Désactiver la mise à jour d’un plugin WordPress et rappel de sécurité

J’avais dernièrement parlé sur Twitter d’un plugin pour WordPress qui ne fonctionnait plus depuis sa dernière mise à jour et ce chez de nombreuses personnes. Très problématique lorsque ce dernier gère les URLs de nos pages…

Les anciennes versions étant disponibles j’ai donc simplement supprimé celle qui était fautive et réinstallé la précédente. Problème, il reste la notification.

Par peur de la faire par inadvertance, j’ai donc cherché un moyen de pouvoir tout simplement désactiver la recherche de mise à jour pour un plugin précis. Et j’ai trouvé !

 Désactiver la mise à jour d’un plugin WordPress

Pour cela, rendez vous dans votre Tableau de bord WordPress puis :

  • Cliquez sur l’onglet Extension
  • Puis sur Éditeur
  • Dans le menu déroulant en haut à droite sélectionnez votre plugin
  • Ouvrez le fichier principal de celui-ci
  • Insérez le code suivant à l’intérieur :
add_filter('site_transient_update_plugins', 'remove_update_notification');
function remove_update_notification($value) {
     unset($value->response[ plugin_basename(__FILE__) ]);
     return $value;} 
  • Enregistrez vos modifications

hack plugin wordpress piratage avant apres

Et c’est tout ! Il n’y a que ça à faire, maintenant WordPress ne vérifiera plus si une mise à jour de votre plugin est disponible !

 WordPress, les plugins et la sécurité

Attention tout de même avec cette manipulation, elle n’est pas faite dans le but de mettre un plugin au placard et de passer à autre chose !

Si vous êtes un jour amené à l’utiliser, il faut que cela soit temporaire. Le temps que le développeur (ou sa communauté) débug la dernière version ou que vous trouviez une alternative convenant à vos besoins !

Sinon votre site pourrait potentiellement être la cible d’un attaque si une faille venait à être découverte dans les temps à venir.

piratage wordpress faille plugin

Pour clore ce point, regardons ensemble une étude réalisée par WP Template, qui date de 2013 mais donne tout de même des informations intéressantes. Elle liste les différentes causes de piratage de sites WP  :

  • 41% via une faille chez leur hébergeur
  • 29% par un thème vulnérable
  • 22% à cause d’une faille dans un plugin
  • 8% car ils n’avaient pas un bon mot de passe

Même si ce n’est pas la cause principale, elle représente tout de même 22% des piratages !

Ensuite vient un classement des failles de WordPress découvertes, révélant les statistiques suivantes :

  • 40% des failles viennent des plugins
  • 32% sont issues directement de WordPress
  • 28% divers

On passe alors à 40% de failles de sécurité touchant WordPress venant directement des plugins !

Vérifier les failles connues de vos plugins

Vous pouvez aussi aller contrôler de temps en temps la sécurité des plugins que vous utilisez (ou que vous souhaitez utiliser) sur le site wpvulndb qui recense les failles des plugins WordPress connues actuellement.

wp scan plugin hack wordpress

Sur ce site vous trouverez la base de données des vulnérabilités vérifiées par WPScan, un logiciel permettant de scanner votre site afin de vérifier si une faille y est présente.

Pas besoin de vous faire un dessin, vous devez vous douter que des apprentis pirates s’en servent pour scanner les sites d’autrui afin d’y trouver des failles, vous avez alors une bonne raison de plus pour aller vérifier les thèmes et les plugins que vous utilisez !

Envie de partager ?

Poster un Commentaire

4 Commentaires sur "Désactiver la mise à jour d’un plugin WordPress et rappel de sécurité"

avatar
Dominique HAAS
Invité

Hello,

J’ai justement mis en place un docker sous Alpine Linux pour utiliser WPScan. Une image officiel existe mais elle assez horrible en terme de bonne pratique :P
Voici le lien github : https://github.com/Evild67/docker-alpine-wpscan/

Pour l’utilisation c’est très simple :
docker run –rm evild/alpine-wpscan –update -u [OPTIONS]

Du coup avec ton site cela donnerai :
docker run –rm evild/alpine-wpscan –update -u https://magnier.io

wpDiscuz