Les extensions WordPress sont nombreuses, nous en comptant plus de onze mille et cela ne cesse de progresser. Cependant, certaines d’entres elles comportent des failles, de la plus terrible à la plus minimum. Le risque zéro étant une grande blague il est donc difficile de maintenir un blog sécurisé, si vous installez des extensions WordPress. À l’aide de Julio de Boiteaweb et ce nouveau partenariat, nous allons essayer de vous présenter des extensions sécurisées ! Nous comptons, dès aujourd’hui, plus de quatre cents (400) extensions WordPress présentés sur ce blog et nous souhaitons maintenant maintenir à jour notre catalogue et vous prévenir des possibles risques. Cela aide également la communauté anglophone, puisque les extensions sont alors misent à jour, corrigeant la faille.
La sécurisation des extensions est un excellent moyen, pour le moment, d’aider la communauté WordPress à mieux se protéger des extensions contenant des failles. Pour cela nous avons mis en place un module, simple, mais visible au-dessus de notre contenu. Trois états sont disponibles et permet alors de vous notifier en un coup d’oeil de l’état de l’extension. Lorsque Julio détecte une ou plusieurs failles dans l’extension présentée sur le blog, nous mettons à jour l’article contenant les informations. Vous pouvez alors apercevoir différentes abréviations.
Les abréviations
- XSS | Provoque une/des action/s non souhaitée/s par l’administrateur : injections de données, vols d’informations, redirections.
- CSRF | Utilise l’utilisateur comme déclencheur, il devient complice de l’attaque.
- SQLi | Injections SQL
Les états des extensions
- Validée | L’extension a été validée ou corrigée. Elle ne comporte aucune faille.
- Attention | L’extension contient une faille importante et ne peut être mise à jour dans de bref délais.
- En attente | L’extension est un possible danger. L’auteur a été contacté et elle sera bientôt mise à jour.
Exemples
- L’extension Quizzin
- L’extension Thank You Counter
En attente
Validée
Conclusion
Pour finir, nous envisageons également d’introduire un système de ticket avancé pour prévenir des risques, mais également de lister les dernières failles et extensions selon leurs statuts. Ces tickets afficherons certains détails concernant les failles trouvées.
Publié à l'origine le : 3 septembre 2010 @ 13 h 57 min