Plugin Security Checker : N’utilisez pas de plugins vulnérables

banner-772x250
Plugin Security Checker

C'est quoi ?

Plugin Security Checker est la suite logique de mon premier plugin nommé "WordPress Plugin Security Checker", cette extension vous permettait de savoir si les autres plugins installés - activés ou non - étaient connus pour être sécurisés ou si ils contenaient des failles de sécurité. Le problème est que seule une liste d'extensions que j'avais auditées pouvaient être testée. Le plugin avait besoin d'une clé API car des appels AJAX étaient faits sur demande sur le site, bref, mon premier plugin quoi.

Ici, pour la 2.0 je suis reparti de zéro, de la réflexion à la conclusion du plugin. Fini la clé API, fini les appels AJAX, fini de se baser que sur un maigre liste de quelques 10aines de plugins. Aujourd'hui je vérifie plus de 10400 plugins, qu'ils aient été supprimés de la page officielle des plugins WordPress (la plupart du temps pour cause de faille web, mais aussi parfois pour des problèmes de licences), ou qu'ils soient connus pour contenir des failles et ce grâce à ma veille sécurité personnelle.

C'est grave si mes plugins contiennent des failles de sécurité ?

Beaucoup plus que vous ne le pensez. Vous pourriez avoir sécurisé au mieux votre serveur, la simple installation d'une extension vulnérable mets votre site à genoux ...

Alors comment ça marche ?

Installez le plugin, visitez la page d'administration qui liste les plugins. Terminé. Une notice vous informe si des plugins ont été reconnus comme supprimés ou à patcher.

C'est payant ? Il y a des mises à jour prévues ?

L'extension et son utilisation sont gratuites, et il est prévu une mise à jour par mois afin de se tenir rapidement au courant. Suivez @SecuPress sur twitter pour être informé en temps réel des extensions reconnues vulnérables.

Share!

Commentaires

  1. Sympa ! Téléchargé et installé, apparemment tout va bien sur mon site. Une petite remarque cependant : maintenant que je sais que tout va bien, j’aimerais bien cliquer sur un bouton « Dismiss », et ne plus entendre parler du plugin jusqu’à ce que j’installe un plugin dangereux.
    Etant donné que le nag ne disparait pas, j’ai envie de le désactiver.

    Qu’est ce que tu en penses ?

    • Hello Hervé, merci d’être le premier commentateur sur le blog SecuPress ;)
      Je pense que, puisque le nag n’apparaît que sur la page des plugins, et qu’il est là car il vient de vérifier le tout (hook load-plugins.php), je préfère le laisser. Sachant qu’il est possible d’activer un plugin sans forcément passer par le hook « activated_plugin » (via DB en dur, j’ai déjà vu …) je ne peux pas être certain de ré-afficher le nag au bon moment.
      Mais vraiment il te gène même s’il n’est que sur la page des plugins !?
      Merci en tout cas
    • Je viens de comprendre, la notice se trouvait que toutes les pages des plugins car je vérifiais [php]$pagenow==’plugins.php’[/php] et donc toutes les pages de settings des autres plugins étaient valides … J’ai maintenant ajouté un [php]!isset( $_GET['page'] )[/php] ;)
      Merci à toi, c’est mieux ainsi et c’est comme ça que je le voulais :D hihi
  2. Bonjour,

    J’ai testé et … j’ai un message avec une croix rouge donc j’imagine pas bien bon qui m’indique que WP-Lightbox a été supprimé du repository officiel … ça ne me parle pas bien j’avoue, car je ne sais pas en fait ce qu’est un repository …

    Merci de me faire peur :) :)

    • Hello, je viens de modifier « repository » en « page officielle des plugins WordPress », c’est à dire ce lien : http://wordpress.org/plugins/
      Si ton plugin a été supprimé, il y a de fortes chances qu’il contiennent des failles et que son auteur ne corrigeait pas, je ne peux que te conseiller de trouver un substitue !
      A bientôt !
  3. Un plugin gratuit qui améliore la sécurité de son blog et évite de se faire trouer, c’est très bon à prendre. Je n’ai encore jamais eu de problème de ce genre sur mes blogs, mais je préfère prévenir que guérir :-)

    Merci !

  4. Superbe plugin Julio ! Je vais tester cela sur plusieurs dizaines de sites pour voir s’il y a éventuellement des trous de sécurité. Du très bon boulot une nouvelle fois.

    En terme de sécurité WordPress, que recommandes-tu au minimum d’installer pour avoir un site tournant sur WordPress sécurisé un minimum : faille CRSF, WP-Login, etc

    • Bientôt je vous sort un plugin maison qui va justement vous donner un max de points à vérifier pour que l’installation WP, PHP, SQL soit un minimum secure, sinon tu peux déjà regarder les autres plugins ici ;)
  5. Ravi de lire que tu continues le dév de ton extension: je garde un très bon souvenir des premières versions. Je vais envisager de faire un article de mon côté pour t’encourager dans ton travail :)
  6. hello, merci pour ce plugin qui peut être vraiment utile. Je viens de l’installer, nickel. Mais j’ai un « bug » et une question :) :
    le plugin « Dagon design Sitemap generator » semble poser un problème recensé via ton plugin.
    1) j’ai un message qui me dit :
    « Plugin Security Checker: Alerte Sécurité !
    Sitemap Generator (dossier « sitemap-generator ») a été supprimé du repository officiel. Lire » »
    Le lien « Lire >> » ne fonctionne pas, donc je ne peux pas en savoir plus.
    2) Le plugin en question génère des plans de site en auto vachement bien, il est paramétrable, en français et tout… si il pose un problème, tu confirmes qu’il est réel ? si oui, en as tu un autre à recommander du genre ? Si il en existe pas d’autre (à ma connaissance, non) s’en est un à développer pour pourrait bien rendre service ! avis aux amateurs ;)

    merci d’avance.

  7. Vraiment sympa comme plugin Julio, je viens tout juste de le mettre en place sur mes sites importants, pour les autres je verrais petit à petit. Je viens justement de voir que le plugin « Antivirus » que j’avais installé sur un site avait une faille… je l’ai simplement remplacé par Wordfence que je trouve bien plus efficace.
    • Hello
      Merci à toi, content que tu utilises un second plugin dont je suis l’auteur ;)
      Et oui, Antivirus a beau être un plugin de sécurité, il n’est pas à l’abris lui même d’ouvrir une faille :/
      Je connais WordFence et je le trouve aussi très bien surtout en version full, bien mieux que Better WP Security qu’il faut éviter.
      A bientôt
  8. Bonjour.

    Sur un site j’ai ce message  » Newsletter Pro (dossier « newsletter-pro ») a été supprimé du repository officiel. » et me demande bien comment le supprimer.

    J’utilise http://www.satollo.net/plugins/newsletter.

    Philippe

    • Bonjour

      La coïncidence veut que ce plugin utilise le même nom de dossier (qui sert d’identifiant unique) que celui du repository officiel.
      Donc votre plugin n’est pas « connu », je ne peux pas vous dire s’il est OK ou pas, mais votre message est donc un faux positif.
      Bonne journée

    • Si mes souvenirs sont bons, c’est parce qu’il portait ce nom qu’il a été retiré, à la demande de Satollo.
  9. Bon rien à signaler chez moi ! :)

    Dixit le gars qui découvre le plugin que maintenant !

  10. Bonjour,

    Merci pour cette « remise à jour » de WordPress Plugin Security Checker :)

    À tester sur une structure WP hors ligne pour voir.

    Bonne continuation :)

  11. Raftou a écrit:
    Bonjour,

    Avez une réponse du pourquoi le plugin « Security Checker » indique WPML (multilingues) comme dossier « sitepress-multilingual-cms ») a été supprimé du repository officiel …

    Je travail avec la dernière version de WPML : 3.0.2-a et la dernière version de WP.

    Ce plugin est pourtant une valeur sur pour la traduction de site …

    Merci part avance pour votre retour.

    Raphael

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser le tag [php][/php] pour ajouter quelques lignes de PHP, si c'est un pavé, merci d'utiliser service comme pastebin.com.