fonds d'écran - créations numériques - webmastering - photograhie - création de site - référencement efficace


 

 

Il ne faut jamais chercher un thème WordPress gratuit sur un moteur de recherche...

Post sur la sécurité des thèmes pour wordpress qui me fait sérieusement réfléchir pour de nombreux autres cas !

Et les thèmes ou templates gratuits, et ceux pour d'autres blogs ou cms ???

une alerte : téléchargements dansgeureux des thèmes,une alerte lancée par le site officiel de wordpress au sujet des templates donne à réfléchir sur la sécurité des sites, des thèmes pour les CMS

J'ai un petit blog que tous les habitués connaisent bien ( The Blog ) qui tourne sous PluXml, très bon script de blog en xml et sans base de données. Ce script à tellement évolué depuis que je m'en sers que je vais me lancer dans une mise à jour (elle sera peut-être faite quand vous passerez ici ...), cela risque d'être un peu complexe et laborieux vus l'ancienneté du code et le nombre impressionnant de fichiers.

Mais, avant tout, et comme tout le monde ne cesse d'en parler, sans pour autant "virer ma cutie", je me suis lancé à tester wordpress pour essayer d'en comprendre le fonctionnement et aussi de voir un peu quels 'plugins' pourraient être intéressants à adapter sur PluXml ... et là : surprise !!!

je fais une recherche:

templates gratuits pour wordpress (lien vers l'article d'origine avec toutes les astuces)

et je tombe, en première page des résultats, sur un article parru sur "http://www.wordpress-fr.net/" le site du worpress francophone et qui a pour titre:

Il ne faut jamais chercher un thème WordPress gratuit sur un moteur de recherche

faut quand même le faire ... mais cet article n'est pas du tout une blague, loin de là, mais une belle alerte au niveau de la sécurité ... hé oui, même dans les thèmes ou templates, des codes malicieux peuvent se glisser !!! je vous cite quelque passges de la traduction de l'article original faite sur ce site par "Xavier" ...

"Il y a quelques mois, j’avais écrit une liste de conseils pour sécuriser son installation WordPress (« WordPress Security« ). Pour le présent article, je me suis armée des mots « free WordPress themes », et des extensions Theme Authenticity Checker (TAC) de builtBackwards et Exploit Scanner de Donncha O Caoimh, afin de me plonger dans la première page de résultats Google pour une recherche sur des thèmes WordPress gratuits, et voir à quel point ils peuvent être sécurisés — ou non. Notez bien que je n’ai installé aucun des thèmes présentés ci-après sur mon serveur. Au lieu de cela, j’ai installé WordPress en local avec XAMPP. Je déconseille de mettre en ligne les thèmes provenant de sites inconnus : vous ne savez jamais le mal qu’ils pourraient faire !"

Il a ainsi testé les 10 premiers résultats et en voici la conclusion : " Voici les stats pour les 10 premiers sites de la première page Google :

Sûr : 1
Mouais : 1
A éviter : 8

8 des 10 sites utilisent du base64 dans leur thème. L’utilisateur WordPress moyen sait peut-être qu’il ne faut pas télécharger n’importe quel thème, mais les stats de ces sites indiquent des milliers de téléchargements. Un nouveau venu aura de grande chance de taper " free WordPress themes" dans Google et tomber sur un site qui leur donne ce qu’il cherche, mais avec des liens en trop et du code malicieux."

Moi qui cherchait des thèmes à tester, voire à adapter ou des plugins pour PluXml .... j'ai fait un sacré bon en l'air et du coup je me suis également lancé dans un petit test perso avec l'extensions "TAC" ... voici les résultats :

J'installe donc un "wordpress" avec 5 thèmes, dont 2 donnés par le site officiel, puis l'entension "TAC" et voici déjà le premier résultat :

TAC wordpress

et, bingo, les deux 'officiels' sont corrects, les autres ont des problèmes .... Deux ont des liens "cachés" ... voyons donc un peu ce que c'est ...

liens cachés

sur le premier, rien de bien grave : un lien vers le site officiel, un autre vers celui de l'auteur ... bon ... pour le second, même chose avec en plus un lien vers le validateur W3C. A noter que sur ces 5 liens, 3 sont directement éditables pour être soit modifiés, soit supprimés, pourquoi pas les deux autres ? Enfin pour ceux qui ne veulent mettre des liens que vers leurs partenaires et qui croient encore à la division du PageRank, là ... faudra quand même voir de plus près ;) De plus il faut quand même toujours vérifier car si, ici, les liens sont quasi-corrects, sur d'autres modèles ce n'est pas du tout le cas malheureusement !!!

et pour le dernier qui lui est signalé avec un code 'malicieux' :

code base 64

2 liens externes, modifiables quand même, mais, là beauccoup plus grave : insertion d'un code en base 64 !!! "Le codage base64 est souvent utilisé pour cacher du code malicieux.Le base64 ne dissimule pas forcément que des liens. Il peut aussi cacher du code malicieux qui mettra la pagaille dans votre site. En plus de cela, ce site, qui promet des thèmes récents, propose en définitive des thèmes créés par d’autres personnes, auquel le propriétaire du site ajoute son code base64. On y trouve toutes sorties de fonctions chiffrées.Les testeurs de failles ne l’aiment pas plus que moi !'

Et tant que nous y sommes, je reprends un autre thème au hasard des recherches sur le net et voici le résultat :

encrypted code

là on est vraiment bien gâtés et au niveau du code encrypté, si vous savez le décoder, tant mieux, vous en comprendrez peut-être la dangeurosité .... pour ma part, dans ce cas ces "templates" passent directement à la poubelle sur !!!

- Sécurité avant tout !

Si cet article, et son original plus détaillé, peuvent vous faire comprendre que sous couvert de la "gratuité" certains en profitent pour soit glisser des liens indésirables, soit préparer le terrain pour des actions de piratage ou autre (que ... Google peut détecter mettant ainsi votre site dans la catégorie "danger" !), au moins cela vous permettra de avoir qu'il faut toujours prendre son temps avant de choisir quoique ce soit ... et malheureusement, car je ne vais pas casser ma tirelire pour ça, je suis quasiment certains que de nombreux thèmes payants révèleraient très certainement les même disfonctionnement !!!

Attention donc si vous vous servez de ce CMS plus que connu et qui paie maintenant la rançon de son succés de plusieurs manières, dont celle-ci !

Attention également, si pour d'autres CMS, vous voulez adapter le thème, vérifiez-le, nettoyez s'il le faut avaant toute action ....

Les failles de sécurité existent presque toujours, surtout dans les codages internes, il faut donc prendre le temps de les vérifier ou de le faire faire par des gens spécialisés, mais là l'astuce va bien plus loin, c'est dans le "thème" lui-même, le "look" du site qu'elles sont placées !

Du coup, pour PluXml, adapter un template ou un widget demandera aussi l'examen attentif des thèmes que l'on voudra adapter ou installer ....

si vous avez d'autres indications, exemples, complémentaires ou désirez soit signaler le même genre de problème ou réagir à cet article, vous pouvez le faire en direct ici : wordpress,alerte de sécurité sur les templates gratuits .