Je vous ai dernièrement parlé de l’importance de faire régulièrement les mises à jour de son WordPress, de ses thèmes et de ses extensions dans cet article.
Eh bien aujourd’hui, nous allons voir un cas concret d’extension présentant une faille de sécurité permettant à d’éventuels pirates d’enregistrer n’importe fichier sur votre hébergement.
Présentation du plugin WP Download Manager
Je ne vais pas m’étaler sur le plugin WordPress Download Manager car ce n’est pas vraiment l’objet de cet article, mais sachez qu’il vous permet de proposer sur votre site web des fichiers au téléchargement.
Ainsi, vous pourrez offrir gracieusement, ou non, des documents à vos lecteurs et vous pourrez même les réserver qu’au personne disposant du code que vous aurez préalablement paramétré.
Enfin, sachez que cette extension WordPress gratuite vous permet de paramétrer de beaux boutons de téléchargement intégrant la taille des fichiers à télécharger selon plusieurs schémas (voir ci-dessus).
Quelle est la faille de sécurité concernant WP Download Manager?
C’est le plugin WordFence Security qui m’a prévenu de cette grave faille de sécurité par mail dès que son équipe a été au courant du problème.
J’utilise cette extension sur mes sites depuis que Samuel Badjagou me l’a conseillé dans l’article que j’ai mis en lien sous le nom de cette extension qui est devenue aujourd’hui un des incontournables plugins à installer sur tout WordPress.
Pour en revenir au problème de l’extension WP Download Manager, il est tout simple: n’importe quelle personne mal intentionnée peut véroler votre site sous WordPress avec du code malicieux si vous n’avez pas la dernière version, à savoir la 2.7.5.
Vous trouverez tous les détails dans cet article publié sur le blog de WordFence Security.
Que faire pour prémunir son WordPress contre cette faille de sécurité?
N’avez-vous pas une petite idée de ce qu’il faut faire pour prémunir votre WordPress contre cette faille de sécurité s’il utilise l’extension WP Download Manager?
Bon allez, je ne vais pas vous faire attendre plus longtemps: il vous suffit tout simplement de faire la mise à jour du plugin puisque l’équipe de développement de WP Download Manager a été très réactive suive à la découverte de cette vilaine faille de sécurité.
Elle a en effet aussitôt sorti une nouvelle version de l’extension dans laquelle la faille de sécurité a été éliminée, préservant ainsi l’intégrité de votre site.
Conclusion
Je me permets donc de conclure en insistant une fois de plus sur l’extrême importance de bien toujours faire ses mises à jour WordPress et sur l’intérêt de limiter autant que possible le nombre d’extensions installées et utilisées, comme je le conseille dans les formations WordPress que je dispense dans la Marne et les Ardennes.
En effet, plus vous installez et utilisez de plugins sur votre WP, plus vous risquez que ce dernier présente des failles de sécurité et donc plus il sera vulnérable.
D’ailleurs, j’ai moi-même entamé une vaste réflexion sur la réduction drastique d’extensions sur mes sites web afin de limiter au maximum la probabilité d’incident.
Pour finir, pensez également à sécuriser au maximum votre site internet (je publierai prochainement un article à ce sujet et je viendrai mettre son lien ici), notamment en utilisant un plugin comme WordFence.
3 réponses
Salut Bruno,
Toujours ces petites failles de sécurités dans les plugins WordPress.
Il y a peu j’avais entendu parlé d’un faille assez critique avec le plugin MailPoet.
La force de WordPress (une grande communauté active) c’est aussi sa faiblesse.
Heureusement que dans cette affaire l’équipe a été réactive et a fait les corrections nécessaires, faut juste que les webmasters n’oublient pas de faire les mises à jour à temps.
Ce qui est frustrant parfois, c’est de chercher pendant des heures le plugin qui répond parfaitement à la demande du client et de se rendre compte au final que celui-ci n’est plus à jour depuis belle lurette..
Salut Allani,
Je ne sais pas si on peut objectivement dire que la force de WordPress fait également sa faiblesse, car certes le volume de sites réalisés sous WordPress fait que lorsqu’une faille de sécurité est exploitée, le nombre de sites touchés est plus important que pour d’autres CMS, mais en revanche je ne suis pas certain que la proportion de sites touchés soit plus importante et surtout, comme la communauté est plus réactive, il y a de fortes chances que les failles de sécurité soient rapidement comblées sans même qu’il y ait eu piratage massif.
Ce n’est pas forcément le cas pour tous les plugins, je te l’accorde, mais c’est aussi la raison pour laquelle il ne faut pas installer n’importe quelle extension sur son site et qu’il faut à tout prix éviter celles qui ne sont plus mises à jour depuis un certain temps.
C’est aussi pourquoi il faut toujours faire ses mises à jour.
Amicalement,
Bruno
ON est bien d’accord sur la réactivité de la communauté WordPress, mais ce que je voulais dire c’est qu’on imagine mal aujourd’hui l’installation de WordPress sans mettre au moins une application de sécurité et une autre contre les spams…
Je ne suis pas du tout en train de dénigrer ce CMS, mais c’est un peut comme Windows qui se fait plus attaquer que les MACs…