-bundled-premium-plugins/

    Bonne lecture

    @++

    Antoine

  • WPFormation dit :
    Merci pour ce lien!

    Prémonitoire en effet, il cite pile poil mon thème hacké, sans mentionner toutefois la faille « Revolution Slider » mais on peut dire que Coen Jacobs a eu du nez;)

  • G3no dit :
    et donc si tu as un thème avec l’un des plugin que tu n’utilises pas, tu peux le virer des plugins via le ftp et c’est bon ?
  • WPFormation dit :
    @Sébastien,

    Si le plugin est désactivé aucun risque mais oui tu peux aussi le supprimer;)

  • Vente de vin dit :
    impressionnant….merci pour les infos précises… et les recos !
  • lamurebenjamin dit :
    merci beaucoup pour cette info,

    Je vais regarder cela de plus prêt

  • Meteo Montpellier dit :
    J’aime beaucoup toutes ces informations
    Merci pour le partage de ce article
  • fanny dit :
    wow ! merci pour l’info, je voulais en installer un
Tweet108
Share64
Share19
Buffer67