Pourquoi WordPress Premium-Themes est un risque pour la sécurité

Jan Hornung Mis à jour le 23.01.2020
5 Min.
N02 Premium Themes

L'intégration de la pratique Plugins courante dans Premium Themes peut exposer votre WordPress site à un risque de sécurité majeur. Mais pour l'instant, le problème ne peut guère être évité - l'utilisateur est très demandé.

En 2014 et 2015, des failles de sécurité massives ont été découvertes dans deux des plus populaires d'entre elles Plugins : les deux La révolution des glissières [1] (près de 75 000 fois sur Envato vendu), ainsi que la Visual Composer [2] (vendus près de 100 000 fois sur Envato) ont été touchés. Cependant, les vulnérabilités de sécurité elles-mêmes n'étaient pas le problème principal. Les développeurs ont réagi rapidement et ont fourni les mises à jour appropriées. Mais pour certains clients de PremiumThemes, qui les Plugins utilisent dans le cadre de ce qu'on appelle des "Pluginbundles", c'est-à-dire par défaut dans les constellations de plugins Themes intégrés, cette mesure était inutile. Certains d'entre eux ont passé beaucoup de temps à se balader dans le filet avec ces failles de sécurité. Parce qu'elles ne Themes permettent pas toutes une mise à jour automatique dans tous les cas.

Double dépendance des utilisateurs

Les Themes utilisateurs Premium sont dépendants de deux parties pour les mises à jour de plugins pertinentes pour la sécurité : les Plugin- et les fabricants de thèmes. Il peut donc arriver que le fabricant du plugin réagisse rapidement et comble la faille de sécurité, mais n'applique Theme pas automatiquement ces changements. En effet, les mises à jour des plugins ne sont pas toujours facilement Themes compatibles avec le reste d'un thème. L'interaction de la Premium Themes avec la nouvelle version du plugin doit généralement être testée au préalable. La vitesse de réaction des producteurs de thèmes est donc l'élément essentiel du processus de mise à jour et détermine la durée pendant laquelle les utilisateurs doivent vivre avec des failles de sécurité [...3].

Mais : les offres groupées sont également problématiques pour les fournisseurs eux-mêmes

Dans la pratique, cette responsabilité est également une charge pour les fabricants de thèmes. D'une part, ils doivent informer leurs clients sur les lacunes en matière de sécurité et leur importance. Dans le cas de Visual Composer, le fournisseur du marché Envato et le fabricant de plugins wpbackery a réagi de manière exemplaire : Tous les clients ont été contactés par courrier électronique et la mise à jour a été recommandée à leurs propres risques [4]. D'autre part, le fabricant doit spontanément tester la compatibilité de la Premium Themes avec la nouvelle version du plugin, éventuellement la créer d'abord ou même développer une solution provisoire et la mettre à la disposition des clients.

La vente liée de ces bouquets de plugins pose donc des problèmes aux fournisseurs et aux clients. Toutefois, comme le principe du faisceau présente de nombreux avantages, tels que l'intégration rapide de fonctions supplémentaires compliquées et une utilisation pratique pour le client, le problème restera probablement longtemps en suspens. Il est donc important que les exploitants de sites soient conscients de ce danger et sachent comment y faire face.

Malgré une réaction exemplaire : l'approche réactive des fabricants ne résout pas le problème

Bien que Envato et wpbakery aient réagi rapidement dans le cas du Compositeur visuel, le cas montre les limites de la stratégie réactive et indique clairement que la pratique existante accepte activement les vulnérabilités de sécurité. Le comportement réactif des vendeurs de thèmes et des fournisseurs de marchés - aussi bien coordonnés soient-ils - n'assure pas nécessairement un niveau élevé de sécurité et de fonctionnalité. En effet, les courriers électroniques peuvent se retrouver dans des filtres antispam, les messages des médias sociaux peuvent être ignorés et les messages in-app peuvent se perdre. Il y a donc un risque inutile pour les exploitants de sites d'avoir un site non sécurisé Plugin en fonctionnement pendant une longue période.

Toutefois, l'approche réactive des fabricants présente également un second risque. C'est lorsque l'opérateur du site n'est pas le titulaire de la licence de la primeThemes . Il s'agit d'une constellation assez courante, par exemple dans le cas de travaux commandés par des concepteurs de sites web. Si les concepteurs et les propriétaires de sites web ne sont pas en contact, il peut même arriver que les personnes concernées ne soient pas informées de la faille de sécurité. Cette pratique produit des masses de sites web dont les propriétaires et les administrateurs n'ont pas accès aux mises à jour themeinternes. Même les sites entretenus par des professionnels peuvent donc utiliser des sites obsolètes et vulnérablesPlugins .

Une approche réactive des producteurs de thèmes et des fournisseurs de marchés ignore donc une part importante de la réalité de la conception de sites web.

L'approche proactive est coûteuse

La question se pose maintenant de savoir pourquoi les Pluginliasses ne sont pas toujours mises à jour automatiquement. La réponse réside dans la complexité de la primeThemes. Les développeurs conçoivent Themes avec des fonctions supplémentaires complètes, telles que des interfaces d'édition visuelle, des curseurs, des champs de formulaire et et. Jusqu'à ce que la Premium soit Theme assemblée et fonctionne sans problème, des dizaines de séries de tests doivent être réalisées. Il en va de même pour les mises à jour des versions intégrées Plugins: chaque nouvelle version peut Themes mettre en danger la fonctionnalité globale de la Premium et, dans le pire des cas, rendre l'ensemble du site web inutilisable. Pour les fournisseurs de commerce électronique en particulier, une telle interruption peut entraîner d'énormes pertes financières et nuire durablement à leur image.

Les tests de compatibilité font donc perdre beaucoup de temps et d'argent, ce qui n'incite pas les développeurs de thèmes à être proactifs et explique leur comportement parfois réactif. Comme le blogueur écossais Kevin Muldoon note que les marchés ne favorisent pas non plus les tests de mise à jour réguliers et spontanés. Selon M. Muldoon, par exemple, les fournisseurs pourraient travailler avec des programmes de confiance. En fin de compte, c'est à chaque fabricant de thèmes de décider de la stratégie de mise à jour à utiliser. Et, bien sûr, il ne faut pas oublier qu'il y a des Themes produits haut de gamme dont le soutien a été complètement interrompu.

Solutions possibles : Mises à jour des primes également pour les utilisateurs et nouvelles normes de qualité

Muldoon suggère dans son article de blog une option de mise à jour optionnelle pour theme-interne Plugins en WordPress soi. L'utilisateur peut alors mettre Plugin à jour la version la plus récente immédiatement après la publication de la mise à jour, mais il assume également la responsabilité d'éventuelles incompatibilités avec la version sélectionnée de Theme. La saisie de la clé de licence ne serait nécessaire que lors de l'activation de la Plugins mise à jour, les mises à jour pourraient également être effectuées sans licence. L'utilisateur serait également informé des nouvelles mises à jour particulièrement importantes directement dans WordPress . Cela permettrait d'éliminer l'étape intermédiaire consistant à informer les clients sur les fabricants ou les marchés thématiques.

Les programmes d'incitation mentionnés par Muldoon pourraient également être une solution s'ils établissent la politique de mise à jour proactive des fabricants de thèmes comme un nouvel aspect important de la sécurité. Par exemple, des tests de compatibilité réguliers pourraient devenir un critère de qualité tout à fait nouveau pour ceux qui les financentThemes .

Conclusion : l'utilisateur est demandé

Dans tous les cas, cependant, l'utilisateur est appelé à faire face à ce problème : il faut être conscient que les bundlesPlugins peuvent représenter un problème de sécurité et trouver une solution de contournement possible. Par exemple, le propriétaire d'un site web peut acheter Themes lui-même les licences des logiciels correspondants ou faire appel à un hébergeur pour effectuer les mises à jour correspondantes [5].

Même lors du choix de la prime Themes elle-même, certains aspects importants de la sécurité peuvent être pris en compte. Si vous connaissez la politique de mise à jour du fabricant du thème et des thèmes utilisésPlugins, vous pouvez généralement déjà Themes donner une estimation solide de la vulnérabilité du thème.

Ici aussi, il n'existe pas de certitude à 100 %. Toutefois, le risque peut être considérablement réduit par une sélection consciente.

Ce fait montre très bien comment les avantages et les inconvénients de la construction modulaire sont WordPress liés. Comme ce domaine est vaste et varié, nous attendons avec impatience vos commentaires à ce stade : avez-vous déjà eu des problèmes avec les PremiumThemes, les mises à jour de plugins ou autres ? Faites-nous savoir et aidez la communauté à se préparer encore mieux à l'éventualité d'une urgence.

Liens

1] : Explication des failles de sécurité dans la révolution des Plugin glissières : https://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html

2] : Explication des lacunes en matière de sécurité dans le Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

3] : Ce point est également souligné par des fournisseurs tels qu'Envato dans leurs informations clients sur les lacunes en matière de sécurité : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

4] : Le blogueur écossais Kevin Muldoon a écrit un article détaillé sur cette question et a commenté l'approche d'Envato ainsi que la demande d'une fonction de mise à jour automatique pour les bundlesPlugins : hpluginsttp://www.kevinmuldoon.com/packaged-wordpress- -automatic-updates/

5] : Un processus de mise à jour efficace et rapide peut être mis en place, en particulier si les concepteurs de sites web travaillent en étroite collaboration avec les hébergeurs respectifs, c'est-à-dire s'ils disposent des informations nécessaires pour la mise à jour des plugins.

RAIDBOXER de la première heure et chef du soutien. Aux Bar- et WordCamps, il aime parler de la vitesse des pages et des performances des sites web. La meilleure façon de le soudoyer est de lui offrir un espresso - ou un bretzel bavarois.

Articles connexes

Commentaires sur cet article

Ecrire un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués par * .