Les dernières attaques via le plugin de newletter MailPoet et plus récemment la faille Revolution Slider qui a touché pas moins de 1000 thèmes premium, ont fait beaucoup de bruit.
L’information a été diffusée partout, par tous… Ces attaques mettent l’accent sur d’éventuels problèmes de sécurité récurrents sous WordPress, qu’en est-il vraiment?
Plus exposé aux failles que les autres CMS ?
Ainsi Drupal, Prestashop, Joomla seraient moins exposé aux failles que WordPress?
Avant même de commencer, n’oublions pas de prendre en compte la prédominance de ce dernier, WordPress est à ce jour utilisé par plus de 23% des sites Web dans le monde, de fait il devient une cible privilégiée des hackers en tout genre.
Ensuite, il serait bon de ne pas confondre WordPress, les thèmes et les plugins. Le noyau de WordPress est rarement responsable de ces failles et si quand bien même, alors la mise à jour est quasi immédiate.
On oublie trop souvent que WordPress est rendu friable/exploitable aux attaques par le biais des plugins ou des thèmes!
Le Directory (répertoire des plugins gratuits WordPress) est une ressource appréciée de tous mais elle ne garantit en rien que les plugins soient “secure” ou absents de toute erreur de code. Il appartient à l’utilisateur, et à lui seul, de s’assurer que le plugin qu’il va installer est absent de toute faille de sécurité.
Rendez-vous compte que si 2 plugins activement maintenus tels que MailPoet et Revolution Slider ont pu être vulnérables, que dire des centaines de plugins présents sur le Directory et plus du tout mis à jour!
Comment s’en assurer me direz-vous ? Et bien en vous basant sur les retours des autres utilisateurs, en cherchant un peu sur le Web et en faisant une veille sécurité WordPress.
Sur ce dernier point, Vladimir Prelovac (de ManageWP) a ainsi écrit une lettre ouverte à la communauté pour proposer une amélioration de la sécurité des plugins.
Comment traiter l’information des failles de sécurité ?
De l’importance de traiter ces informations sans pour autant aggraver la situation peut parfois conduire à des dérives. J’en veux pour exemple la déclaration de Themepunch (développeur de Revolution Slider) à qui l’on reproche son manque de transparence sur l’affaire Envato:
La faille a été résolue en février et il y a eu 29 mises à jour depuis… On nous a dit de ne pas rendre cette faille publique afin qu’elle soit le moins exploitée possible…
Ouch, ça fait froid dans le dos ! Themepunch n’est toutefois pas le seul responsable, surtout si l’on pense que le “on” n’est autre que Envato lui-même!
Lanceurs d’alerte ou opportunistes ?
Quid des sites qui alertent et informent des problèmes de sécurité, est-ce une bonne chose que de balancer la faille immédiatement ou faut-il attendre?
Prenons un exemple tout récent : Sucuri détecte une faille de sécurité sur le plugin MailPoet (2 456 854 téléchargements) et contacte ces derniers le 16 juin 2014 pour les prévenir. Les développeurs de MailPoet mettront deux jours pour la corriger, à peine quelques heures plus tard, Sucuri publie l’alerte…
Une attitude qui a fait réagir MailPoet dans son dernier article Sucuri, the Hack, and the Lessons Learned et qui se pose légitimement la question: Pourquoi si vite ? La recherche de buzz, le leadership sur l’info, peut importe! 72h00 de délais aurait permis aux utilisateurs prévoyants de se mettre à jour et cela aurait été un rappel salutaire pour les autres.
La publication immédiate de Sucuri a donné une fenêtre d’action et du temps aux pirates en herbe… Sans compter la publicité désastreuse faite au plugin:/
Les plus sarcastiques noterons que Sucuri fait son beurre sur la sécurité avec le slogan: “We secure your site, so you don’t have to / Nous sécurisons votre site, alors vous n’avez pas à le faire”… Ceci expliquant peut être cela…
Ne rien dire pour ne pas nuire ?
Faut il pour autant se taire ? Non, bien sûr que non ! Entre le travail des développeurs de plugins qui peut être ruiné en un rien de temps et l’absolue nécessité de prévenir les utilisateurs, il y a un gouffre que je ne franchirais pas…
Quoiqu’il en soit sur la faille Revolution Slider dont j’ai moi même été victime, nous avons (avec Julio) pris le parti de (re)signaler la faille mais de ne pas en révéler le mode d’emploi, évitant ainsi aux hackers amateurs de s’amuser avec: “Tiens et si j’essayais de pirater un WordPress..!”. A contrario, WPTavern a dans son article relatant les faits, mis un lien vers le tuto vidéo des hackers.
Ces problèmes de faille commencent à nuire sérieusement à WordPress et ce, même si ce n’est pas le logiciel qui en est responsable mais bien les tiers (plugins et thèmes). La communauté ne peut pas rester sans réagir, il faudra tôt ou tard faire/proposer quelque chose sous peine de voir les utilisateurs se détourner massivement d’un des meilleurs CMS du monde…
En attendant soyez prudent lorsque vous installez un plugin et pour ceux qui ne connaissent pas encore, je vous conseille le compte Twitter de @SecuPress pour être informé des dernières failles de sécurité connues.
Cet article résume la problématique. MERCI
Cela me rappelle la période ou l’on achetait un MAC parce qu’il n’y avait pas de virus ^^
Il est clair que WordPress est de plus en plus attaqué. Ce dimanche, j’ai eu plus de 6000 tentatives de connexions non autoriséessur mon blog. Wordfence a inondé ma boite mail.
Il est important de la part d’éditeur de thèmes / plugins de communiquer sur les failles. Cette transparence fait partie de la confiance qu’on (utilisateur ou technicien) accorde à une solution.
Aujourd’hui, prendre le parti du “chut, on dit rien, on corrige et personne le saura” est quand même particulièrement casse-gueule. Alors autant communiquer par soi-même et maitriser cette communication.
ça me fait penser à la même problématique, ou presque, dans un tout autre domaine : la préservation des espèces naturelles … actuellement, il est vivement conseillé aux biologistes, zoologistes, botanistes de ne pas communiquer sur la découverte d’une population d’une espèce menacée dans un endroit de la Terre ou sur la découverte d’une nouvelle espèce … tout simplement parce que cela attire les ‘collectionneurs de coches’ ! entendez par là des personnes qui parcourent le monde à la recherche de l’espèce rare qu’ils veulent avoir vue de leurs propres yeux et photographiée pour pouvoir mettre une coche dans leur petit carnet et en parler des heures durant devant un verre de champagne, tout ça au détriment du biotope de l’espèce concernée …
Une nouvelle faille de sécurité à été détectée sur WordPress, résultat, une mise à jour de plus ( http://www.leptidigital.fr/webmarketing/faille-securite-wordpress-mise-a-jour-cms-vers-4-0-1-3131/ ) ! Est ce que WordPress est si fiable que ça ? Je me pause la question pour un nouveau projet, face à Joomla et Drupal il n’y a pas photo ?
@Patrick,
Je vois ça autrement! Cette nouvelle faille montre très justement la réactivité de WordPress. Cette faille a immédiatement provoqué une mise à jour automatique et des correctifs!
Oui c’est sûr ! Merci pour votre retour !
eh oui, c’est ca de ne pas passer par des pros pour faire son site (je parle pas d’un site perso -là ok- mais d’un site vitrine/e-commerce qu’on voudrait à zero euros ou 100e à tout casser, histoire de se faire de couilles en or pour pas un frais).
ca m’étonnerai un peu que ces 100 000 sites piratés aient faits par des pros car:
-d’un part, on utilise un IDE (et si un source du noyau bouge, on risque de s’en rendre compte plus facilement -sachant ca, par ex je ferai aussi un script qui couinera des qu’un plug-in attaque le noyau-),
-mais aussi, on developpe en local donc un sas de sécurité (non en ligne comme les amateurs: un plug-in vérolé va direct sur le net sans qu’il s’en rende compte) et on teste les plug-ins sur des projets brouillons pour vérifier qu’ils foutent pas la merde
– on ne transfère que le thème/plug-ins à chaque evolution et le noyau reste intact. si on transfère le noyau (qu’un plug-in aurait vérolé?), c’est uniquement si on a mis à jour worpress: mais une mise à jour de wordpress ca ecrase à coup quasi-sur toutes ces merdes.
– vu qu’on fait bcp de site : on part d’un base de plug-ins/thèmes, éprouvés 100% safe et pas piratés pour que ce soit encore moins cher.
voila c’est comme avec le preservatif: ceux qui baisent comme des lapins sans, se refilent le sida à toute vitesse et font le jeu du virus. ceux qui font gaffe, n’en sont pas exclus mais ont moins de chance de l’attraper, vu aussi qu’il larguent pas direct les gens qu’il ont sauté (donc peuvent remonter au primo-infectant). pareil si tu pluge, pluge à tout va, tu sais plus ce que tu as pluggé. et donc qd tu a choppé une merde.
donc pour moi, c’est pas qu’un pb de wordpress, c’est un pb des utilisateurs wordpress qui pluggent n’importe quoi pour aller plus vite et croient qu’un site web, c’est comme un document word.
donc avis aux amateur: j’espère que ca continuera…en pire… :))
pour une fois, les hackers font du bon boulot sans le savoir.
par ex, un client est venu vers notre boite à cause de ca pour reparer son site. son pote lui avait un site wordpress pour son affaire (c’est vrai 100e c’est meme trop cher):
‘surement du genre ‘c’est facile tu verra. les agences web t’arnaquent’. bin oui, faire un chiffre d’affaire d’à peine 200e/jour (juste 2000/mois), c’est de l’arnaque. et c’est facile aussi pour les hackers.
bilan pour lui: on lui a mis 1000e dans la gueule direct, car il était dans merde complète. fallait TOUT refaire de zéro: base de données complètement flinguée de A à Z avec des ‘try viagra’ qui sont passé de 0.005% à 90% au cours de chaque version (donc plus possible de revenir à une version non vérolée qui ait un minimum de contenu- à part hello wolrd !-) .
bien fait ! :))
ca lui servira de leçon. et je pense que ca va encore continuer: wordpress va etre la cible NUMERO UN des hackers et j’espère que ca va eliminer tous les sites wordpres amateurs
@Laurent,
Le seul problème dans ton raisonnement (qui n’engage que toi;) c’est que tout cela nuit d’abord et avant tout à WordPress!!! De fait quand ensuite tu proposera à un gros client la solution WP, tu recevras une fin de non recevoir au motif que WP non seulement ce n’est que pour faire des blogs et en plus que ce n’est pas secure ^^
Les blogueurs qui ont leur site perso sous WP sont également touchés, cette faille ne vise pas spécifiquement les clients qui ont fait le choix du tarif le moins cher… En même temps, sortir un site piraté de la m…. ça prend du temps, ça nécessite des compétences et forcément cela à un coût!