WordPress : mettez à jour vos sites !

Nicolas Furno |

WordPress étant le CMS le plus populaire au monde, et de loin, il attire nécessairement les convoitises. Trouver une faille dans ce moteur dédié à l’origine aux blogs, ou dans l’un de ses nombreux thèmes et plugins, c’est trouver une faille qui concerne immédiatement des dizaines de milliers de sites. Malheureusement, il arrive ainsi de temps en temps qu’une faille de sécurité soit exploitée et on a justement appris dernièrement que plus de 100 000 sites sous WordPress avaient été contaminés par un malware russe.

Le malware en question procède en quelques étapes qui lui permettent d’ajouter des fichiers directement sur le serveur. Une fois en place, il redirige le site vers un site russe et Google ne tarde pas à l’ajouter à sa liste noire. Le blog devient ainsi inaccessible. Cette fois encore, la faille provient de quatre extensions1 qui permettent de créer des « sliders » d’images, ces interfaces très à la mode qui permettent d’afficher plusieurs photos et de les faire défiler.

Avant toute chose, si vous avez un blog WordPress, assurez-vous qu’il ne soit pas contaminé. Pour ce faire, Sucuri qui est à l’origine de la découverte propose un outil gratuit en ligne : saisissez l’URL de votre site à cette adresse et vérifiez le résultat. Si vous êtes touché, il faudra non seulement supprimer les fichiers créés par le malware, mais aussi bloquer la faille. Et pour cela, il faut… mettre à jour votre site après l’avoir nettoyé, tout simplement.

En effet, cette faille touche des plugins conçus par ThemePunch et comme l’entreprise l’explique sur son site, elle est corrigée depuis le mois de février. De fait, il n’a fallu que quelques heures pour que la version à jour soit publiée et ThemePunch a préféré garder le silence à l’époque pour ne pas inciter les pirates à exploiter la faille.

L’un des plugin concerné en action

L’espoir de ThemePunch était que tous les utilisateurs des plugins en question aient mis à jour avant que la faille en question soit exploitée. Hélas, il n’en a rien été, comme le piratage d’au moins 100 000 sites en atteste. Cette nouvelle attaque est bien la preuve que l’absence de mises à jour est le plus souvent la première cause des problèmes sous WordPress. La faille de sécurité a été corrigée en février, mais elle n’a été exploitée qu’en décembre : quasiment un an pendant lequel tous les utilisateurs du module auraient dû faire leurs mises à jour, mais ne l’ont pas fait.

Les concepteurs de WordPress travaillent toutefois sur une solution définitive, en facilitant au maximum les mises à jour et en les effectuant même automatiquement dans certains cas. Depuis la version 3.7 du CMS (sortie en octobre 2013), les mises à jour mineures de sécurité sont mises à jour automatiquement par défaut sur tous les blogs WordPress. En théorie, les extensions et les thèmes devraient également être mis à jour automatiquement, mais ce n’est pas le cas dans les faits.

Qu’à cela ne tienne, Automattic (l’entreprise derrière WordPress.com) a une solution : grâce à Jetpack, son plugin que l’on peut installer sur n’importe quel blog, on peut désormais gérer les mises à jour des plugins installés sur tous ses blogs au même endroit. Avec la version 3.3 qui vient de sortir et à condition d’activer la nouvelle API REST qui sera bientôt intégrée à WordPress, on peut alors gérer tous ses blogs à cette adresse.

Liste d’articles publiés sur un blog, depuis la nouvelle interface de gestion centralisée de WordPress. Cliquer pour agrandir

Cette nouvelle interface est comme un tableau de bord global qui concerne autant les blogs hébergés par vos soins avec le module Jetpack que les blogs hébergés sur WordPress.com. À partir de cette page web, on peut obtenir les statistiques de chaque site, lister les articles déjà publiés avec une interface plus aérée et moderne que celle par défaut, écrire de nouveaux articles ou même accéder à quelques réglages de base.

Mais la section qui nous intéresse en l’occurence est celle dédiée aux extensions. Le site permet de lister les plugins installés sur chaque blog, mais il sait aussi générer une liste exhaustive de tous les modules installés sur tous vos sites. En cas de mise à jour, vous pouvez la lancer depuis cette interface, sans passer par le tableau de bord de chaque site que vous gérez. Vous pourrez aussi en supprimer ou en désactiver un (ou plusieurs).

Interface de gestion centralisée des plugins fournie par WordPress.com et Jetpack. Cliquer pour agrandir

Avec ce nouveau site, WordPress espère corriger ce défaut qui veut que les propriétaires des sites ne mettent pas leurs extensions à jour régulièrement. Si c’est votre cas, il n’est pas inutile de le rappeler : ouvrez régulièrement l’administration du site et faites les mises à jour qu’on vous propose. Au minimum, affichez les notes de version de chaque extension pour vérifier si des failles de sécurité ont été corrigées. Si c’est le cas, installez la mise à jour sans attendre ou prenez le risque de perdre votre blog un jour ou l’autre.

Si vous n’avez pas envie de gérer ces mises à jour au quotidien, mieux vaut confier la gestion du site à un tiers. Vous pouvez ainsi opter pour WordPress.com, mais vous perdrez en contrepartie de la sécurité gagnée la liberté offerte par les dizaines de milliers d’extensions disponibles. Autre solution, opter pour un gestionnaire comme WP Engine ou Pagely qui offrent plus d’options, mais qui sont aussi (beaucoup) plus chers qu’un hébergeur traditionnel.

Dans le cas de cette faille, le problème est toutefois plus complexe, car ces plugins étaient parfois vendus avec un thème. Le cas échéant, c’est au concepteur du thème de proposer la mise à jour et ils sont nombreux à ne pas l’avoir fait. Si c’est votre cas, vous devez contacter le créateur du thème pour obtenir la nouvelle version du module. Ou alors envisager de changer de thème et opter pour quelque chose de plus simple : plus il y a de fonctions et de plugins, plus vous multipliez les risques d’avoir un problème…

Pour finir, rappelons qu’il existe aussi des extensions chargées de sécuriser un site sous WordPress. Wordfence est l’un des plus utilisé et une fois installé, il va surveiller en permanence les fichiers qui composent votre site et prévenir, en théorie, toutes les attaques. C’est une extension gratuite et si vous voulez un peu plus de sécurité, c’est probablement une bonne option.


  1. Voici la liste des extensions concernées : Slider Revolution Responsive WordPress Plugin (version 4.2 et moins), Showbiz Pro Responsive Teaser WordPress Plugin (version 1.5.3 et moins), KenBurner Slider WordPress Plugin (version 1.8 et moins) et Paradigm Slider WordPress Plugin (toutes les versions)

avatar iJoke | 

C'est vraiment la plaie les malware sous wordpress.
Je me suis retrouvé avec tout un site porno russe sur mes site
Ca incite à changer de plateforme

avatar matthieudu06 | 

Ce site de vérification est absolument inutilisable sur mobile. Pop up de partout.

avatar GigaTouch | 

Si les extensions avaient quelques options... Le problème c'est que comme on est toujours verrouillé de partout sur ces plateformes, et qu'ils nous distribuent des bugs de partout, on est obligés de mettre les mains dans le cambouis et modifier le code à la main.
Résultat, quand on fait une mise à jour, paf, on perd tout ce qu'on a fait, soit parfois des heures de travail juste pour enlever les deux balises qui font tout rater...

Alors je sais, "fais ton site par toi même et code tout si tu veux quelque chose de personnalisé", mais parfois on ne peut pas passer outre les désirs des clients...
Quand on veut personnaliser un minimum, RIEN n'est encore au point, que ce soit les CMS ou les logiciels que MacG relaie souvent...

avatar Nicolas Furno | 
@ GigaTouch : je ne suis pas d'accord, mais il faut choisir. Soit on bricole et on crée de fait son propre thème et ses propres plugins, mais il faut alors oublier les mises à jour automatiques et effectivement, mieux vaut partir sur quelque chose de simple pour éviter les failles de sécurité. Soit on utilise les outils par défaut et on met à jour régulièrement. Par ailleurs, il y a beaucoup de solutions pour modifier le comportement d'une extension sans toucher à ses fichiers. On peut utiliser du CSS directement dans son thème, ou bien utiliser le fichier functions.php du thème qui permet de modifier pas mal de choses. Un exemple entre mille : les articles liés de Jetpack. Je les ai modifiés sur mon blog avec trois fois rien de CSS et j'ai aussi modifié le comportement du module en utilisant du code PHP, comme expliqué à cette adresse. Je bénéficie toujours des mises à jour, mais je garde la main sur le fonctionnement de la fonction. Le côté verrouillé, c'est plus lié au contenu et à l'utilisation de fonctions spécifiques à WordPress. D'un autre côté, quelle autre plateforme que WordPress va aussi loin ? Ce n'est pas Ghost qui peut remplacer simplement toutes les fonctions du CMS…
avatar GigaTouch | 

@Nicolas Furno
Ah mais je suis d'accord, je suis un fervent défenseur des mises à jour mais certains plugins Wordpress ont des bugs assez gênants et quand ils s'allient parfaitement avec le thème prévu c'est tout de suite la galère pour les remplacer.
Exemple : j'ai un slider (heureusement pas ceux touchés), qui s'affiche en page d'accueil, qui est statique. J'ai donc une autre page pour les articles. Eh ben ce foutu slider a toujours voulu truster aussi les articles, et même les créateurs de l'extension / thème et tout le tralala n'ont jamais jamais compris pourquoi avec tout le code sous les yeux. Obligé de mettre les mains dedans. À la première maj du thème --> revoilà le bug, et il faut tout refaire.

Je n'ai pas trouvé quelque chose de mieux que Wordpress, je suis d'accord. Pourtant il y a encore un sacré travail... Je déteste faire de la "rétro-ingénierie" (même si c'est un bien grand mot pour si peu de chose), mais pour un paquet de thème c'est ce qu'il faut faire si on veut qu'ils ressemblent à ce que l'on souhaite.
J'admets après que je ne suis pas un grand pro de Wordpress, et qu'il faudrait que je me penche beaucoup plus longtemps sur tout cela. Quoi qu'il en soit le concept de faire son site seul sans connaître HTML/CSS/PHP voire Javascript est encore aujourd'hui une utopie si on ne veut pas passer son temps à se faire imposer des choses... Tu ne trouves pas ? (je note les liens en tous cas, ça peut toujours servir, merci ! :))

avatar fl0rent | 

Tu ne penses pas qu'un thème enfant pourrait résoudre ton problème?

Par rapport à la news = Vous ne faites pas les maj, vous aurez un problème! = quelle surprise :-)

avatar R1x_Fr1x | 

Je reste fan de wordpress. Ce genre de déboires ne fera que du bien afin de le sécuriser toujours plus.

C'est en tombant qu'on apprend à se relever.

avatar Domsware | 

Faire les choses soit même cela est désormais très difficile quel que soit le CMS utilisé. Car certaines parties d'apparence simple sont très délicates à maintenir et nécessite une attention constante. Donc pour cela on compte sur le pouvoir d'une communauté.

Pour ma part j'utilise Drupal depuis très longtemps. Pas de modules – extensions - à risque, mises à jour régulières, sauvegarde quotidienne... En mode parano quoi.

Cela n'empêche pas les soucis mais les limite eux et leur impact très fortement.

avatar Ultranova | 

C'est encore la faute M. Moi Président Normal qui veut pas livrer les bateaux aux Russes :

1) Ils attaquent les sites WordPress Français

et si ça suffit pas :

2) Ils nous rendent Gros Gégé.

Ok, Je suis loin !!!

avatar momo-fr | 

C'est pas une nouvelle fraîche, la faille du Revolution Slider date effectivement de cet été ou ThemePunch à publié l'info. Mettre à jour WP doit être aussi systématique qu'un OS. Pour les failles on n'a pas fini, je bosse actuellement à remettre d'aplomb un site hacké par un thème non mis à jour (librairie TimThumb défaillante) et l'éditeur à carrément abandonné le support du thème… grr.
Attention à ça, les thèmes achetés ne sont pas toujours bien suivi par leur auteur… mieux vaut prendre un thème populaire, la pérennité est plus assurée.

avatar ritchi_paris | 

QUESTION ! (longue)

Du fait que wordpress est de l'opensource, est-ce à dire que les développeurs peuvent pointer au chômage ?
Ce que je veux dire par extension, cette faculté que possède wordpress, à savoir d'être facilement accessible dans l'ajout d'information dans les sites, ne va-t-elle pas engendrer une guerre et non guéguerre des développeurs contre wordpresss, et donc d'avoir les sites générés par ce CMS constamment en shut down ?

avatar fl0rent | 

réponse (courte)

Non!

avatar ritchi_paris | 

mais encore ?

avatar fl0rent | 

Wordpress est testé avant ses MAJ.

En vrai l'article ne parle pas de Wordpress!!!
Relisez, il parle d'un plugin dont personne n'oblige à l'utilisation!
Et en plus, il faut ne pas faire sa mise a jour pour être touchée. À partir de là, il faut arrêter d'utiliser Internet :-)

avatar ritchi_paris | 

Oui absolument ! vous avez raison, cette article ne parle pas de Wordpress… c'est pour cela que j'ai notifié "par extension" (peut-être pas assez me direz-vous !)… En fait pour tout vous dire, je suis un peu perplexe, car ayant embaucher un collaborateur pour lequel je lui ai fait avoir une formation wordpress, je suis un peu inquiet pour mes clients…mon but n'est bien sûr, qu'ils n'aient pas d'emmerdes avec leur site… Alors dois-je m'inquiéter ? Puis-je conserver mon collaborateur (ou bien une autre formation lui faudrait-il) ? En fait oui, je suis très inquiet…

avatar fl0rent | 

On est jamais à l'abri de rien.

Le tout est de faire:
- des sauvegardes régulières
- des mises à jour
- Se tenir informés
- Se former ...

Donc votre collaborateur a du travail sur la planche :-)

avatar momo-fr | 

Être sur le web et y travailler ce n'est pas un long fleuve tranquille… mais ce n'est pas non plus l'enfer il faut juste savoir à quoi l'on doit s'attendre en terme de démarches, de recherches et de veille technologique (quelques minutes par semaine suffisent). Par contre pour être sérieux il ne faut pas hésiter à vendre une prestation d'assistance à vos clients pour le suivi technique du CMS et des extensions (si il ne veut pas le faire).

avatar ritchi_paris | 

Merci pour ce précieux conseil !

CONNEXION UTILISATEUR