Des millions de blogs sont-ils à la merci d’une prise en main par des pirates ?
Si l’on en croit Siobhan Ambrose, une spécialiste britannique de WordPress (plate-forme de gestion de contenus en open source), ce serait le cas.
En effet, elle a récemment effectué un test des sites proposant des thèmes gratuits (un catalogue de suggestion de mises en page) pour l’outil de publication de contenus.
Sa surprise fut totale (ou presque) lorsqu’elle a découvert que plusieurs thèmes gratuits proposés par des sites – sains en apparence – contenaient des chevaux de Troie (trojans) ou du code malicieux.
Ainsi, des thèmes connus réalisés par des tiers, sont parfois récupérés pour être piégés puis redistribués.
Siobhan Ambrose est également tombée sur un thème qui intègre un code Eval (« un vrai problème au niveau de la sécurité en PHP », selon Wikipedia). Ce bout de code suffirait pour qu’un individu malveillant réalise une action malicieuse.
Selon le test réalisé par Siobhan Ambrose, 8 sur 10 sites Web testés – correspondant aux dix premiers sites retournés par Google à la requête « free WordPress themes »‘ – offraient des thèmes contenant du code malicieux.
« L’utilisateur averti de WordPress sait sans doute que Google n’est pas le meilleur endroit pour trouver des thèmes, mais les statistiques de ces sites montrent qu’il y a des milliers de personnes qui les ont téléchargés et qui les utilisent sur leurs sites Web » , rappelle Siobhan Ambrose. Ce qui laisse à penser que des milliers de blogs sont vulnérables.
« Quelqu’un qui découvre WordPress pour la première fois a toutes les chances de taper ‘free WordPress themes’ dans Google pour trouver un thème gratuit », considère-t-elle. « Malheureusement, ces utilisateurs sont susceptibles de se retrouver avec, au mieux, des liens de spam sur leur site ».
Dans sa contribution blog qui date du 11 janvier 2011, Siobhan Ambrose donne un lien vers l’une de ses anciennes contributions concernant la sécurité sur WordPress.
Une lecture indispensable pour tous les apprentis blogueurs…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…