Avec la démocratisation de wordpress, aujourd’hui, il est facile pour n’importe qui d’avoir son blog wordpress , chez son hebergeur favori (ovh souvent) et d’y mettre un thème super joli. Notamment des personnes avec peu ou pas de connaissances informatiques et peu sensibilisées aux problèmes de sécurité qu’il peut y avoir. Loin de moi l’idée de me poser en savante, hautaine et connaisseuse, mais bon, en papotant avec Jenn et Poupoune , j’me suis rendue compte que faute de sensibilisation il est facile de se faire ‘avoir’. Donc, voici ce petit poste, qui recapepete les trucs à faire avant d’installer un thème sur son wordpress.

 

Le problème

A part si vous avez téléchargé votre thème dans la galerie officielle de wordpress, sachez qu’il n’a pas été controlé ni quoique ce soit. N’importe qui peut mettre en ligne un thème wordpress gratuit.   De ce fait, certaines personnes mal intentionnées mettent en ligne leur thème en cachant dans leur code des petits trucs malicieux. Ca peut être des liens vers des sites (casino, poker, porn..) et vous n’avez pas envie que votre site innocent de test de vernis pointe vers des liens de sodomie de blondes silliconnées par des rhinocéros. Rly. Mais ca peut être aussi du code qui charge un script et va potentiellement afficher des popup ou popunder sur votre site avec tout ce que ca sous entend (verolage, etc). Dans les cas les plus grave, ca peut carrément emmener a du hack pur et dur (iframes vers un autre site, etc).

Vous pouvez ne pas voir ces liens ou ses frames (une frame de 1px sur 1 px , des liens positionnés  a – 100 px , etc) mais ils peuvent être la !

Si cette image vous parle, vous n'avez pas besoin de cet article

Generalement, ses liens sont encodés dans les fichiers .php en base 64. Le base64 n’est pas lisible a l’oeil humain, pour exemple : « aGVsbG8= » c’est « hello »  . Ouais hein. Et souvent, on verifie la présence du code a plusieurs endroits dans le thème ce qui fait que le nettoyer demande un bon niveau de connaissance. (pour  dabYo , no pb, pour un novice c’est impossible).

Comment le résoudre

Deja, par sécurité, évitez d’installer n’importe quoi en ligne. On teste d’abord en local c’est mieux (au cas ou … Vous n’avez pas envie d’infecter vos bases de prod !!!) . L’extension TAC est un plugin wordpress (qui s’installe comme n’importe quelle autre) qui permet d’analyser votre thème.  Il s’installe très simplement, et ensuite dans votre menu, section apparence, vous n’avez qu’a vous rendre dans la section TAC et regarder ce qui s’en dit :

Si vous n’avez pas de  « Theme OK » ou que vous trouvez des liens cryptés (Encrypted Code Found) , et que vous n’avez pas assez de connaissance pour faire avec : SUPPRIMEZ CE THEME et oubliez le. Point final. Si vous avez des connaissances, vous avez plus qu’a décoder tout ca avec un decoder (dispo sur le net) et a bidouiller.

L’exploit scanner est une autre extension qui analyse vos fichiers pour savoir si vous avez été hackés. Il fait parfois des faux positifs, et n’est pas fiable a 100%, donc il n’est pas forcément à la portée d’utilisation du novice. Accessoirement, il ne nettoie rien , mais utile à lancer au cas ou !

Petit Bonus, l’extension Theme-Check vous permet de savoir si le code est bon, dans le sens où il respecte les standard de wordpress. Si votre thème passe pas le test, c’est pas forcément qu’il est pourri, mais il risque de pas s’afficher niquel sur tous les navigateurs par exemple, ou certaines fonctionnalités wordpress ne seront pas prises compte. Attention à bien le tester .

 

Conclusion

Si vous voulez des thèmes qui ne sont pas dans la galerie officielle de WP, n’oubliez surtout pas de faire ces tests.  It may save your blog. Et même sur l’officiel, runner ses tests ne sera jamais trop prudent. Pour ma part, j’ai eu un thème avec du base64, difficile a ôter, mais dabYo avait résolu le problème à l’époque, depuis, je vérifie toujours tous mes thèmes (et j’ai tendance a partir sur du basique que je custom moi même).