Attention aux plugins inclus dans les thèmes premium !

Le 27 août dernier, un ami a été victime d'un piratage sur son site e-commerce. Autant vous dire que c'est rapidement la panique quand vous voyez le matin votre page d'accueil modifiée en ça :

Page d'accueil défacée

Page d'accueil défacée

Comment ça arrive ?

Fabrice, l'ami en question, avait pourtant bien mis à jours WordPress, son thème premium et ses plugins, tous ! Il m'a alors dit qu'il ne comprenait pas comment cela peut être possible !

Et bien ne pensez pas que le fait d'être à jour suffit à ne pas avoir de failles, une fois 100% à jour, vous ne serez pas victime de failles connues, MAIS les failles non connues sont pourtant déjà présentes, il faut attendre qu'une personne les découvre, en informe l'auteur (de WordPress, du plugin, du thème), qu'il corrige, et que vous vous teniez à jour.

Mais il existe une catégorie de personnes qui, une fois une faille découverte, ne vont rien dire et tenter de profiter de ces failles pour vous pirater.

Il existe encore un autre problème, c'est celui du titre : les plugins inclus dans les thèmes premium !

Pourquoi donc ?

Certains thèmes premium mettent en avant le fait qu'il vous offre en plus, inclus dans le thème, le plugin Machin v2.0 qui coûte alors $19, vous faites une économie !

C'est faux, ou partiellement vrai. Le plugin n'est pas offert, UNE version du plugin l'est. Les mises à jours sont à votre charge, à vous d'acheter ce plugin premium inclus.

Si vous en le faites pas, vous ne serez pas à jour et vous exposerez alors à des possibles failles de sécurité.

Je suis à jour !

Fabrice m'a dit "Je suis à jour !" sauf que le plugin inclus lui, n'indique pas qu'une mise à jour est disponible ... Fabrice avait alors acheté ce plugin, mais il n'a pas trouvé utile de remplacer la version incluse par celle acheté. Logique, c'est la même !

Non, celle achetée contient le code qui indique qu'une mise à jour est disponible ... Le site s'est alors retrouvé 1 mois avec une faille connue.

Comptez qu'au moins une fois par mois les hackers lancent leurs robots sur un nombre incommensurable de site WordPress dans le but d'exploiter les dernières failles découvertes.

Je vous invite d'ailleurs à suivre le compte twitter @SecuPress pour être informé de ces nouvelles vulnérabilités de plugins et thèmes.

Comment ça marche cette faille ?

Je ne vais pas donner trop de détails, le but n'est pas d'apprendre à hacker des sites, mon métier est de protéger les sites, je hais qu'on puisse gratuitement saboter le travail des autres ...

Le plugin responsable de ce hack est "Revolution Slider" (je ne mets pas de lien volontairement) connu pour contenir la faille "File Download" depuis le 29 juillet 2014.

La faille permet de cibler un fichier de l'installation et de le télécharger tout en étant un simple visiteur. Le hacker a alors ciblé le fichier wp-config.php.

La suite est sur l'article chez Fabrice : Piraté à l'insu de mon plein grè.

Que faire alors !

Il est important de savoir que les plugins premium inclus dans les thèmes premium ne sont qu'une version figée et ne vous permettent pas de les mettre à jour, ça serait trop facile !

Si vous utilisez ce plugin, alors achetez le de suite afin de vous protéger en cas de faille découverte.

Marie-Aude en parle aussi sur son blog : ThemeForest : mettez Revolution Slider à jour vers la 4.5.9 et vérifiez vos plugins !

Et que faire après un piratage, c'est une longue réponse et un long travail. Fabrice avait déjà commencé le travail mais a préféré faire appel à un professionnel (moi !) afin de dormir sur ses 2 oreilles, et s'assurer que les étapes auront été bien suivies.

Action/Réaction

Envato a réagit et a désactivé tous les thèmes ne proposant pas la dernières version du plugin Revolution Slider. Lisez leur article si vous pensez avoir un thème contenant ce plugin.

A vous !

Vérifiez de suite que vous n'avez pas RevSlider ou Revolution Slider dans votre site, et si vous avez des plugins premium "gratuits", achetez les ou ne les utilisez qu'à vos risques et périls.