web-dev-qa-db-fra.com

Comment vérifier les plugins pour le code malveillant?

Notre nouvelle société d’hébergement a effectué une vérification de sécurité de notre installation et j’ai été très étonnée d’apprendre qu’un plugin premium que nous avions acheté (Easy Media Gallery Pro) contenait du code malveillant.

(Ce n'est peut-être qu'une coïncidence, mais notre site a été piraté à l'époque où nous avons mis à niveau la version Pro de ce plugin.)

Quoi qu'il en soit, j'aimerais savoir s'il existe des utilitaires fiables pouvant effectuer un contrôle de sécurité fiable et indépendant sur un plugin avant je l'installe sur mon site ??

3
ban-geoengineering

Il existe plusieurs options/plugins pour le faire, mais rien ne peut vous fournir une sécurité à 100%. Suivre les bonnes pratiques, les sauvegardes quotidiennes/hebdomadaires et utiliser des thèmes/plug-ins qui suivent de bonnes pratiques de code vous aideront généralement à rester à l'écart des problèmes. Mais encore une fois, rien ne vous donnera une sécurité à 100%. En ce qui concerne les plugins, vous pouvez en essayer plusieurs qui vous donneront un peu de tranquillité d’esprit:

J'ai principalement travaillé avec Wordfence Security, car la plupart des plug-ins que j'utilise proviennent du référentiel officiel WP. Il comporte quelques paramètres pratiques qui vous permettent de comparer le code de votre thème/plugins aux modifications apportées directement avec le thème./plugins 'repo et scannez le code pour des problèmes potentiels.

Mais encore une fois ce n'est pas une solution à 100%.

3
denis.stoyanov

Effectivement, à l'heure actuelle, il y a environ 30 000 plugins et plus qui ne sont pas vides dans le référentiel WordPress.org. Ces plugins sont soumis pour inclusion et sont revus manuellement par des volontaires avant de les rendre disponibles sur le référentiel. L'inclusion de plugins et de thèmes dans le référentiel ne garantit pas qu'ils sont exempts de vulnérabilités de sécurité.

Gardez à l'esprit le fait que même si certains plugins peuvent être sécurisés au moment où les nouvelles mises à jour de plugins peuvent apporter des problèmes de sécurité.

Une excellente ressource à lire est la suivante: https://www.owasp.org/index.php/OWASP_Wordpress_Security_Implementation_Guideline

En raison de la nature dynamique des plugins (lisez: ils sont mis à jour), n'oubliez pas de vérifier les plugins quotidiennement.

Pour effectuer un audit de code source de plug-in statique, les outils suivants peuvent être utilisés:

  • RIPS : Un analyseur de code source statique pour détecter les vulnérabilités dans les scripts PHP

  • PHP-sat : Analyse statique pour PHP

  • Yasca : Cela pourrait être décrit comme un "script grep glorifié" plus une agrégation d'autres outils open source.

Et d'autres outils basés sur la commande Linux grep.

Il existe également des outils fonctionnant de manière dynamique (exécution), comme vous pouvez le lire dans le document OWASP, ce qui est également important.

Disons simplement que certains "mauvais" plugins peuvent contenir des images avec des données cachées pouvant être converties dynamiquement en mauvaises instructions de code PHP.

4
prosti