WordPress : Les thèmes gratuits sur Google sont des failles de sécurité pour vos sites

Afficher l'image d'origine

 

Lorsque l'on veut développer un nouveau site Web sous WordPress, le premier réflexe est souvent d'aller chercher un thème gratuit correspondant au design que l'on recherche. Mais attention, ces thèmes peuvent avoir des failles de sécurité, c'est pourquoi je vous propose dans cet article quelques techniques pour vérifier ceux-ci.

Voici une liste d’exemples de risque que vous prenez en téléchargeant des thèmes gratuits venant des premiers résultats Google.

base64-500x104

  • Ce genre de code peut se retrouver caché un peu partout dans le thème.
    Que ce soit dans les Header / Footer / fonctions.php etc.

Dans une grande majorité des cas ce sera des liens cachés qui seront intégrés dans votre site à votre insu.
Des liens vers des sites divers et variés, comme :

urltac-500x185

Si nous parlions de liens publicitaires pour le site qui publie et crée les thèmes ce serait compréhensible mais là, non.

  • Nous pouvons aussi tomber sur des thèmes bien plus malicieux, avec du code stockant en base les liens.
    Ces thèmes vont récupérer du code venant de site tiers afin de mettre à jour l'horodatage de ces urls douteuses et de les afficher en pied de page, caché ou non.

Mais comment faire pour vérifier votre thème  ?

Quelques solutions sont disponibles :

http://themecheck.org/ : Est un outil de validation de thème, vous déposez votre thème, tout son code sera analysé et vous obtiendrez une note de confiance avec une liste d'alertes liées.

Vous avez aussi la possibilité de tester vos thèmes déjà en place avec ce pluggin :
https://wordpress.org/plugins/tac/ : il vous permettra de lister du code potentiellement malicieux caché dans votre thème.
Charge à vous de le supprimer et vérifier l'intégrité de votre thème.

De manière générale, je vous conseille de ne jamais installer un thème venant d'internet sans l'avoir testé avec ce genre d'outils.
Et surtout de le faire sur des environnements coupés de tout réseau. Une installation locale avec XAMPP de votre thème pour le tester avant de le mettre en ligne est une bonne première sécurité.

Prendre un thème venant du dépôt officiel WordPress est plus rassurant aussi, cependant les thèmes sont souvent vieux et pas tous compatibles avec la dernière version de WordPress.

Un commentaire

  1. Nombreux sont les personnes qui tombent encore dans le panneau avec la multitude de thèmes gratuits. Pourtant, l’installation du plugin Theme Authenticity Checker ou TAC n’est pas du tout difficile. De plus, comme on dit, il vaut mieux prévenir que guérir.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Captcha *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.