Plugin Security Checker : N’utilisez pas de plugins vulnérables

banner-772x250
Plugin Security Checker

C'est quoi ?

Plugin Security Checker est la suite logique de mon premier plugin nommé "WordPress Plugin Security Checker", cette extension vous permettait de savoir si les autres plugins installés - activés ou non - étaient connus pour être sécurisés ou si ils contenaient des failles de sécurité. Le problème est que seule une liste d'extensions que j'avais auditées pouvaient être testée. Le plugin avait besoin d'une clé API car des appels AJAX étaient faits sur demande sur le site, bref, mon premier plugin quoi.

Ici, pour la 2.0 je suis reparti de zéro, de la réflexion à la conclusion du plugin. Fini la clé API, fini les appels AJAX, fini de se baser que sur un maigre liste de quelques 10aines de plugins. Aujourd'hui je vérifie plus de 10400 plugins, qu'ils aient été supprimés de la page officielle des plugins WordPress (la plupart du temps pour cause de faille web, mais aussi parfois pour des problèmes de licences), ou qu'ils soient connus pour contenir des failles et ce grâce à ma veille sécurité personnelle.

C'est grave si mes plugins contiennent des failles de sécurité ?

Beaucoup plus que vous ne le pensez. Vous pourriez avoir sécurisé au mieux votre serveur, la simple installation d'une extension vulnérable mets votre site à genoux ...

Alors comment ça marche ?

Installez le plugin, visitez la page d'administration qui liste les plugins. Terminé. Une notice vous informe si des plugins ont été reconnus comme supprimés ou à patcher.

C'est payant ? Il y a des mises à jour prévues ?

L'extension et son utilisation sont gratuites, et il est prévu une mise à jour par mois afin de se tenir rapidement au courant. Suivez @SecuPress sur twitter pour être informé en temps réel des extensions reconnues vulnérables.

Share!

Commentaires

  1. Jeremy dit :
    Sympa ! Téléchargé et installé, apparemment tout va bien sur mon site. Une petite remarque cependant : maintenant que je sais que tout va bien, j’aimerais bien cliquer sur un bouton « Dismiss », et ne plus entendre parler du plugin jusqu’à ce que j’installe un plugin dangereux.
    Etant donné que le nag ne disparait pas, j’ai envie de le désactiver.

    Qu’est ce que tu en penses ?

    • Julio Potier dit :
      Hello Hervé, merci d’être le premier commentateur sur le blog SecuPress ;)
      Je pense que, puisque le nag n’apparaît que sur la page des plugins, et qu’il est là car il vient de vérifier le tout (hook load-plugins.php), je préfère le laisser. Sachant qu’il est possible d’activer un plugin sans forcément passer par le hook « activated_plugin » (via DB en dur, j’ai déjà vu …) je ne peux pas être certain de ré-afficher le nag au bon moment.
      Mais vraiment il te gène même s’il n’est que sur la page des plugins !?
      Merci en tout cas
    • Julio Potier dit :
      Je viens de comprendre, la notice se trouvait que toutes les pages des plugins car je vérifiais [php]$pagenow==’plugins.php’[/php] et donc toutes les pages de settings des autres plugins étaient valides … J’ai maintenant ajouté un [php]!isset( $_GET['page'] )[/php] ;)
      Merci à toi, c’est mieux ainsi et c’est comme ça que je le voulais :D hihi
  2. Anne from comprendre mon blog dit :
    Bonjour,

    J’ai testé et … j’ai un message avec une croix rouge donc j’imagine pas bien bon qui m’indique que WP-Lightbox a été supprimé du repository officiel … ça ne me parle pas bien j’avoue, car je ne sais pas en fait ce qu’est un repository …

    Merci de me faire peur :) :)

    • Julio Potier dit :
      Hello, je viens de modifier « repository » en « page officielle des plugins WordPress », c’est à dire ce lien : http://wordpress.org/plugins/
      Si ton plugin a été supprimé, il y a de fortes chances qu’il contiennent des failles et que son auteur ne corrigeait pas, je ne peux que te conseiller de trouver un substitue !
      A bientôt !
  3. Grégory from Bloguer facile dit :
    Un plugin gratuit qui améliore la sécurité de son blog et évite de se faire trouer, c’est très bon à prendre. Je n’ai encore jamais eu de problème de ce genre sur mes blogs, mais je préfère prévenir que guérir :-)

    Merci !

  4. Marian DENYS dit :
    Superbe plugin Julio ! Je vais tester cela sur plusieurs dizaines de sites pour voir s’il y a éventuellement des trous de sécurité. Du très bon boulot une nouvelle fois.

    En terme de sécurité WordPress, que recommandes-tu au minimum d’installer pour avoir un site tournant sur WordPress sécurisé un minimum : faille CRSF, WP-Login, etc

    • Julio Potier dit :
      Bientôt je vous sort un plugin maison qui va justement vous donner un max de points à vérifier pour que l’installation WP, PHP, SQL soit un minimum secure, sinon tu peux déjà regarder les autres plugins ici ;)
  5. Geekndev dit :
    Ravi de lire que tu continues le dév de ton extension: je garde un très bon souvenir des premières versions. Je vais envisager de faire un article de mon côté pour t’encourager dans ton travail :)
  6. Luc dit :
    hello, merci pour ce plugin qui peut être vraiment utile. Je viens de l’installer, nickel. Mais j’ai un « bug » et une question :) :
    le plugin « Dagon design Sitemap generator » semble poser un problème recensé via ton plugin.
    1) j’ai un message qui me dit :
    « Plugin Security Checker: Alerte Sécurité !
    Sitemap Generator (dossier « sitemap-generator ») a été supprimé du repository officiel. Lire » »
    Le lien « Lire >> » ne fonctionne pas, donc je ne peux pas en savoir plus.
    2) Le plugin en question génère des plans de site en auto vachement bien, il est paramétrable, en français et tout… si il pose un problème, tu confirmes qu’il est réel ? si oui, en as tu un autre à recommander du genre ? Si il en existe pas d’autre (à ma connaissance, non) s’en est un à développer pour pourrait bien rendre service ! avis aux amateurs ;)

    merci d’avance.

  7. Vraiment sympa comme plugin Julio, je viens tout juste de le mettre en place sur mes sites importants, pour les autres je verrais petit à petit. Je viens justement de voir que le plugin « Antivirus » que j’avais installé sur un site avait une faille… je l’ai simplement remplacé par Wordfence que je trouve bien plus efficace.
    • Julio Potier dit :
      Hello
      Merci à toi, content que tu utilises un second plugin dont je suis l’auteur ;)
      Et oui, Antivirus a beau être un plugin de sécurité, il n’est pas à l’abris lui même d’ouvrir une faille :/
      Je connais WordFence et je le trouve aussi très bien surtout en version full, bien mieux que Better WP Security qu’il faut éviter.
      A bientôt
  8. Philippe dit :
    Bonjour.

    Sur un site j’ai ce message  » Newsletter Pro (dossier « newsletter-pro ») a été supprimé du repository officiel. » et me demande bien comment le supprimer.

    J’utilise http://www.satollo.net/plugins/newsletter.

    Philippe

    • Julio Potier dit :
      Bonjour

      La coïncidence veut que ce plugin utilise le même nom de dossier (qui sert d’identifiant unique) que celui du repository officiel.
      Donc votre plugin n’est pas « connu », je ne peux pas vous dire s’il est OK ou pas, mais votre message est donc un faux positif.
      Bonne journée

    • Philippe dit :
      Si mes souvenirs sont bons, c’est parce qu’il portait ce nom qu’il a été retiré, à la demande de Satollo.
  9. Bon rien à signaler chez moi ! :)

    Dixit le gars qui découvre le plugin que maintenant !

  10. from simpliweb dit :
    Bonjour,

    Merci pour cette « remise à jour » de WordPress Plugin Security Checker :)

    À tester sur une structure WP hors ligne pour voir.

    Bonne continuation :)

  11. Raftou dit :
    Bonjour,

    Avez une réponse du pourquoi le plugin « Security Checker » indique WPML (multilingues) comme dossier « sitepress-multilingual-cms ») a été supprimé du repository officiel …

    Je travail avec la dernière version de WPML : 3.0.2-a et la dernière version de WP.

    Ce plugin est pourtant une valeur sur pour la traduction de site …

    Merci part avance pour votre retour.

    Raphael

  12. Hervé dit :
    Bonjour,
    Bon je ne sais pas si ce fil est toujours suivi par son auteur (et maj tous les mois ;-)
    En tous les cas, j’ai le message
    « Plugin Security Checker: Alerte Sécurité !

    Buddypress Verified (dossier « buddypress-verified ») a été supprimé du repository officiel »

    manifestement il est tjs dans le repository. Je ne sais pas si cela suffit pour dire qu’il est relativement sûr ??
    En tous les cas une maj permettant de masquer les faux positifs serait la bienvenue
    a+

    • Julio Potier dit :
      Hello, je vais refaire une nouvelle version qui tiendra encore mieux à jour les plugins vulnérables plus facilement et plus rapidement. Aussi, je ferais un check pour être certain que le plugin n’a pas été réactivé entre 2. Cela évitera les faux positifs.
      Merci de ton retour et désolé du temps de réponse !
  13. Oli dit :
    Bonjour !

    Ça me fait plaisir de trouver ce plugin, il fait écho à une discussion que j’avais commencée il y a deux ans dans les forums wordpress, même en relançant les modos là-dessus, ça n’avance pas dans wordpress lui-même. Enfin, ils en discutent en interne paraîtrait-il, on s’en rapproche, mais voilà, le risque système, lui, il demeure.
    La discu : http://wordpress.org/support/topic/negative-although-honest-feedback-wordpress-still-generates-systemwide-risk

    Bon, en fait, ouvre les simples mercis, je passais pour apporter mes 2 cents, en signalant une grammaire anglaise très défaillante dans la description du plugin qui se charge quand on cherche « plugin security checker » dans la page d’ajout de plugin wordpress (URL : wp-admin/plugin-install.php?tab=search&s=plugin+security+checker&plugin-search-input=Search+Plugins )

    Cela dit :
    « This plugin will warn you if you’re using or installing a knew as vulnerable extension or removed from official repository, a security must have plugin!
    This uncludes a list of a maximum knew plugins to be vulnerable to any web security flaw, and also a list of more than 10.4k plugins removed from repo.
    Just install it, it’s done, you’re warned in live! By juliobox. »

    Alors :
    – knew =! known (x2)
    – uncludes =! includes
    – warned in live! : ah bon, il ne faut pas charger la page de plugins ? Cool. Mais « warned in live » ne se dit pas pour autant ;)

    C’est dommage, cela risque de saper la confiance que l’on pourrait avoir dans le plugin, on risque de se dire « oulah, c’est pas un plugin sérieux, là ».

    Une tentative maison de reformuler ça, tenez :
    « This plugin will warn you if you’re using or installing an extension that is known to be vulnerable or that has been removed from the official repository, which makes it a must have security plugin !
    This includes an extensive list of the plugins known for being compromised or potentially vulnerable, and also a list of more than 10 400 plugins removed from the repository for the aforementioned reasons.
    Just install it, it’s done, you’re warned in real time ! By juliobox. »

    Voilà, bonne journée !

    (PS : ça serait bien, une fonction de notification de réponse à un commentaire qu’on a laissé, une petite case à cocher.)

    • Julio Potier dit :
      Merci pour ces corrections.
      « C’est dommage, cela risque de saper la confiance que l’on pourrait avoir dans le plugin, on risque de se dire « oulah, c’est pas un plugin sérieux, là ». »
      Tu sais, ce plugin est gratuit, si les gens n’ont pas confiance car un FR a mal traduit, il ne le mettent pas et basta.
    • Oli dit :
      (Tiens, il n’y a pas de fonction répondre à ton commentaire O_o)

      « Tu sais, ce plugin est gratuit, si les gens n’ont pas confiance car un FR a mal traduit, il ne le mettent pas et basta. »

      Je sais, mais c’est bien dommage, si tant d’heures de travail, d’efforts et de dévouement sont sapées pour trois fois rien. Comment dire, ça me donne une sensation de gâchis, de tristesse, quoi.

    • Julio Potier dit :
      Je ne gagne de toutes façons rien avec, on est bien d’accord ? Je ne peut que me ficher des personnes qui ne l’utilisent pas à cause d’une description approximative.
      ps : oui il n’y a pas nativement de bouton répondre dans le dernier niveau les commentaires imbriqués. Je vais rajouter le code pour le faire, comme sur boiteaweb.fr.
  14. Poudanet dit :
    Salut et un grand merci pour ton travail.

    J’ai cette alerte:
    Plugin Security Checker: Alerte Sécurité !

    Events Calendar Pro (dossier « events-calendar-pro ») a été supprimé du repository officiel. Lire »

    J’ai quelque chose a faire?

    Merci.

  15. Julio Potier dit :
    Non, c’est un faux positif, il a été retiré car il n’est plus dispo en gratuit. Je ne dis pas qu’il est sécure, mais juste que cette alerte n’est pas là au bon moment ;)
    merci
  16. Julio Potier dit :
    ha mince, le plugin va bientot recevoir une refonte, ça sera corrigé merci et désolé ! (ps : passez en WP_DEBUG à FALSE en prod)
  17. Julio Potier dit :
    Avant noel la MAJ ;)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>