web-dev-qa-db-fra.com

Un plugin ou un thème WordPress peut-il contenir un virus?

Est-il possible d'écrire un virus sous la forme d'un plugin/thème WordPress?

Est-ce possible de:

  • voler des données d'utilisateur?
  • endommager l'installation WordPress existante?
  • (facultativement) auto-répandre le virus?

Existe-t-il des cas existants de ce type de virus?

2
Marek

Lorsque vous écrivez PHP code, vous pouvez pratiquement tout faire. Ainsi, lorsque vous exécutez le code d'un plug-in, il peut faire à peu près tout.

  • Il peut interroger la base de données et obtenir toutes les informations qui s'y trouvent (c'est pourquoi il est judicieux de stocker les mots de passe sous forme de hachages.)
  • Puisqu'il peut interroger la base de données, il peut également supprimer tout ce qui s'y trouve, en ruinant les paramètres, en désactivant les plugins, etc.
  • Les plugins peuvent envoyer des informations de manière normale, mail, http, donc la propagation d'un virus sera difficile si le destinataire dispose d'une bonne protection.

Selon la configuration de votre serveur, un plugin peut prendre en charge votre serveur. Si vous le permettez, pour télécharger des fichiers qu'il peut exécuter, il pourrait télécharger n'importe quel code, qu'il pourrait pouvoir être exécuté sur votre serveur. Si l'utilisateur qui exécute le code dispose de suffisamment de privilèges, il peut modifier le mot de passe de manière efficace en vous excluant du serveur.

Mais tout cela sera facile à repérer. Par conséquent, si beaucoup de gens l’utilisent, vous devriez le télécharger et l’utiliser en toute sécurité, car les développeurs PHP l'auraient découvert.

La réponse est courte, oui, presque tout est possible, mais les dangers ne sont pas si grands. Si vous utilisez des pluings populaires .

Je pense qu'un plus grand danger serait que le plugin soit mal écrit, et créera accidentellement un risque de sécurité, comme ne pas valider les données fournies par l'utilisateur, etc.

4
googletorp

Oui. Oui. Oui.

Tous ces éléments sont non seulement possibles, mais également faciles à rencontrer dans la nature. Il y avait eu des vagues de malwares WordPress auto-répandus pour certaines anciennes versions non sécurisées.

Tout ce à quoi WordPress a accès - tout thème ou plugin y a également accès. Le vol ou la destruction de données est trivial pour le code exécuté sous le nom d'extensions WP.

3
Rarst