Plus d’un million de sites WordPress auraient été infectés et compromis par les malwares Balada Injector depuis 2017, selon les chercheurs de chez Sucuri. Pour atteindre un tel nombre, toutes les failles connues des thèmes et des plugins auraient été exploitées.
Ca c’est un des problèmes du développement Web malheureusement, car à partir du moment où on utilise des bibliothèques, des morceaux de codes récupérés à gauche et à droite, on s’expose au risque de failles de sécurité.
En même temps, il serait contre-productif de réaliser tout à partir de zéro et réinventer la roue. Mais je suis d’avis quand même qu’il ne faut pas tomber dans la fainéantise totale et réfléchir parfois à ce que l’on utilise et se concentrer sur les projets maintenus avec une communauté réactive.
Avec Angular par exemple, la tentation est quand même forte de faire des « npm install » à tout va car il y a énormément de modules qui couvrent tous les aspects mais j’ai déjà vu des modules abandonnés, obsolètes… qui peuvent donc représenter un risque.
Vous aurez remarqué que sur les dernières versiosns de npm, vous avez des alertes concernant les packages. Par ailleurs, il est possible d’utiliser des services qui notent les packages (White source par exemple).
Concernant Wordpress, cela ne m’étonne pas du tout. Les composants peuvent être mis à disposition sans qu’aucune vérification préalable ne soit effectuée. Qui plus est, ce ne sont pas des gens de la technique qui administrent mais plutôt des fonctionnels (c’est un peu le but de l’outil). Je dirai par conséquent que cette pénétration de malware est parfaitement logique.
Avoir subit un exploit d’un plugin obsolète sur le site de ma société nous a permis de mettre en valeur le côté mise à jour du code de notre vitrine.
Car récupérer du logiciel gratuit c’est bien, mais s’il n’est pas mis a jour sur un endroit où la surface d’attaque est aussi grande que celle d’un site web, c’est le hack assuré.
Et payer une maintenance pour un site web vitrine, ce n’est pas encore quelque-chose de répandu ni d’automatique
Yep, mes clients ne comprennent pas ca non plus …
1 « J'aime »
Qu’est ce que j’en ai eu des sites piratés dans ma jeunesse mais assez peu en Wordpress. Plutôt avec Joomla.
En général, même sans aucun plug-ins installé sous OVH, il fallait entre 12 et 18 mois pour être infecté, voir de la pub et ne plus pouvoir interagir avec son propre site.
J’ai lâché l’affaire. C’était pas mon métier, j’avais pas le temps pour le SAV des gens qui voulais un site pour montrer quelques photos de leurs créations. Au mieux, avec la sauvegarde, je réinjectais le code. C’était des sites statique. Aucune interaction, juste quelques pages, rien à vendre.
Maintenant les mêmes clients vendent en direct sur des boutiques en ligne type ETSY.
Beaucoup plus simple. Tu paie pour un service mais tu ne te poses pas de question.