WordPress étant le CMS le plus populaire au monde, et de loin, il attire nécessairement les convoitises. Trouver une faille dans ce moteur dédié à l’origine aux blogs, ou dans l’un de ses nombreux thèmes et plugins, c’est trouver une faille qui concerne immédiatement des dizaines de milliers de sites. Malheureusement, il arrive ainsi de temps en temps qu’une faille de sécurité soit exploitée et on a justement appris dernièrement que plus de 100 000 sites sous WordPress avaient été contaminés par un malware russe.

Le malware en question procède en quelques étapes qui lui permettent d’ajouter des fichiers directement sur le serveur. Une fois en place, il redirige le site vers un site russe et Google ne tarde pas à l’ajouter à sa liste noire. Le blog devient ainsi inaccessible. Cette fois encore, la faille provient de quatre extensions¹ qui permettent de créer des « sliders » d’images, ces interfaces très à la mode qui permettent d’afficher plusieurs photos et de les faire défiler.

Avant toute chose, si vous avez un blog WordPress, assurez-vous qu’il ne soit pas contaminé. Pour ce faire, Sucuri qui est à l’origine de la découverte propose un outil gratuit en ligne : saisissez l’URL de votre site à cette adresse et vérifiez le résultat. Si vous êtes touché, il faudra non seulement supprimer les fichiers créés par le malware, mais aussi bloquer la faille. Et pour cela, il faut… mettre à jour votre site après l’avoir nettoyé, tout simplement.

En effet, cette faille touche des plugins conçus par ThemePunch et comme l’entreprise l’explique sur son site, elle est corrigée depuis le mois de février. De fait, il n’a fallu que quelques heures pour que la version à jour soit publiée et ThemePunch a préféré garder le silence à l’époque pour ne pas inciter les pirates à exploiter la faille.

L’espoir de ThemePunch était que tous les utilisateurs des plugins en question aient mis à jour avant que la faille en question soit exploitée. Hélas, il n’en a rien été, comme le piratage d’au moins 100 000 sites en atteste. Cette nouvelle attaque est bien la preuve que l’absence de mises à jour est le plus souvent la première cause des problèmes sous WordPress. La faille de sécurité a été corrigée en février, mais elle n’a été exploitée qu’en décembre : quasiment un an pendant lequel tous les utilisateurs du module auraient dû faire leurs mises à jour, mais ne l’ont pas fait.

Les concepteurs de WordPress travaillent toutefois sur une solution définitive, en facilitant au maximum les mises à jour et en les effectuant même automatiquement dans certains cas. Depuis la version 3.7 du CMS (sortie en octobre 2013), les mises à jour mineures de sécurité sont mises à jour automatiquement par défaut sur tous les blogs WordPress. En théorie, les extensions et les thèmes devraient également être mis à jour automatiquement, mais ce n’est pas le cas dans les faits.

Qu’à cela ne tienne, Automattic (l’entreprise derrière WordPress.com) a une solution : grâce à Jetpack, son plugin que l’on peut installer sur n’importe quel blog, on peut désormais gérer les mises à jour des plugins installés sur tous ses blogs au même endroit. Avec la version 3.3 qui vient de sortir et à condition d’activer la nouvelle API REST qui sera bientôt intégrée à WordPress, on peut alors gérer tous ses blogs à cette adresse.

Cette nouvelle interface est comme un tableau de bord global qui concerne autant les blogs hébergés par vos soins avec le module Jetpack que les blogs hébergés sur WordPress.com. À partir de cette page web, on peut obtenir les statistiques de chaque site, lister les articles déjà publiés avec une interface plus aérée et moderne que celle par défaut, écrire de nouveaux articles ou même accéder à quelques réglages de base.

Mais la section qui nous intéresse en l’occurence est celle dédiée aux extensions. Le site permet de lister les plugins installés sur chaque blog, mais il sait aussi générer une liste exhaustive de tous les modules installés sur tous vos sites. En cas de mise à jour, vous pouvez la lancer depuis cette interface, sans passer par le tableau de bord de chaque site que vous gérez. Vous pourrez aussi en supprimer ou en désactiver un (ou plusieurs).

Avec ce nouveau site, WordPress espère corriger ce défaut qui veut que les propriétaires des sites ne mettent pas leurs extensions à jour régulièrement. Si c’est votre cas, il n’est pas inutile de le rappeler : ouvrez régulièrement l’administration du site et faites les mises à jour qu’on vous propose. Au minimum, affichez les notes de version de chaque extension pour vérifier si des failles de sécurité ont été corrigées. Si c’est le cas, installez la mise à jour sans attendre ou prenez le risque de perdre votre blog un jour ou l’autre.

Si vous n’avez pas envie de gérer ces mises à jour au quotidien, mieux vaut confier la gestion du site à un tiers. Vous pouvez ainsi opter pour WordPress.com, mais vous perdrez en contrepartie de la sécurité gagnée la liberté offerte par les dizaines de milliers d’extensions disponibles. Autre solution, opter pour un gestionnaire comme WP Engine ou Pagely qui offrent plus d’options, mais qui sont aussi (beaucoup) plus chers qu’un hébergeur traditionnel.

Dans le cas de cette faille, le problème est toutefois plus complexe, car ces plugins étaient parfois vendus avec un thème. Le cas échéant, c’est au concepteur du thème de proposer la mise à jour et ils sont nombreux à ne pas l’avoir fait. Si c’est votre cas, vous devez contacter le créateur du thème pour obtenir la nouvelle version du module. Ou alors envisager de changer de thème et opter pour quelque chose de plus simple : plus il y a de fonctions et de plugins, plus vous multipliez les risques d’avoir un problème…

Pour finir, rappelons qu’il existe aussi des extensions chargées de sécuriser un site sous WordPress. Wordfence est l’un des plus utilisé et une fois installé, il va surveiller en permanence les fichiers qui composent votre site et prévenir, en théorie, toutes les attaques. C’est une extension gratuite et si vous voulez un peu plus de sécurité, c’est probablement une bonne option.