Sécurité IT : des thèmes gratuits pour WordPress cachent du code malicieux

Cloud

Selon une experte de WordPress, il vaut mieux se montrer prudent lorsque l’on cherche des thèmes gratuits pour l’outil CMS open source via Google.

Des millions de blogs sont-ils à la merci d’une prise en main par des pirates ?

Si l’on en croit Siobhan Ambrose, une spécialiste britannique de WordPress (plate-forme de gestion de contenus en open source), ce serait le cas.

En effet, elle a récemment effectué un test des sites proposant des thèmes gratuits (un catalogue de suggestion de mises en page) pour l’outil de publication de contenus.

Sa surprise fut totale (ou presque) lorsqu’elle a découvert que plusieurs thèmes gratuits proposés par des sites – sains en apparence – contenaient des chevaux de Troie (trojans) ou du code malicieux.

Ainsi, des thèmes connus réalisés par des tiers, sont parfois récupérés pour être piégés puis redistribués.

Siobhan Ambrose est également tombée sur un thème qui intègre un code Eval (« un vrai problème au niveau de la sécurité en PHP », selon Wikipedia). Ce bout de code suffirait pour qu’un individu malveillant réalise une action malicieuse.

Selon le test réalisé par Siobhan Ambrose, 8 sur 10 sites Web testés – correspondant aux dix premiers sites retournés par Google à la requête « free WordPress themes »‘ – offraient des thèmes contenant du code malicieux.

« L’utilisateur averti de WordPress sait sans doute que Google n’est pas le meilleur endroit pour trouver des thèmes, mais les statistiques de ces sites montrent qu’il y a des milliers de personnes qui les ont téléchargés et qui les utilisent sur leurs sites Web » , rappelle Siobhan Ambrose. Ce qui laisse à penser que des milliers de blogs sont vulnérables.

« Quelqu’un qui découvre WordPress pour la première fois a toutes les chances de taper ‘free WordPress themes’ dans Google pour trouver un thème gratuit », considère-t-elle. « Malheureusement, ces utilisateurs sont susceptibles de se retrouver avec, au mieux, des liens de spam sur leur site ».

Dans sa contribution blog qui date du 11 janvier 2011, Siobhan Ambrose donne un lien vers l’une de ses anciennes contributions concernant la sécurité sur WordPress.

Une lecture indispensable pour tous les apprentis blogueurs…

Lire aussi :