Cette page est actuellement en construction. Nous travaillons à l'améliorer !
Avec plus de 47 XNUMX plugins dans le référentiel WordPress officiel et des milliers d’autres disponibles sur divers autres marchés et sites, trouver ceux qui fonctionnent bien est une tâche ardue. Trouver des plugins WordPress sécurisés et qui ne mettront pas votre site en danger est une tâche encore plus difficile en raison de la nature complexe de la sécurité de WordPress et des plugins souvent volumineux avec des milliers de lignes de code.
Bien que nous ne puissions pas vous aider à éviter tous les plugins défectueux, nous pouvons identifier ceux qui ont des vulnérabilités et des problèmes de sécurité connus et confirmés. À moins que vous sachiez ce que vous faites, que vous testiez quelque chose sur une installation locale ou que vous maîtrisiez la sécurité de WordPress, vous ne devez pas utiliser les plugins dangereux répertoriés ci-dessous sur les sites de production. Les problèmes expliqués dans le tableau ci-dessous sont bien connus et documentés, ce qui permet à toute personne mal intentionnée d'exploiter ces failles de sécurité et d'attaquer votre site.
En répertoriant les plugins sur cette page, nous ne voulons manquer de respect ni à eux ni à leurs auteurs ! Nous souhaitons uniquement avertir les utilisateurs de ne pas installer de versions spécifiques présentant des problèmes de sécurité connus. Si vous pensez que votre plugin a été répertorié par défaut ou si vous avez besoin d'aide pour le mettre à jour, veuillez nous contacter.
Comment utiliser cette page et la liste des plugins vulnérables ?
Si vous utilisez l'un des plugins répertoriés, vérifiez le numéro de version et confirmez qu'il s'agit bien de celui avec des problèmes connus. Si tel est le cas, supprimez le plugin immédiatement ! Cela inclut sa désactivation et sa suppression. Pas seulement la désactivation. Vous pouvez également contacter l'auteur et lui demander si les problèmes ont été résolus et sinon l'inciter à le faire.
Types de vulnérabilités
Un petit rappel des failles de sécurité et des problèmes les plus courants auxquels les plugins WordPress sont confrontés. Veuillez noter que la plupart des problèmes sont une combinaison de deux ou plusieurs types répertoriés ci-dessous.
Affichage arbitraire de fichiers
Au lieu de permettre uniquement l'affichage de certaines sources de fichiers (par exemple les modèles de plug-in), l'absence de vérification dans le code permet à l'attaquant d'afficher la source de n'importe quel fichier, y compris ceux contenant des informations sensibles telles que wp-config.php.
Téléchargement de fichier arbitraire
L'absence de type de fichier et de filtrage du contenu permet le téléchargement de fichiers arbitraires pouvant contenir du code exécutable qui, une fois exécuté, peut faire à peu près n'importe quoi sur un site.
Elévation de privilèges
Une fois que l'attaquant dispose d'un compte sur le site, même s'il est uniquement de type abonné, il peut élever ses privilèges à un niveau supérieur, y compris administratif.
Injection SQL
En n'échappant pas et en ne filtrant pas les données entrant dans les requêtes SQL, du code malveillant peut être injecté dans les requêtes et les données supprimées, mises à jour ou insérées dans la base de données. C'est l'une des vulnérabilités les plus courantes.
Exécution de code à distance (RCE)
Au lieu de télécharger et d’exécuter du code malveillant, l’attaquant peut l’exécuter depuis un emplacement distant. Le code peut tout faire, du détournement du site à sa suppression complète.
Liste des plugins WordPress piratés, dangereux et vulnérables
Votre site WordPress a été piraté ?
Ne désespérez pas ; Ça arrive aux meilleurs d'entre nous. Il est difficile de donner des conseils génériques sans jeter un œil à votre site, mais si vous pouvez toujours vous connecter à votre administrateur WP, nous vous suggérons d'installer le plugin gratuit de sécurité Ninja. Il effectuera +40 tests sur votre site et, avec le module complémentaire Core, vous pourrez valider l'intégrité de vos fichiers principaux en les comparant aux copies principales sécurisées stockées sur WordPress.org. C'est un outil inestimable pour tout site WordPress !
Sources
La liste des derniers plugins WordPress dangereux et vulnérables est compilée à partir de diverses sources, notamment :
