L’Hebdo WordPress : Thèmes – WordPress 3.2 – Piratage

Modification du calendrier de WordPress 3.2

Jane Wells l’annonçait le 1er juin, la RC1 est repoussée de quelques jours… elle ne devrait plus tarder puisque noté pour le 6 juin ! Lorsque vous lirez ces lignes, elles devraient être disponible. La sortie de la finale est donc pour le 30 juin. Les délais seront-ils tenus ?

Mode « Maintenance »

Si vous voulez passer en mode « maintenance », même sans thème spécialisé, voici un bout de code à insérer directement dans le fichier function.php.

Blokus : un thème gratuit

Blokus est un thème gratuit qui prend en charge presque toutes les dernières nouveautés de WordPress. Il est très classe et devrait plaire à beaucoup d’entre vous. Et il est en français… encore heureux pour un berrichon d’ailleurs ;-)

Créer, héberger et modifier son site WordPress

Fabien H de insolite-du-geek nous fait découvrir le nouveau guide de Tom’s Guide consacré à WordPress. Instructif pour les débutants.

Un annuaire des pro original

Valentin de Geekeries vient tout juste de publier son annuaire de pro du web dont des professionnels de WordPress (mais pas seulement). Basé directement sur une mappe monde, chaque fiche est donc localisable et localisée. Un tri peut se faire par catégorie, par ville, etc.

101 ressources indispensables pour WordPress

WPMU.org dévoile 101 ressources pour améliorer son expérience avec WordPress. Jetons-y un œil.

Les thèmes décortiqués

4h18 vient de lancer une thématique sur les thèmes WordPress. Il se lance dans la difficile tâche d’essayer d’expliquer les thèmes WordPress en les décortiquant et en expliquant tout !

Splendio par Smashing Magazine

Un autre thème par Smashing Magazine, forcément cela attire l’œil. La qualité des thèmes de ce site n’est plus à démontrer. En voici encore un bel exemple avec ce « Splendio ».

Ajouter le bouton +1 de Google

Valentin de Geekeries nous montre comment insérer le nouveau bouton +1 de Google dans vos sites web. La même chose ici et en anglais par WPBeginner ou PracticalWP.

Construire un site média avec WordPress

C’est ce que nous suggère Smashing Magazine avec la première étape d’une série.

Des premiums intéressants

Voici les quelques thèmes Premiums sélectionnés comme étant très intéressants.

Les types de contenus personnalisés et la taxonomie nouvelle

Les types de contenu personnalisé mélangés à la taxonomie vous font envie, c’est par là !

30 thèmes de qualité

On continue dans les thèmes. En voici encore 30 qui devraient vous plaire !

Pirater un site WordPress

Pas malin me direz-vous ! C’est clair ! Cependant, Maxence démontre une faille de WordPress qui peut être reproduite assez simplement et être potentiellement dangereuse. Notez qu’il ne s’agit que d’une démonstration et non pas d’un exemple à suivre. plutôt un moyen de la déjouer…

Un article d’un blog posté sur un autre

Michel de dev.xiligroup vient de mettre au point une extension utilisant xml-rpc qui autorise la publication automatique d’un blog vers un autre.

BAW Auto Shortener

Cette extension permet de gérer au mieux les liens courts générés automatiquement par WordPress. Un test complet est en ligne ici.

Intégrer BuddyPress dans un site multi utilisateurs

Onextrapixel présente la démarche pour transformer son site multi utilsateurs en une plateforme sous BuddyPress. Je suis sur que beaucoup vont apprécier.

Un thème HTML 5 par Automattic

C’est CSS4Design qui le remarque, Automattic vient de mettre à disposition un thème intégralement codé en HTML 5. Il s’agit d’un thème minimaliste pour que chacun puisse s’entrainer

WordPress sur iPad

WPMU.org nous montre comment utiliser WordPress avec un iPad.

L'auteur :

Membre du staff de WordPress Francophone

- Mon site web et mon blog perso : www.benoitcatherineau.info
- Suivez-moi sur Twitter : @benkenobi07

Informations annexes à l'article

Cet article a été publié le Mardi 7 juin 2011 à 7:34 et est classé dans Astuces, Développement, Extensions, Thèmes, WordPress.

Vous pouvez en suivre les commentaires par le biais du flux RSS 2.0.

Vous pouvez laisser un commentaire, ou faire un trackback depuis votre propre site.

Article lu 11&151 fois.

Méta

1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (3 votes, average: 5,00 out of 5)
Loading ... Loading ...
Imprimer cette article Envoyer cet article à un ami

18 commentaires

  1. Merci beaucoup de m’avoir cité.

    Je rappel aux Internautes que le script présent sur mon blog n’est pas pour être utilisé dans le mauvais sens, il pourrait être nécessaire pour apporter une touche de sécurité à votre blog, par exemple en vérifiant minutieusement le contenu de vos plugins.

    Maxence

  2. Dis donc t’es matinal ! Merci pour la citation (et pour la sélection) ;)

  3. Maxence > De rien.

    Julien > Toujours pour l’hebdo ! ^^

  4. @Benoît > Tu penses ça normal de supprimer mon compte WordPress qui n’a rien à voir avec le « plugin pirate » et de laisser en ligne le compte « pirate » ?

    Je trouve ça abérrant. Moi qui pensait rendre service aux utilisateurs de WordPress en les mettant sur leur garde, je me trompe vraiment :(

    Maxence

  5. Maxence > je ne comprends pas ta remarque… et encore moins de quoi tu parles, j’ai du rater quelques choses…

    Tu rends effectivement service à toute la communauté, ta démonstration est très instructive et je ne suis pas le seul à le penser. Je le dis d’ailleurs dans le paragraphe consacré à ton article dans l’hebdo.

    Ainsi, si tu peux m’expliquer de quoi tu me parles, j’en serai ravi. Et qui te parle de supprimer ton compte WordPress ??

    Merci encore pour ta contribution.

    :)

  6. Belle sélection de lien et merci pour la citation dans cette belle liste de ressources :)

  7. Maxence > Ca y est je viens de comprendre de quoi tu parlais en lisant tes commentaires (je n’avais pas eu le temps de le faire jusque là…)
    C’est donc sur wordpress.org. J’ai vu que Otto t’avais répondu. Où en est le problème ? c’est réglé ou pas ?

  8. Je n’aime pas du tout l’article sur le « piratage ». Pour moi c’est du FUD tout craché.

    Critiquer quelque chose (le plugin repository) pour quelque chose qui n’entre pas dans sa mission (assurer que le plugin respecte des criteres de qualité / sécurité), non, vraiment, je ne comprends pas le but.

  9. En faite, le but de cette article était d’expliquer qu’il était possible de pirater un blog WordPress et j’en ai laisser les preuves sur WordPress.org en créant un compte et en hébergeant le plugin. Si j’avais été trop CON, j’aurais gardé le plugin et l’astuce pour moi, puis je n’aurais pas dévoilé ce que j’ai fais sur mon blog, faut être taré pour le faire en se disant qu’on ne se fera pas chopé! Or! J’ai fais ceci pour faire réagir la communauté WordPress pour que des développeurs comme moi créent des plugins de sécurité ou qu’ils fassent quelque chose pour la prochaine version.

    Je suis actuellement en train de programmer un plugin qui liste les fonctions utilisés par un plugin, il suffira de cliquer sur le plugin puis de voir les fonctions utilisés.

    Mon plugin « pirate » n’a pas été utilisé pour dégrader les blogs! Je l’ai mis en ligne et j’ai mis le nom sur mon blog, donc c’est que quelque part je cherche à protéger NOS BLOGS!

  10. @Benoît > pour répondra à ta question. Ils ont bloqué mon compte qui n’a rien à voir avec le plugin et ont laissé le compte « pirate ». C’est du grand n’importe quoi… la prochaine je ferais mieux de fermer ma G***** !

    Merci encore pour l’article mais ça ne m’a pas aidé :( :)

  11. @OZH > Ta peur, ton incertitude et ton doute est faux! Tu n’as rien à creindre! J’ai moi même un blog, si je publie la faille sur mon blog, c’est pour que WordPress fasse un patch! Je protège mon blog avant tout !

  12. Maxence: « pour que WordPress fasse un patch »? Ca n’a aucun sens. Un patch de quoi?

  13. @Ozh > un patch qui bloque certaines fonctions. Enfin je sais pas. Mais qu’ils fassent quelques choses comme une clé à entrer dans le plugin pour utiliser certaines fonctions PHP créé par WordPress.

  14. @Maxence: si les plugins sont codés en php (et inclus avec des include/require), c’est impossible de limiter leur fonctionnalité. Il faudrait changer beaucoup des choses si l’on veut les exécuter dans un « sandbox ». Cette tâche n’est pas si facile de le faire correctement.

  15. @alex > Le plugin que je suis en train de développé scanne les fonctions dans les fichiers.

    Screenshot : http://img11.hostingpics.net/p.....xemple.jpg

    L’exemple du screenshot ci-dessus est celui du plugin sur lequel j’ai vu la faille utilisé.

    Maxence

  16. Maxence: Je ne pense pas que ce type de plugin soit vraiment utile. Est il suffisant de lister les fonctions pour déterminer si un plugin a du code malvéillant ? qu’est-ce qui se passe si un plugin est listé comme quoi il utilise des fonctions dites « dangereuses », mais qui ne l’est pas ? que fera-t-il un utilisateur qui ne connaît rien de sécurité ou php ?

    Il faut savoir aussi qu’un attaquant peut toujours combiner des fonctions considerées « sûres » pour faire ce qu’il veut. Il peut aussi faire un plugin qui modifie son propre code, etc.

  17. @Ozh > +1 pour ton « un patch de quoi ? »
    @Maxence > Comme je t’ai dit hier sur twitter, il suffisait de créer un proof of concept et en faire une démo vidéo sur un de tes sites de test pour montrer la faille.

    Là, en créant un compte, upload d’un plugin malicieux, exploitation de la faille (tu as reçu les mails des blogs ayant installé ton plugin puis qui sait si tu n’as rien fait ? Comment le prouver maintenant ? On ne te connait pas !!), tout ça fait que tu as été trop loin. Sans oublier que ton article est illégal (je vois qu’il a disparu) car il fait un full disclosure d’un exploit complet. Ton site étant hébergé chez OVH à Roubaix 59100, c’est bien en France, et le Full Disc est interdit en France :/

    Le ban de ton compte principal est normal, trop facile de créer un compte bidon en cas de ban. C’est MAXENCE qui a été banni, toi, pas juste un compte virtuel. WP.org a voulu te mettre un coup pour que tu vois à quel point tu as dépassé la limite.
    Tu aurais du fermer ta bouche et garder ça pour toi ? Non, c’est un autre extrème.
    Le poc + video sur site démo était suffisant une fois de plus.

    Maintenant je comprends le fond de la chose, mais il y a amalgame, ce n’est pas WordPress qui n’est pas secure, c’est ton plugin. WordPress ne PEUT PAS vérifier les plugins, aucun plugin ne peut le faire.
    Il faut un être (sur)humain pour vérifier toutes les versions envoyées sur le repo, c’est impossible.

    Mon boulot en sécurité web est de réaliser des audits de sites et j’ai pris la décision il y a un an d’auditer des plugins WordPress. Plus de 40% (mes stats) sont touchées par au moins une faille… Mais celles-ci sont involontaire, jamais je n’en ai vu une volontaire.

    Quand je lis l’idée de ton plugin qui va vérifier les autres plugins, je me dis que c’est le serpent qui se mord la queue. Et si la personne code d’une façon innatendue son plugin ? Regarde le code de ton plugin « rentabili ads », tu ne respectes absolument pas le protocole de WordPress sur la façon de coder un plugin. Va-t-il passer le test haut la main ?
    Et si au lieu de « mail() » j’ouvre un socket à la main, tu vas le voir ? On va jouer au chat et à la souris…

    Bon courage pour la suite !

  18. Bonjour
    Bientôt la version 3.2, c’est bien toutes les améliorations mais WordPress devient bientôt inutilisable pour ceux qui sont hébergés chez Free a cause de la limitation mémoire à 32mo. Aucun plugins ne peux bientôt être rajouter. Une version light de wordpress serait la bienvenue.
    Bonne journée

Laisser un commentaire

xHTML: Vous pouvez utiliser ces tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

écrire un commentaire

Aucun rétrolien