web-dev-qa-db-fra.com

Comment pouvons-nous traiter les plugins non maintenus avec des vulnérabilités?

Je vois que c'est un gros problème, non seulement lié à Wordpress, mais à tout autre logiciel dans lequel les add-ons tiers, les plugins perdent le support de l'auteur original.

Mais concentrons-nous sur Wordpress ... Selon WordFence, il y a:

17 383 de ces plugins n'ont pas été mis à jour ces 2 dernières années.

3 990 plugins n'ont pas été mis à jour depuis 2010, soit il y a plus de 7 ans.

Selon le post d'Isabel, plusieurs plugins ont une base d'installation importante qui n'a pas été mise à jour depuis un certain temps:

“Le plugin Exec-PHP de Sören Weber compte plus de 100 000 installations actives, même s'il n'a pas été mis à jour depuis juin 2009. Catégorie Order by Wessley Roche compte plus de 90 000 installations actives, même si sa dernière mise à jour a eu lieu en mai 2008. La dernière version de Google Analytics de Wilfred van der Deijl compte plus de 80 000 installations même si sa dernière mise à jour date de plus de neuf ans. ”

Outre le mauvais codage qui conduit souvent à de nouvelles vulnérabilités découvertes, de nombreux auteurs quittent leur projet sans aucun support, certains réagissent, les autres ont complètement disparu.

Il y avait aussi un problème avec le domaine expiré, voici un article: Le domaine expiré mène à des redirections de plugins WordPress

Alors, que peuvent faire les utilisateurs pour éviter ce problème? Existe-t-il une option qui l'alerte si le module complémentaire est vulnérable mais qu'il n'y a pas de mise à jour pour celui-ci?

1
mirsad

Les propriétaires de sites Web sont l’un des facteurs contribuant à l’utilisation d’anciens plugins obsolètes et obsolètes. De nombreux sites Web sont abandonnés, les propriétaires ne sont pas suffisamment informés ou intéressés pour passer du temps à rechercher un plugin alternatif, ou tout simplement pour maintenir WordPress (ou tout autre système de gestion de contenu) à jour et sécurisé. Ainsi, de nombreux sites Web sont coincés dans la boucle: ils utilisent l'ancien WordPress car certains plugins qui ne sont pas mis à jour depuis 5 ou 6 ans ne fonctionneront pas avec le nouveau WordPress. L'utilisation de WordPress ancien et de ces plugins non maintenus est une porte ouverte à toutes sortes d'attaques.

Je sais qu'il n'est pas facile de remplacer un plug-in par un autre, mais laisser le site vulnérable pendant 5 ou 6 ans (ou 9 ans, comme avec le plug-in Ultimate Google Analytics) est un comportement clairement irresponsable du propriétaire du site, et ce pendant tout ce temps. Je suis sûr qu'il y avait suffisamment de temps pour faire quelques recherches afin de remplacer un plugin par un autre, et de maintenir WordPress à jour et sécurisé.

  1. WordPress.org doit supprimer tous les plugins et thèmes qui n'ont pas été mis à jour depuis plus de 5 ans (ou 3 ou 6 ans, selon ce qui a été convenu) et qui ne sont pas testés avec les 7 ou 8 dernières versions principales de WordPress. Il n'y a pas actuellement de consensus sur ce qu'il faut faire avec ce problème, et on entend toujours comment WordPress.org compte 20.000 plugins (ou quel que soit le nombre actuel), et personne ne dit la vérité, que seulement 10% de celui-ci est actif. plugins.

  2. WordPress.org a besoin d'un espace dédié dans lequel la liste de toutes les vulnérabilités de plug-in est disponible, afin que les propriétaires de sites Web puissent rechercher un seul emplacement afin de déterminer si les plug-ins qu'il utilise sont vulnérables. Il n’est pas facile de maintenir une telle liste, mais il faut informer les utilisateurs des problèmes de sécurité liés à l’utilisation de plugins anciens et obsolètes.

  3. Les propriétaires de sites Web doivent être actifs dans la maintenance des sites Web. Chaque site Web requiert une approche proactive pour le maintenir à jour, rapide et sécurisé. Beaucoup de propriétaires de sites Web prennent tout cela pour acquis, et ils se plaignent par la suite d'avoir été piratés, en oubliant qu'ils n'ont rien fait pour empêcher cela.

  4. La recherche est la clé lors de la sélection des plugins, et pour toute tâche, il existe des centaines de plugins, qu'ils soient gratuits ou commerciaux. Dans de nombreux cas, les plugins commerciaux sont un pari plus sûr, car les auteurs des plugins sont payés, ils ont donc une incitation financière à garder les mises à jour des plugins et à les garder en sécurité. Je ne dis pas qu'il faut toujours utiliser des plugins commerciaux, et qu'ils sont toujours meilleurs, ils ne le sont pas, mais c'est là que la recherche se met en place. Dressez la liste des fonctionnalités dont vous avez besoin, recherchez des plugins gratuits et commerciaux et comparez les cycles de publication, les fonctionnalités et le support des auteurs. N'utilisez pas de plugins gratuits ou commerciaux qui ne sont pas pris en charge par les auteurs, qui ne sont pas mis à jour régulièrement.

Je peux continuer, mais l’essentiel est: faites vos recherches avant d’utiliser un plugin, préparez-vous à l’éventualité où vous aurez besoin de passer d’un plugin à un autre, et prévoyez du temps pour cela.

2
Milan Petrovic

Il y a aussi un contre-problème: comment traiter les plug-ins qui n'ont pas été mis à jour depuis un moment, mais qui ne sont pas vulnérables. Un simple plug-in qui ne fournit qu'un shortcode pour insérer, par exemple, une simple calculatrice dans une page, ne nécessitera pas beaucoup de maintenance. Les règles de l'arithmétique ne vont pas changer avec WordPress 4.8.2. Vous vous demandez peut-être combien de plug-ins de ce type existent, en particulier par rapport au grand nombre de vulnérables, et je l'ignore, mais ils existent et ne doivent pas tomber sous le flot incertain de la sécurité aveugle.

Cela ne veut pas dire que votre question est fausse, mais j'ai bien peur que cela signifie qu'aucune solution simple et simple n'existe et ne peut exister. La date de la dernière mise à jour est un bon indicateur de vulnérabilités, mais pas de preuve irréfutable. WordPress lui-même - que ce soit le paquet ou wordpress.org - ne peut pas tuer tous les plug-ins antérieurs à une certaine date, cela ne serait pas juste. Là encore, votre problème est réel.

Alors, ma réponse? Ce n’est pas facile, je le crains: la sécurité d’un site WordPress, en particulier la surveillance des plug-ins qu’il utilise pour les vulnérabilités, doit incomber au propriétaire du site. WordPress est flexible, mais avec une grande puissance vient la possibilité de tirer sur le Web, pardon, une grande responsabilité. WordPress lui-même peut tout au plus vous indiquer les dates avec lesquelles travailler, mais il ne sait pas si un plug-in doit être maintenu depuis lors, uniquement si c'était.

2
Richard Bos