Oui, vous avez bien lu. Voici le truc :
- WPTavern interviewe un service de tests A/B
- Le site du service de tests A/B est signalé comme contenant un logiciel malveillant (très mauvais timing, je sais).
- Pourquoi ? Parce que leur style.css contenait un commentaire faisant référence à un autre site avec une infection de malware réelle. C'est tout. Lisez-en plus à ce sujet dans ce commentaire.
Si vous êtes consultant WordPress, développeur, ou quoi que ce soit d'autre, et que votre client vient vous voir avec un problème d'avertissement de "malware", vous devriez absolument être conscient de cette possibilité.
Le haut du fichier style.css d'un thème WordPress
En haut du fichier style.css de chaque thème WordPress, un thème peut inclure les informations suivantes (facultatives) pour se décrire. Voici un exemple :
/*
Nom du thème : Theme Lab
URI du thème : http://www.themelab.com/
Description : Le thème que j'utilise pour Theme Lab.
Auteur : Leland Fiegel
URI de l'auteur : http://leland.me/
Version : 1.0
Licence : Licence non applicable v2.0
URI de la licence : http://example.com/not-for-release-i-dont-need-a-license
*/
WordPress utilise cela pour afficher certaines informations sur la page des thèmes dans votre administration (plus à ce sujet plus tard). Il est également utilisé pour générer une page sur le répertoire des thèmes de WordPress.org si celui-ci y est soumis et accepté.
Si l'URL listée à côté de "theme URI" et "author URI" est signalée comme contenant un logiciel malveillant, vous pourriez également être signalé comme contenant un logiciel malveillant, simplement pour les avoir référencés.
Thèmes sponsorisés et sites suspects
C'est un fait bien connu que le fait de lier vers des sites suspects peut potentiellement vous pénaliser et potentiellement vous signaler pour logiciel malveillant. Cela a été un sujet brûlant pendant l'ère des « thèmes sponsorisés » ainsi que la discussion sur les sites de thèmes louches.
Être signalé pour logiciel malveillant parce que l'on a lié vers un site infecté par un logiciel malveillant est tout à fait compréhensible car, eh bien… vous liez directement vers un site potentiellement infecté sur lequel vos visiteurs pourraient ensuite cliquer et être infectés à leur tour.
Mais être signalé pour logiciel malveillant à cause d'une référence d'URL commentée dans une feuille de style ? C'est certainement nouveau pour moi. Comment vous en protégez-vous ?
Suppression préventive des références d'URL dans les feuilles de style
Pratiquement tous les thèmes publiés incluent un lien vers WordPress.org et/ou le site du développeur du thème. Beaucoup suppriment ces liens sortants (pour des raisons de « SEO » ou autre).
Peu de gens pensent même à supprimer les informations de crédit de leur feuille de style. Les seules personnes qui vérifient réellement ces choses sont principalement d'autres développeurs. Je sais que je vérifie fréquemment les fichiers style.css des sites WordPress pour voir quel thème ils utilisent, qu'il soit pré-fait ou personnalisé, etc.
Il s'avère que ce ne sont pas seulement les développeurs qui consultent les éléments commentés dans votre fichier style.css, mais aussi les robots de Google.
Étant donné que c'est quelque chose qui échappe totalement à votre contrôle (c'est-à-dire le statut de logiciel malveillant d'un site tiers, probablement votre développeur de thème), il pourrait être utile de supprimer l'URI de l'auteur et l'URI du thème dans votre fichier style.css. D'ailleurs, même l'URI de licence pour être sûr.
Espérons que les développeurs curieux pourront découvrir les origines d'un thème en recherchant sur Google l'auteur et/ou le nom du thème pour trouver leur site, espérons-le, non infecté par des logiciels malveillants.
Est-ce que le simple fait de référencer une URL commentée en CSS… est un malware ?
La partie la plus préoccupante de cette nouvelle est peut-être que, même si je référençais le site le plus spammeux et infesté de malwares dans mon CSS avec du code commenté, en quoi cela représente-t-il un danger pour mes visiteurs ?
Ce n'est pas comme si je chargeais une ressource externe depuis un site infecté. C'est juste un commentaire. En CSS. Totalement inoffensif, n'est-ce pas ?
Comme je l'ai mentionné plus haut, la plupart des gens qui vérifient généralement le code des feuilles de style sont d'autres développeurs. Même s'ils copient et collent l'URL dans leur navigateur et sont infectés par un malware imaginaire, je pense que la politique de Google est au mieux excessive (en supposant qu'il s'agisse réellement d'une politique, et non d'un bug dans leurs mécanismes de vérification des malwares).
Il convient également de noter que ces URI de thème et d'auteur sont affichés comme de véritables liens dans l'administration de WordPress. C'est peut-être la façon étrange de Google de protéger les utilisateurs de WordPress, et pas nécessairement les personnes qui parcourent votre fichier style.css.
Conclusion
Nous savons tous que Google et d'autres moteurs de recherche majeurs analyseront votre CSS pour vérifier les techniques de dissimulation de texte stupides de « chapeau noir » (retraits de texte négatifs, display: none, visibility: hidden, couleurs de premier plan et d'arrière-plan correspondantes), entre autres choses.
Vous pouvez certainement être pénalisé et banni pour avoir fait quelque chose de stupide comme ça, c'est un fait bien connu. Obtenir un avertissement de logiciel malveillant pour du code commenté dans le CSS ? Pas si bien connu.
Être signalé pour logiciel malveillant par Google, c'est pratiquement un suicide SEO. Je n'ai heureusement jamais eu à y faire face, bien qu'il soit sûr de supposer que mon trafic des moteurs de recherche chuterait si cela m'arrivait un jour.
Je me sentirais aussi vraiment mal étant donné que tout site qui utilise un thème Theme Lab pourrait également être potentiellement signalé pour logiciel malveillant, simplement en référençant l'URL de Theme Lab dans la feuille de style du thème.
Vous ne voulez pas partager le blâme avec le statut de logiciel malveillant d'un autre site si vous n'avez pas à le faire, même si le statut de logiciel malveillant de ce site d'origine a été commis par erreur.
Alors oui, envisagez de supprimer l'URI de l'auteur et l'URI du thème dans votre style.css. Quelle que soit la réputation de l'auteur/thème, n'importe qui peut potentiellement être piraté, et cela pourrait vous éviter des maux de tête à l'avenir pour quelque chose qui n'est pas de votre faute.
Bon à savoir, merci !
Merci de partager cela, Leland ! C'est la première fois que j'entends parler de ce genre de problème.
Les utilisateurs de WordPress doivent savoir cela. Je vais le présenter dans mon résumé du week-end et si j'ai le temps, je pourrais aussi en parler.
Il est vraiment important de choisir soigneusement où vous téléchargez ou achetez vos thèmes WordPress.
Merci JP, pareil, je n'en avais jamais entendu parler avant de publier ceci.
Le plus effrayant, c'est que même une entreprise de thèmes réputée peut potentiellement être infectée par des logiciels malveillants. Ils pourraient même être la cible de telles attaques parce qu'ils sont si populaires.
Ce n'est pas seulement un avertissement lié à l'utilisation de thèmes provenant de sites suspects.
Ouais mec, j'ai déjà vu ça et j'ai supprimé mes liens. Même si ça crédite l'auteur du thème. Je laisse toujours leur nom si j'utilise un thème personnalisé qui a été modifié ou quelque chose comme ça.
C'est fou comment les bots fonctionnent honnêtement, ça peut être un peu énervant et des gens m'ont déjà posé la question.
Je suis sûr que ce post les aidera à long terme 🙂
Salut Anto, quand as-tu vu quelque chose comme ça pour la première fois ? Je n'ai pas pu trouver d'autres rapports précédents à ce sujet.