Les failles, WordPress commence à les connaître ! En 2019, une faille de sécurité ouverte depuis 6 ans était corrigée, tandis que peu de temps après, nous apprenions que WordPress lui-même avait été élu le CMS le plus vulnérable de 2018.
Le plugin de tous les dangers
Avis aux éditeurs de sites wordpress : un plugin vendu avec certains thèmes de ThemeGrill comporte une importante faille de sécurité. Exploitée, la vulnérabilité pourrait aboutir à une attaque supprimant totalement le site. Selon ZDNet, le plugin en question s’intitule ThemeGrill Demo Importer, il est vivement recommandé de le mettre à jour afin de faire disparaître la faille.
Actuellement, le plugin est installé sur plus de 200 000 sites web et il offre aux propriétaires de sites l’opportunité d’importer des exemples de contenus sur lesquels se baser pour construire son propre site.
Toutes les versions de ThemeGrill Demo Importer causent des soucis à WordPress
La société de sécurité liée à WordPress, WebARX, a indiqué dans un rapport partagé dimanche que les anciennes versions ThemeGrill étaient déjà vulnérables, aux attaques à distance. Les hackers peuvent transmettre au plugin une charge spécifique et pensée exclusivement pour les sites vulnérables, et ils sont ensuite en mesure de déclencher une fonction dans le plugin.
Cela va alors conduire à la réinitialisation de l’intégralité du site, les données seront ainsi perdues. La société de sécurité a précisé que le développeur du plugin, ThemeGrill a corrigé la version 1.6.2 le weekend passé. Il faut néanmoins continuer d’être vigilant avec les anciennes versions utilisées, notamment les versions 1.3.4 et 1.6.1.
WordPress continue donc de faire les frais de vulnérabilités, c’est déjà la deuxième détectée dans un plugin cette année. D’autres problèmes précèdent avec notamment une vulnérabilité stockée dans le plugin lié au cookie du consentement au RGPD, plugin utilisé par quelques 700 000 sites, ou encore un bug de contournement de l’authentification dans le plugin InfiniteWP, un plugin adopté sur “seulement” 300 000 sites.
Mika
Le 20/02/2020 à 21h34Je suis désolé mais vous ne semblez pas savoir sur quoi vous écrivez.
Premièrement, une faille de sécurité dans WordPress et une faille de sécurité dans un plugin, ce n’est pas du tout la même chose. WordPress est géré par la communauté, une base de volontaires, et se révèle très sécurisé (c’est ridicule de faire croire le contraire). En témoignent les mises à jour régulières, qui sont justement gage de sécurité.
Les extensions (plugins), pour leur part, sont gérées par leurs auteurs. Il peut y avoir des failles de sécurité dans les extensions, cela arrive même régulièrement, mais cela n’a rien à voir avec WordPress ! Il y a environ 56 000 plugins gratuits sur WordPress (et des milliers d’autres non gratuits) et ce sont des composants facultatifs.
Un site internet, ça nécessite de l’entretien et WordPress permet précisément de mettre à jour ses composants facilement. Encore faut-il le faire.
Deuxièmement, votre plugin « de tous les dangers » permet en réalité d’insérer des démos de site pour les utilisateurs d’un thème Themegrill. Dit autrement, ce plugin ne concerne quasiment personne, et n’intéresse pas vos lecteurs (à part les utilisateurs d’un thème Themegrill, qui auront – espérons-le – été probablement informé par l’éditeur. Dans tous les cas, cette faille c’est une goutte dans l’océan).
Troisièmement, vous évoquez deux failles de sécurité cette année, mais en réalité il y a des failles de sécurité « importantes » presque les semaines. Il y en a ptet eu une dizaine déjà cette année, sur des plugins utilisés par plus d’un million de personnes. Genre cette semaine, il s’agit du plugin Duplicator. Au final, votre chiffre apparaît comme complètement erroné.
Et vous me direz, ça fait peur WordPress. Mais en fait, non. Forcément, si vous comptez en volume vous allez atteindre votre but et en déduire que WordPress est l’outil le plus piraté.
Mais WordPress équipe presque 36% du web, contre 2.5% pour les challengers les plus proches. N’est-ce pas logique que l’outil le plus utilisé soit le plus piraté en volume ? Et si on arrêtait de maquiller les chiffres ?
Un plugin installé sur 200 000 sites web, c’est à la fois beaucoup et c’est à la fois rien du tout. Tout dépend à quoi on se réfère. Pour WordPress, c’est rien du tout.
Pour finir, dans un monde où il y a deux sites internet piratés par seconde et où le RGPD notamment impose aux entreprises d’être responsables légalement de leurs données, l’entretien / la maintenance d’un site internet devrait être obligatoire, que l’on utilise WordPress ou non.
C’est une question de bon sens, comme une obligation morale.
Et du même fait, il me semble ridicule de tirer à boulets rouges sur WordPress. C’est à mes yeux faire preuve d’une grande ignorance. Je vous invite du coup à vous rendre à un WordCamp (le 17 avril à Paris par exemple). Pour une vingtaine d’euros, votre avis sur cet outil pourrait s’en retrouver transformé.