Une faille critique touche plus de 100.000 sites Wordpress, Réactions à la publication du 19/02/2020

[Lionel]

Des pirates exploitent activement une faille touchant plus de 100 000 sites Wordpress. Elle permet de prendre le contrôle des sites ou de les effacer totalement.
La faille est présente dans le plug-in Theme Grill demo Importer.

Pour le moment il est vivement conseillé de le supprimer au plus vite.

Lien vers le billet original

[tchek]

Merci pour l'info Lionel

[chianti's yogurt]

Mais il n'y a que de bonnes nouvelles en ce moment

Coronavirus :

Remise en question de la mondialisation

Méthode Agile :

Remise en question du quick & dirty

Wordpress :

Remise en question du c'est facile, plus besoin de développeurs

Et je ne parle même pas de la b... à Dudule

Bref tous ces éléments d'une liste non exhaustive, me faisant passer pour un


Espérons que la prochaine étape sera de revenir aux fondamentaux

[be51be51]

Mais il n'y a que de bonnes nouvelles en ce moment

Wordpress :

Remise en question du c'est facile, plus besoin de développeurs

Espérons que la prochaine étape sera de revenir aux fondamentaux

J'ai fait un site en Wordpress assez basique mais je me suis heurté à une difficulté ; choisir un plugin pour assurer des fonctions complémentaires.
En théorie, c'est très simple et il y en a des milliers.
Dans la pratique, c'est déprimant/inquiétant : on ouvre le premier, 30 utilisateurs dans le monde, le deuxième 15 et ainsi de suite...
Comment avoir confiance !

[chianti's yogurt]

Attention, je ne dis que c'est de la m..., même au départ c'est une bonne idée.

Le soucis, c'est qu'il faut le prendre avec le postulat de départ.

D'où, une bonne étude des besoins lors de la conception... Mais ça, c'était avant !

[iAPX]

La faille critique ressemble bien plus à une backdoor que ce serait ménagé l'éditeur pour être capable d'effacer (voir de prendre le contrôle si un compte "admin" existe) tout site ayant piraté ses PlugIn commerciaux...

D'abord ce code d'effacement de DB n'a rien à faire là, c'est extrêmement dangereux, ensuite il n'y a aucun test des droits de l'utilisateur courant (ça fonctionne même non loggé), et le code est prévu pour fonctionner avec un utilisateur sans droits afférents, donc conçu pour être appelé même par un utilisateur non-loggé.
Le fait que ça commence par retrouver un utilisateur avec des droits au lieu d'utiliser l'utilisateur actuel ($current_user) démontre clairement que le comportement est voulu, prévu, une backdoor et non une faille.

Encore une backdoor qui explose à la gueule de ceux qui l'ont installé!

[scoch]

Il s’agit d’un projet open source, la faille aurait pu être repérée bien avant mais ce genre d’extensions est principalement utilisé par des utilisateurs incapables de lire le code, pas conscients des problèmes de sécurité qui peuvent être introduits par les thèmes et extensions.

Il existe bien sûr aussi malheureusement des prestataires peu consciencieux qui fourguent n’importe quoi, à des tarifs parfois hallucinants. Pour rappel, lors des dernières élections présidentielles françaises, tous les candidats (ou quasiment, je ne retrouve pas l’information) avaient un site Wordpress, pas mis à jour…

Comme le rappelle @chianti's yogurt, avec une bonne analyse des besoins en amont, il n’est pas forcément très long, et donc onéreux, de développer un thème sur mesure et les extensions qui vont avec.

@iAPX, que les développeurs incriminés dans le cas présent essaient de « punir » ceux qui piratent leurs produits peut être compris mais leur méthode est inacceptable car elle est destructive et introduit une faille de sécurité. De mon côté, dans le cas d’un client qui traînait à payer les acomptes, il m’est arrivé d’introduire une date d’expiration dans le code pour que le programme cesse de fonctionner en cas de non paiement ou de retard abusif (ce fut efficace).

[BdeHOGUES]

Mais il n'y a que de bonnes nouvelles en ce moment

Coronavirus :

Remise en question de la mondialisation

Méthode Agile :

Remise en question du quick & dirty

Wordpress :

Remise en question du c'est facile, plus besoin de développeurs

Et je ne parle même pas de la b... à Dudule

Bref tous ces éléments d'une liste non exhaustive, me faisant passer pour un

Espérons que la prochaine étape sera de revenir aux fondamentaux

Ahhhh mais tu oublies...

Affaire Griveaux :

Remise en question du sex-appeal

[chianti's yogurt]

si si en italique

Mais plutôt la remise en question des réseaux sociaux... bien que sur ce cas, je ne vois pas ce que les dits réseaux viennent faire dans l'histoire...

Mais ne voulant pas flirter avec le point 9 de la charte du dit forum, j'ai préféré rester evasisif

Ce message a été modifié par chianti's yogurt - 19 Feb 2020, 15:51.

[gimly]

ca les développeurs web sur wordpress, mon frère a fait faire un site qu'ils doivent vendre optimisé, résultat google page speed ---> 1% , mais mon bon monsieur il faut faire un contrat de maintenance, meme pas de cache activé et des image de 11 M :-))))))

[iAPX]

ca les développeurs web sur wordpress, mon frère a fait faire un site qu'ils doivent vendre optimisé, résultat google page speed ---> 1% , mais mon bon monsieur il faut faire un contrat de maintenance, meme pas de cache activé et des image de 11 M :-))))))

"WordPress" et "optimisé" dans la même phrase, il y a un bel optimisme et une vision béate de la vie là-dedans!

Il ne manquerait plus qu'y figure "Sécurité" pour que je me dise que c'est le béat de la crèche!

[scoch]

ca les développeurs web sur wordpress, mon frère a fait faire un site qu'ils doivent vendre optimisé, résultat google page speed ---> 1%

WordPress n'est pas un CMS très performant mais il est possible, en faisant ce qu'il faut, d'obtenir 100/100 à Google PageSpeed Insights et équivalents. Il est possible aussi que le site soit optimisé (sic) pour le référencement naturel. Idem pour l'accessibilité. Bref, chargement des pages en moins de trois secondes, bon référencement et accessibilité assurés, c'est déjà mieux que l'immense majorité des sites.

[brenda]

j'ai eu une entreprise pendant 10ans.
J'ai eu des sites internets pendant ces 10 ans ... 4 prestataires ...
- demande d'un site simple vitrine en 2005 -> création d'un site vitrine pas très cher en HTML
ça avait le mérite d'exister
- évolution du site par la même entreprise, début du chantier en juin ... mais trop de boulot, donc reprise du remplissage en hiver -> l'entreprise n'existe plus, il n'est pas terminé
- nouveau prestataire, proposition d'un site sous CMS (magento ?) avec évolution possible vers une boutique ... pourquoi pas; boulot pas très rapide, mais ça fonctionne, je publie des articles de fonds, je commence à remplir avec les produits vendus, ça avance ... été, congés, fermeture pour 2 semaines. Reprise, un stagiaire fin aout, le site n'est plus en ligne ... après de mutiples appels j'apprends que l'entreprise a été liquidées fin juillet, tous les serveurs hébergés chez nordnet vendus aux enchères, avec les données des clients !!!
- j'ai encore eu 2 sites sous wordpress, donc le dernier lié à prestashop ... à chaque fois, disparition du prestataire !
- le dernier n'était plus en ligne plusieurs mois avant le fermeture de l'entreprise, le plug in de gestion de l'inscription à la newsletter était buggé, il a été utilisé pour une tentative de spam bloquée par OVH, les attaquants n'ont alors rien trouvé de mieux que d'afficher une photo porno J'ai donc tout effacé et juste mis une page HTML simple disant "en travaux, bientôt" de retour.

donc la difficulté pour un patron de TPE c'est surtout de trouver le bon interlocuteur, parce que des gens prêts à vendre des sites à 1 000, 5 000 ou 10 000€ et même 50 000 il y en a plein, mais combien vont réellement assurer le suivi ? et survivre plusieurs années ? et répondre au besoin de la TPE ?
Toutes nes entreprises n'ont pas de service informatique, ni les compétences pour assurer un suivi et un contrôle de ce qui est réalisé par le prestataire.

Cdlt

Ce message a été modifié par brenda - 20 Feb 2020, 13:12.

[chianti's yogurt]

donc la difficulté pour un patron de TPE c'est surtout de trouver le bon interlocuteur, parce que des gens prêts à vendre des sites à 1 000, 5 000 ou 10 000€ et même 50 000 il y en a plein, mais combien vont réellement assurer le suivi ? et survivre plusieurs années ? et répondre au besoin de la TPE ?
Toutes nes entreprises n'ont pas de service informatique, ni les compétences pour assurer un suivi et un contrôle de ce qui est réalisé par le prestataire.

Et bien qu'un seul... moi

J'ai eu la chance de faire de ma passion mon métier..

Où au choix, la malchance de le faire en tant que salarié pour le type de margoulins que tu décris. Car derrière les beaux discours de ces individus, seul le fric compte. Vendre des sites Internet ou des des Kebabs, point de différence. Malgré des discours avec plein de compassions et autres foutaises. D'ailleurs ils usent et utilisent sans vergogne des anglicismes, notions et autres acronymes à foison (afin de noyer le poisson).

Ils ont failli me faire douter, mais ils n'ont pas réussis. Aujourd'hui, je me reconverti en indépendant pour aider les PME-PMI et Artisans dans leur transformation numérique. Donc, j'éprouve une certaine satisfaction, comme mon premier message le suggère, de voir que ce monde basé sur du vent s'écrouler de jour en jour.

Et j'avoue que ton message me réconforte dans la justesse de mon projet. Bon entre anciens ch'tis, on se comprend... Sauf que moi c'est le 50, et bien oui quitte être à l'ouest, je prends le Mont Saint Michel

[gimly]

contrairement a mon frère, je fait ca moi meme (je fabrique du parquet), un site de vente avec Thelia et un site vitrine en html/less

[spada66]

j'ai eu une entreprise pendant 10ans.
J'ai eu des sites internets pendant ces 10 ans ... 4 prestataires ...
- demande d'un site simple vitrine en 2005 -> création d'un site vitrine pas très cher en HTML
ça avait le mérite d'exister
- évolution du site par la même entreprise, début du chantier en juin ... mais trop de boulot, donc reprise du remplissage en hiver -> l'entreprise n'existe plus, il n'est pas terminé
- nouveau prestataire, proposition d'un site sous CMS (magento ?) avec évolution possible vers une boutique ... pourquoi pas; boulot pas très rapide, mais ça fonctionne, je publie des articles de fonds, je commence à remplir avec les produits vendus, ça avance ... été, congés, fermeture pour 2 semaines. Reprise, un stagiaire fin aout, le site n'est plus en ligne ... après de mutiples appels j'apprends que l'entreprise a été liquidées fin juillet, tous les serveurs hébergés chez nordnet vendus aux enchères, avec les données des clients !!!
- j'ai encore eu 2 sites sous wordpress, donc le dernier lié à prestashop ... à chaque fois, disparition du prestataire !
- le dernier n'était plus en ligne plusieurs mois avant le fermeture de l'entreprise, le plug in de gestion de l'inscription à la newsletter était buggé, il a été utilisé pour une tentative de spam bloquée par OVH, les attaquants n'ont alors rien trouvé de mieux que d'afficher une photo porno J'ai donc tout effacé et juste mis une page HTML simple disant "en travaux, bientôt" de retour.

donc la difficulté pour un patron de TPE c'est surtout de trouver le bon interlocuteur, parce que des gens prêts à vendre des sites à 1 000, 5 000 ou 10 000€ et même 50 000 il y en a plein, mais combien vont réellement assurer le suivi ? et survivre plusieurs années ? et répondre au besoin de la TPE ?
Toutes nes entreprises n'ont pas de service informatique, ni les compétences pour assurer un suivi et un contrôle de ce qui est réalisé par le prestataire.

Cdlt

bonjour

sans avoir autant galèrer, je confirme pas simple pour des choses qui semble simple. mon équipe n'a pas compris qu'on est pris 1 ans de retard sur la migration de notre site internet.

[Cekter]

@Brenda

Ces comportements sont hallucinants et ces "agences" participent à la mauvaise image qu'ont les créateurs de sites web. Ils scient la branche sur laquelle ils sont assis, c'est complètement con.

C'est clairement pensé à la base pour vous rendre captif de leurs prestations. Ce n'est même pas un problème de CMS (wordpress ou autre). Le vrai problème là dedans c'est qu'ils vous obligent à prendre des solutions "tout compris" avec hébergement inclus. Ce qui fait que si on ne paye plus, ou si l'agence fait faillite, on se retrouve sans site, le bec dans l'eau.

Perso quand je fais un site pour un client je refuse de m'occuper de son hébergement. Je l'accompagne pour qu'on crée ensemble un compte chez l'hébergeur de son choix et qu'il choisisse la formule la plus adaptée mais en aucun cas je ne me permettrais de le rendre dépendant de ma boite... Et surtout je lui livre toujours le site sur clef usb, avec l'ensemble des éléments (charte graphique, documents, images non minifiées, etc.) pour qu'il puisse avoir tout sous la main si il souhaite passer par un autre studio de web design par la suite.

Alors je vais pas mentir, ça nous a fait passer à coté de certains contrats parce que certaines personnes exigent qu'on fasse tout pour eux, mais tant pis.

Je pense par exemple à un ancien prospect qui s'est fait démarcher par je ne sais trop quelle agence. Cette agence lui prend 150€/mois pour un site vitrine sous wordpress (si si). Et je vous raconte même pas la gueule du site (une one page sur un thème gratos), sans réservation en ligne, sans blog, sans même un pauvre plug-in de calendrier. Les photos pas minifiées, la galerie dégueulasse qui bug sous safari... bref vous voyez le genre...

Vu le degré de méconnaissance de cet ancien prospect on aurait pu lui vendre tout et n'importe quoi. C'est juste une question d'éthique personnelle.

Ce qui ne veut pas dire qu'on ne va pas accompagner ceux qui en ont besoin, ni assurer un suivi. C'est juste qu'il faut (à mon avis) laisser la possibilité au client de choisir quelqu'un d'autre au moment où il le souhaite et donc ne pas le "piéger".

Ce message a été modifié par Cekter - 22 Feb 2020, 08:59.