Ne présumez jamais que les extensions les plus connues, les plus courantes, les plus utilisées sont exemptes de vulnérabilités, ni son contraire.
Cependant, plus une extension évolue, plus elle tend à “créer” des vulnérabilités, et à en boucher, et moins une extension évolue, plus elle tends à être découverte comme extension vulnérable.
Décortiquons ensemble quelques unes d’entre elles et expliquons ce premier paragraphe.
WooCommerce
WooCommerce est le leader des plugins de e-commerce pour WordPress. Lancé en 2011, il a rapidement été adopté par les communautés du monde entier.
Si on parcourt le journal des modifications (changelog), et qu’on y cherche “security”, on trouve 18 occurrences. Cela signifie qu’il y a au moins 18 corrections concernant la sécurité, mais parfois plus car tous les fix ne sont pas notés comme “security”.
Par exemple la version 2.1.8 contient un patch suite à une faille trouvée dans WooCommerce 2.1.6 par SecuPress, mais pas de “security” !
Wordfence
L’extension américaine de sécurité la plus téléchargée, Wordfence, surement une des plus ancienne puisque lancée en avril 2012, elle aussi n’est pas infaillible. Oui, même si c’est une extension de sécurité, cela reste du code créé par des humains et vous savez ce qu’on dit ? “L’erreur est humaine” !
Les version 5.2.x de cette extension ont beaucoup souffert comme on peut le voir sur WPVulnDB. Est-ce une bonne chose ou une mauvaise chose ? Je le redirais mais oui, c’est une bonne chose puisque maintenant que c’est découvert et patché, c’est donc encore plus sécurisé.
Quand un chercheur trouve une faille, d’autres le suivent pour en trouver aussi et ainsi cela sécurise encore plus le produit. SecuPress a aussi aidé Wordfence a être plus sécurisé.
iThemes Security
Un autre plugin de sécurité, presque 1M d’installations actives, iThemes Security, je ne sais pas depuis quand il est là car il est basé sur une extension rachetée “better-wp-security”. Aussi il n’y a pas de changelog complet disponible et pour la version pro aucun changelog dispo si vous n’êtes pas membre. Dommage de cacher ces informations !
Le morceau de changelog montre seulement 4 fix de sécurité et le notre est manquant ! https://secupress.me/fr/blog/ithemes-security-5-3-6-patch-securite/ et WPVulnDB en répertorie d’autres.
All In One WP Security & Firewall
Ho, une extension de sécurité ! Assez connue aussi, bien que moins que les 2 autres citées ci-dessus, AIOWPSF (ouch) a connu des déboires avec pas moins de 13 découvertes sur WPVulnDB. SecuPress a justement découvert une faille de type SQL Injection.
Encore une fois, personne n’est à l’abri …
Redux Framework
Pas une extension, ni un thème, mais un framework, Redux, pour aider à la création de ces 2 là. Plutôt répandu, j’avais audité de framework par hasard et envie juste pour voir un peu.
J’ay ai trouvé une faille de type escalation privilege qui permet à une personne n’ayant pas les droits de modifier les options du site, mais ayant des droits sur le customizer, de modifier les options du site tout de même !
Bien que moins visible contrairement au plugins et thèmes, les framework vulnérables atteignent beaucoup plus d’utilisateurs car ils font partie de ces produits, voilà pourquoi leur sécurité est aussi importante.
WPML
WPML est un classique des extensions multilingues, surement la première aussi complète. Elle a su évoluer avec son temps. Comme toute extension “massive”, elle contient des fix de sécurité.
Malheureusement il faut de nouveau un compte client pour avoir droit à un morceau du changelog (seulement les 2 dernières années). Autant je peux comprendre qu’on ai pas besoin de 10 ans de changelog, autant ne pas mettre son changelog en accès, non.
Notre découverte de la faille XSS dans WPML a donc disparu, ou pas ! Et encore une fois on peut compter sur WPVulnDB.
Le cache : W3 Total Cache, WP Super Cache & WP Rocket
Là encore, des dinosaures des extensions, avec le cache cette fois. Ils sont les pionniers du cache sous WordPress, même s’ils sont maintenant dépassés par WP Rocket depuis longtemps (mais WP Rocket commence à prendre de l’embonpoint !).
W3TC en 2016 n’avait pas été mis à jour depuis plus d’un an. Une faille a alors été découverte. Ne pensez pas qu’elle a poussé comme un champignon, ce n’est pas parce qu’il n’y a pas de mise à jour que les failles poussent, même si ça en donne l’impression.
C’est surtout qu’on a plus de personnes qui commencent à s’inquiéter de savoir si ça reste safe de l’utiliser ou pas. Quand il yb a des mises à jour de faites, on estime que l’auteur a bien fait le travail. Vous voyez ? La frontière est mince.
Bref, W3TC a été mis à jour et SecuPress a trouvé 4 vulnérabilités dedans, le but était de s’assurer que la faille découverte n’était pas la seule à corriger, job done. Et WPVulnDB ne trouve pas moins de 17 fix !
Pour WPSC, c’est 9 qui sont dans WPVulnDB.
Et WP Rocket, 1 seule.
Jetpack
Jetpack, cette extension toujours de plus en plus grosse a aussi eu son lot de failles. Plus une extension fait de choses, ou plus il y a de développeurs différents, plus le probabilité d’avoir des failles augmente (les bug aussi, et le poids aussi…) Voyez WPVulnDB. Jetpack n’a pas de concurrent, personne ne veut faire une extension pareille, personne.
Yoast WordPress SEO et All in one SEO pack
La plus populaire des extensions SEO depuis des années, tristement connue aussi pour ses mises à jour à latence programmée a aussi connu des jours sans. WPVulnDB en trouve un paquet. WP SEO a toujours eu des concurrents comme AIOSP, All In One SEO Pack qui lui aussi a les connu les même mauvais jours, voir WPVulnDB.
WPS Hide My Login & SecuPress
…même SecuPress ! En fait il s’agit du module “Move Login” ou “Déplacement de la page de connexion” qui faisait défaut. C’est en réalisant un audit sur WPS Hide My Login demandé par son auteur, que j’ai aussi testé une de mes 4 découvertes sur SecuPress et l’une d’entre elle fonctionnait !
En fait, la faille fonctionne un peu partout sur ce genre de plugin qui cache la page de connexion, je vous déconseille d’utiliser un autre plugin que ces 2 là pour réaliser cette tâche, surtout si l’extension que vous utilisez n’est pas mise à jour depuis trop longtemps, changez vite ou je trouve votre page !
Outro
Mais alors en fait, qui est à l’abri de vulnérabilité ? Personne. Aucune extension, aucun développement qui est suivi, supporté, contribué. Si vous développez, tentez de vous hacker, formez vous à la sécurité Web. Si vous ne développez pas, faites vérifier, confirmer que vos choix sont bons et que les scripts PHP inclus dans vos sites (oui, des extensions quoi) sont propres.
Nous voilà à la fin de nos exemples, on pourrait en citer d’autres encore, vous en avez ?
