Pourquoi WordPress Premium-Themes est un risque pour la sécurité

Jan Hornung Dernière mise à jour le 23.01.2020
5 Min.
N02 Premium Themes

La pratique courante consistant à intégrer Plugins dans Premium Themes peut exposer votre site WordPress à un risque de sécurité majeur. Cependant, le problème est difficilement évitable à l'heure actuelle - c'est à l'utilisateur de décider.

En 2014 et 2015, des failles de sécurité massives ont été découvertes dans deux des sites Plugins les plus populaires de tous les temps : Slider Revolution [1] (vendu près de 75 000 fois sur Envato ), et le Visual Composer [2] (vendus près de 100 000 fois sur Envato) ont été touchés. Cependant, les vulnérabilités elles-mêmes n'étaient pas le problème principal. Les développeurs ont réagi rapidement et ont fourni des mises à jour appropriées. Mais pour certains clients de Premium Themes, qui utilisent les deux Plugins dans le cadre de ce qu'on appelle les Plugin bundles, c'est-à-dire des constellations de plugins intégrées par défaut dans le Themes , cette mesure était inutile. Ces lacunes en matière de sécurité les ont longtemps empêchés de passer à travers les mailles du filet. Car tous les sites Themes ne permettent pas une mise à jour automatique dans tous les cas.

Double dépendance des utilisateurs

Les utilisateurs de Premium Themes sont dépendants de deux parties pour les mises à jour de plugins liées à la sécurité : le Plugin- et les fabricants de thèmes. Il peut donc arriver que le fabricant du plugin réagisse rapidement et comble la faille de sécurité, mais le Theme ne met pas automatiquement en œuvre ces changements. En effet, les mises à jour des plugins ne sont pas toujours facilement compatibles avec le reste d'un Themes . L'interaction du site Themes premium avec la nouvelle version du plugin doit généralement être testée au préalable. La vitesse de réaction des fabricants de thèmes est donc l'élément essentiel du processus de mise à jour et détermine la durée pendant laquelle les utilisateurs doivent vivre avec des failles de sécurité[3].

Mais : les offres groupées sont également problématiques pour les fournisseurs eux-mêmes

Dans la pratique, cette responsabilité est également une charge pour les fabricants de thèmes. D'une part, ils doivent informer leurs clients sur les lacunes en matière de sécurité et leur importance. Dans le cas de Visual Composer, le fournisseur du marché Envato et le fabricant de plugins wpbackery ont réagi de manière exemplaire : Tous les clients ont été contactés par courrier et il leur a été recommandé de mettre à jour leurs données à leurs propres risques[4]. D'autre part, le fabricant doit spontanément tester la compatibilité du Premium Themes avec la nouvelle version du plugin, éventuellement l'établir en premier ou même développer une solution provisoire et la mettre à la disposition des clients.

Le fait de lier ces bouquets de plugins pose donc des problèmes aux fournisseurs et aux clients. Toutefois, comme le principe du faisceau présente de nombreux avantages, tels que l'intégration rapide de fonctions supplémentaires compliquées et un fonctionnement pratique pour le client, le problème persistera probablement pendant un certain temps. Il est donc important que les exploitants de sites soient conscients de ce danger et sachent comment y faire face.

Malgré une réaction exemplaire : l'action réactive des fabricants ne résout pas le problème

Même si Envato et wpbakery ont réagi rapidement dans le cas de Visual Composer, l'affaire montre encore les limites de la stratégie réactive et montre clairement que la pratique existante accepte activement les vulnérabilités de sécurité. Le comportement réactif des fabricants de thèmes et des fournisseurs de marchés - aussi bien coordonnés soient-ils - n'assure pas nécessairement un niveau élevé de sécurité et de fonctionnalité. En effet, les messages électroniques peuvent se retrouver dans des filtres antispam, les messages des médias sociaux peuvent être ignorés et les messages in-app peuvent être perdus. Ainsi, il existe un risque inutile pour les opérateurs de sites d'avoir un Plugin peu sûr en fonctionnement pendant une période plus longue.

Cependant, l'approche réactive des fabricants recèle un second danger. À savoir, si l'opérateur du site n'est pas le titulaire de la licence de la prime Themes . Il s'agit d'une constellation assez courante, par exemple dans le cas de travaux commandés par des concepteurs de sites web. Si le concepteur et le propriétaire du site ne sont pas en contact, il peut même arriver que les personnes concernées ne découvrent pas la faille de sécurité. Cette pratique produit des masses de sites web dont les propriétaires et les administrateurs n'ont pas accès aux mises à jour internes de theme. Même les sites entretenus par des professionnels peuvent donc utiliser le site Plugins , obsolète et vulnérable.

Ainsi, une approche réactive des fabricants de thèmes et des fournisseurs de marchés ignore une part importante de la réalité de la conception de sites web.

L'approche proactive est coûteuse

La question se pose maintenant de savoir pourquoi l'offre groupée Plugin n'est pas toujours mise à jour automatiquement. La réponse réside dans la complexité de la prime Themes. Les développeurs ont conçu Themes avec de nombreuses fonctions supplémentaires, telles que des interfaces d'édition visuelle, des curseurs, des champs de formulaire, etc. Jusqu'à ce que le site premium Theme soit mis en place et fonctionne correctement, des dizaines de séries de tests doivent être réalisées. Il en va de même pour les mises à jour du site Plugins: chaque nouvelle version peut mettre en danger la fonctionnalité globale du site Themes et, dans le pire des cas, rendre l'ensemble du site inutilisable. Pour les fournisseurs de commerce électronique en particulier, une telle interruption peut se traduire par d'énormes pertes financières et des dommages durables à leur image.

Les tests de compatibilité consomment donc beaucoup de temps et d'argent, ce qui prive les développeurs de thèmes de l'incitation à être proactifs et explique leur comportement parfois réactif. Comme le fait remarquer le blogueur écossais Kevin Muldoon, les marchés n'encouragent pas non plus les tests de mise à jour réguliers et aléatoires. Par exemple, les vendeurs pourraient travailler avec des programmes de confiance, dit M. Muldoon. En fin de compte, c'est à chaque vendeur de thème de décider de la stratégie de mise à jour à suivre. Et bien sûr, il ne faut pas oublier qu'il existe le site premium Themes dont le soutien a été complètement supprimé.

Solutions possibles : Mises à jour Premium également pour les utilisateurs et nouvelles normes de qualité

Dans son article de blog, M. Muldoon suggère une option de mise à jour facultative pour theme-interne Plugins en WordPress même. L'utilisateur peut alors mettre à jour la version Plugin correspondante directement après la publication de la mise à jour, mais il assume également la responsabilité d'éventuelles incompatibilités avec la version Theme sélectionnée. La saisie de la clé de licence ne serait nécessaire que lors de l'activation de Plugins , les mises à jour pourraient également être effectuées sans licence. L'utilisateur serait également informé des nouvelles mises à jour particulièrement importantes directement sur le site WordPress . L'étape intermédiaire via les fabricants de thèmes ou les marchés, qui doivent d'abord informer leurs clients, serait ainsi éliminée.

Les programmes d'incitation mentionnés par Muldoon pourraient également être une solution s'ils établissent la politique de mise à jour proactive des fabricants de thèmes comme un nouvel aspect important de la sécurité. Ainsi, des tests de compatibilité réguliers pourraient devenir un critère de qualité tout à fait nouveau du Themes payant.

Conclusion : l'utilisateur est demandé

Dans tous les cas, cependant, ce problème est du ressort de l'utilisateur : il faut être conscient que le bundlePlugins peut représenter un problème de sécurité et trouver une solution de contournement possible. Par exemple, le propriétaire d'un site web peut acheter lui-même des licences pour le site Themes correspondant ou s'en remettre à un hébergeur qui effectue les mises à jour correspondantes [5].

Même lors de la sélection de la prime Themes elle-même, certains aspects de sécurité importants peuvent être pris en compte. Si vous connaissez la politique de mise à jour du fabricant du thème et le Plugins utilisé, vous pouvez généralement déjà donner une estimation solide de la vulnérabilité du Themes .

Ici aussi, il n'existe pas de certitude à 100 %. Toutefois, le risque peut être considérablement réduit par une sélection consciente.

Cette situation montre très bien comment les avantages et les inconvénients de la structure modulaire de WordPress sont liés. Comme ce domaine est vaste et varié, nous attendons vos commentaires : avez-vous déjà eu des problèmes avec Premium Themes, les mises à jour de plugins ou autres ? Faites-nous savoir et aidez la communauté à être mieux préparée en cas d'urgence.

Liens

1] : Explication des vulnérabilités de sécurité du Plugin Slider Revolution : https://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html

[2] : Explication des vulnérabilités de sécurité sur Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

3] : Cela est également souligné par des fournisseurs comme Envato dans leurs notes clients sur les vulnérabilités de sécurité correspondantes : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494.

4] : Le blogueur écossais Kevin Muldoon a écrit un article détaillé sur ce problème et a commenté l'approche d'Envato, tout en demandant une fonction de mise à jour automatique pour le bundle-Plugins : http://www.kevinmuldoon.com/packaged-wordpress-plugins-automatic-updates/.

5] : Un processus de mise à jour efficace et rapide peut être mis en place, en particulier si les concepteurs de sites web travaillent en étroite collaboration avec les hébergeurs respectifs, c'est-à-dire s'ils disposent des informations nécessaires pour la mise à jour des plugins.

RAIDBOXER depuis le début et chef du soutien. Aux Bar- et WordCamps, il aime parler de la vitesse des pages et des performances des sites web. La meilleure façon de le soudoyer est de lui offrir un espresso - ou un bretzel bavarois.

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.