Pour gérer vos consentements :
Categories: Cloud

Sécurité IT : des thèmes gratuits pour WordPress cachent du code malicieux

Des millions de blogs sont-ils à la merci d’une prise en main par des pirates ?

Si l’on en croit Siobhan Ambrose, une spécialiste britannique de WordPress (plate-forme de gestion de contenus en open source), ce serait le cas.

En effet, elle a récemment effectué un test des sites proposant des thèmes gratuits (un catalogue de suggestion de mises en page) pour l’outil de publication de contenus.

Sa surprise fut totale (ou presque) lorsqu’elle a découvert que plusieurs thèmes gratuits proposés par des sites – sains en apparence – contenaient des chevaux de Troie (trojans) ou du code malicieux.

Ainsi, des thèmes connus réalisés par des tiers, sont parfois récupérés pour être piégés puis redistribués.

Siobhan Ambrose est également tombée sur un thème qui intègre un code Eval (« un vrai problème au niveau de la sécurité en PHP », selon Wikipedia). Ce bout de code suffirait pour qu’un individu malveillant réalise une action malicieuse.

Selon le test réalisé par Siobhan Ambrose, 8 sur 10 sites Web testés – correspondant aux dix premiers sites retournés par Google à la requête « free WordPress themes »‘ – offraient des thèmes contenant du code malicieux.

« L’utilisateur averti de WordPress sait sans doute que Google n’est pas le meilleur endroit pour trouver des thèmes, mais les statistiques de ces sites montrent qu’il y a des milliers de personnes qui les ont téléchargés et qui les utilisent sur leurs sites Web » , rappelle Siobhan Ambrose. Ce qui laisse à penser que des milliers de blogs sont vulnérables.

« Quelqu’un qui découvre WordPress pour la première fois a toutes les chances de taper ‘free WordPress themes’ dans Google pour trouver un thème gratuit », considère-t-elle. « Malheureusement, ces utilisateurs sont susceptibles de se retrouver avec, au mieux, des liens de spam sur leur site ».

Dans sa contribution blog qui date du 11 janvier 2011, Siobhan Ambrose donne un lien vers l’une de ses anciennes contributions concernant la sécurité sur WordPress.

Une lecture indispensable pour tous les apprentis blogueurs…

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago