BAW WordPress Plugin Security Checker
C’est quoi ?
Cette extension vous permet de savoir si les autres extensions installées – activées ou non – sont connues pour être sécurisées ou si elles contiennent des failles de sécurité.
C’est grave si elle contient des failles de sécurité ?
Beaucoup plus que vous ne le pensez. Vous pourriez avoir sécurisé au mieux votre serveur, la simple installation d’une extension vulnérable mets votre site à genoux …
Alors comment ça marche ?
C’est simple, je tiens une liste des extensions que j’ai audité sur ce lien. Une fois activée – avec une clé API gratuite et configurée – vous pourrez cliquer sur un nouveau bouton sur chaque extension (voir screenshots), une requête est envoyée pour obtenir des informations sur sa sécurité. Ainsi, vous savez si vous pouvez vous permettre de garder une extension dangereuse ou non.
Et si l’extension n’a pas encore été vérifiée ?
Vous avez justement la possibilité de demander l’audits d’extensions au travers d’un système d’abonnements, ce service s’adresse aux développeurs, webmasters ou simplement si vous présentez des extensions sur votre blog.
C’est payant ?
L’extension et son utilisation sont gratuites ! Le service de demande d’audits est payant, les compétences de consultant en sécurité web sont obligatoires pour s’assurer une bonne sécurité.
Assez bavardé, je veux voir !
Etat non cliqué, le bouclier bleu permet d’obtenir les informations sur la sécurité de cette extension.
Ici, l’extension a été validée par nos services, vous en êtes informés de cette façon.
Celle-ci est vulnérable, vous pouvez lire le post la concernant sur le blog, une solution vous est proposée.
Celle-là a été corrigée, tenez vous à jour dans vos versions !
Enfin, cette dernière n’a pas été vérifiée par nos services, il existe donc un risque potentiel d’existence de failles de sécurité.
Installation
- Extraire l’extension du .ZIP
- Uploader le dossier de « BAW WPSC » dans votre dossier /wp-content/plugins/.
- Activer l’extension depuis la page « Plugins » de l’administration.
- Obtenir une clé API gratuite sur le service ApiKeys
- Configurer cette clé depuis le nouveau menu « BoiteAWeb > Configurer la clé API ».
- Cliquer sur le bouclier bleu devant une extension
- Il n’y a pas de « 7″ ! STOP !
Informations diverses
- Requiert au moins la version de WordPress : 2.1
- Testée sur la version : 2.8, 2.9, 3.0, 3.1
- Dernière version stable : 1.0
- Faire un don paypal : Merci d’avance
- License : GPLv2
Bugs connus
- Le lien « Cliquez ici pour lire l’article » n’est pas traduit en fr_FR et reste en anglais « Clic here to read post » … si vous avez une piste …
Changelog
1.0 – 17/02/2011
- Publication de l’extension dans l’extend.
Partenaire
Cette extension a été testée par 4h18.com, retrouvez le test ici.
Ca se ressemble ...
-
AutoShortener
1 juin 2011
-
Like Unlike
28 mai 2011
-
Lightbox 3
20 mai 2011
Classé dans ...
Partagez !
Tout le site
Sécurité
Extensions validées
Extensions corrigées
Extensions vulnérables
Codes-sources
Conseils
merci pour ces précieuses infos :)
Tu devrait aussi lier ton service à des bases d’exploit telles que exploitdb.com ou autres, car là, pratiquement aucune extension n’est répertoriée et c’est bien dommage vu que ton concept est bon.
Merci Felix.
Je ne souhaite pas externaliser mon projet/concept.
Il est vrai que le nombre d’extensions audité est faible (moins de 100 sur plus de 13500) mais le plugin est très jeune et le site aussi ;)
Je compte donc sur tout le monde pour faire des audits sur leurs extensions, leurs installations etc.
De mon côté de continue aussi à en auditer, informer un maximum, sensibiliser.
Merci encore.
Merci tout simplement pour ce travail @Boitaweb
Je l’ai essayé sur mon dev local, tout est en « rouge plugin non vérifié » ;0) sauf le BAW WPSC qui lui est bien en vert (OUFFF.. ;0)
bon ma situation est Normal puisque j’ai une multitude de plugin que je teste pour voir s’ils correspondent à mes besoins …
Je vais donc voir sur mes deux sites en production … à suivre
@boiteaweb, as tu déjà l’infos (gratuit-payant ) concernant les prestations de demande vérification de Plugin ?
autre question , la liste des plugins qui ont été vérifiés, est-elle disponible ?
pour moi se serait bien plutôt que d’installer, puis contrôler, que l’on puisse la consulter et prendre directement le plugin référencé par BAW WPSC !
Cdt
@doloth
@doloth : « as tu déjà l’infos (gratuit-payant ) concernant les prestations de demande vérification de Plugin ? »
Euh oui, apparemment ce n’est pas assez visible, c’est dans le footer de l’article, sur le bouton « Utiliser WordPex » :s
La liste existe si on peut dire, c’est la catégorie « Sécurité » -> « http://www.boiteaweb.fr/cat/securite »
Elle contient une 30aine de plugins, cette liste ne demande qu’a grossir !
Merci pour ton test !
Intéressant cet article je ne savais k’on pouvait contrôler les extentions … je vais essayé mais pas simple je ne suis pas spécialiste ! si j’ai besoin d’aide je reviendrai ici poser mes questions … merci boite @web !
Excellente idée de plugin. La sécurité est trop souvent délaissée et le concept du plugin BAW est vraiment intéressante.
Petits bémols cependant :
- trop de plugins n’ont pas été testé (sur 40 plugins sur mon site, seuls 2 ont été testés, dont le plugin BAW).
- lorsque l’on recharge la page des plugins, cela remet par défaut le code couleur. Il aurait été intéressant de conserver en rouge celles qui sont vulnérables et en vert celles qui sont OK. On saurait ainsi celles qui n’ont pas été testées, ou qui ont changé depuis la dernière vérification.
J’ai hâte de voir l’évolution de l’outil d’ici quelques mois.
C’est vrai que le nombre n’est pas assez élevé, il dépends du temps que je peux offrir à des audits gratuits de mon choix et aux audits commandés par les clients ou gagnés par concours (bravo à toi ;p).
Cette liste ne demande qu’à grandir, il ne manque plus que du temps et de l’argent !
ps : je recrute un stagiaire pour m’épauler :D
Lien vers le service de demande d’audit : http://secu.boiteaweb.fr/mylab/wordpex/
Lien vers le recrutement : http://secu.boiteaweb.fr/recrutement/
Pour la mémorisation, on me l’a reproché aussi oui. J’ai noté dans ma todo la mémorisation des status, cela va aider l’utilisateur pour une visu rapide et de mon côté alléger les demandes réseau via ajax.
Merci et bonne journée
Salut,
Je trouve que mettre la même couleur rouge aux extensions vulnérables et à celles qui n’ont pas été testés un peu too much. Autant leur laisser le bénéfice du doute et mettre une couleur bleu clair, par exemple. Qu’en penses-tu ?
Bonjour, merci pour votre plugin. C’est un bon travail. J’espèrе, que je viens d’ajouter un autre petit côté sécurité pour mes sites et blogs.
Merci à toi Marine !
merci pour ce plugin j’espere que je n’aurait pas de mauvaises surprises por mes extentions!!