Oui, vous avez bien lu. Voici ce qu’il en est :
- WPTavern interviewe un service de tests fractionnés
- Lesite d’un service de split-testing est signalé pour des logiciels malveillants (mauvais timing, je sais).
- Pourquoi ? Parce que leur style.css contenait un commentaire faisant référence à un autre site infecté par un malware. C’est tout. Pour en savoir plus, lisez ce commentaire.
Si vous êtes un consultant WordPress, un développeur ou autre, et que votre client vient vous voir avec un problème d’avertissement de “malware”, vous devez absolument être conscient de cette possibilité.
Le début du fichier style.css d’un thème WordPress
En tête du fichier style.css de chaque thème WordPress, un thème peut inclure les informations suivantes (facultatives) pour se décrire. Voici un exemple :
/*
Nom du thème : Theme Lab
URI du thème : http://www.themelab.com/
Description : Le thème que j'utilise pour Theme Lab.
Auteur : Leland Fiegel Leland Fiegel
URI de l'auteur : http://leland.me/
Version : 1.0
Licence : Not Applicable License v2.0
URI de la licence : http://example.com/not-for-release-i-dont-need-a-license
*/
WordPress l’utilise pour afficher certaines informations sur la page des thèmes dans votre administration (plus d’informations à ce sujet plus tard). Il est également utilisé pour générer une page sur le répertoire de thèmes de WordPress.org si le thème est soumis et accepté dans ce répertoire.
Si l’URL listée à côté de “theme URI” et “author URI” est signalée comme étant malveillante, vous pouvez également être signalé comme étant malveillant, simplement parce que vous y faites référence.
Thèmes sponsorisés et sites douteux
Il est bien connu que l’établissement de liens vers des sites douteux peut vous pénaliser et vous signaler comme étant porteur de logiciels malveillants. Il s’agit d’un sujet brûlant à l’époque des “thèmes sponsorisés” et des discussions sur les sites à thème douteux.
Il est tout à fait compréhensible que vous soyez signalé pour des logiciels malveillants lorsque vous créez un lien vers un site infecté par des logiciels malveillants, car vous créez un lien direct vers un site potentiellement infecté sur lequel vos visiteurs peuvent cliquer et être infectés à leur tour.
Mais se faire repérer par un logiciel malveillant à cause d’une référence URL commentée dans une feuille de style ? C’est tout à fait nouveau pour moi. Comment s’en protéger ?
Supprimer préventivement les références URL dans les feuilles de style
Pratiquement tous les thèmes publiés incluent un lien vers WordPress.org et/ou le site du développeur du thème. Beaucoup suppriment ces liens sortants (pour des raisons de “SEO” ou autres).
Peu d’entre eux pensent même à supprimer les informations de crédit de leur feuille de style. Les seules personnes qui vérifient réellement ce genre de choses sont la plupart du temps d’autres développeurs. Je sais que je vérifie fréquemment les fichiers style.css des sites WordPress pour voir quel thème ils utilisent, s’il est préfabriqué ou personnalisé, etc.
Il s’avère que ce ne sont pas seulement les développeurs qui vérifient les éléments commentés dans votre fichier style.css, mais aussi les robots de Google.
Étant donné qu’il s ‘agit de quelque chose qui échappe totalement à votre contrôle (c’est-à-dire le statut de malware d’un site tiers, probablement le développeur de votre thème), il peut être intéressant de supprimer l’URI de l’auteur et l’URI du thème dans votre fichier style.css. Et même l’URI de la licence, par précaution.
Il est à espérer que les développeurs curieux pourront découvrir les origines d’un thème en recherchant sur Google l’auteur et/ou le nom du thème pour trouver leur site, qui, espérons-le, n’est pas infecté par des logiciels malveillants.
Le simple fait de référencer une URL commentée dans un CSS est-il… un logiciel malveillant ?
La partie la plus inquiétante de cette nouvelle est sans doute le fait que même si j’ai référencé le site le plus polluant et le plus infecté par des logiciels malveillants dans mon CSS avec un code commenté, en quoi cela représente-t-il un quelconque danger pour mes visiteurs ?
Ce n’est pas comme si je chargeais une ressource externe à partir d’un site infecté. C’est juste un commentaire. En CSS. Totalement inoffensif, n’est-ce pas ?
Comme je l’ai mentionné plus haut, la plupart des personnes qui vérifient généralement le code des feuilles de style sont d’autres développeurs. Même s’ils copient et collent l’URL dans leur navigateur et sont infectés par un logiciel malveillant imaginaire, je pense que la politique de Google est au mieux excessive (en supposant qu’il s’agisse réellement d’une politique et non d’un bogue dans leurs mécanismes de vérification des logiciels malveillants).
Il faut également tenir compte du fait que ces URI de thème et d’auteur sont affichés comme des liens réels dans l’administration de WordPress. Il s’agit peut-être d’une façon étrange pour Google de protéger les utilisateurs de WordPress, et pas nécessairement les personnes qui se faufilent dans votre fichier style.css.
Conclusion
Nous savons tous que Google et d’autres moteurs de recherche importants analysent votre CSS pour vérifier les techniques de dissimulation de texte “black hat” (retraits de texte négatifs, display : none, visibility : hidden, couleurs d’arrière-plan et d’avant-plan assorties), entre autres choses.
Vous pouvez certainement être pénalisé et banni pour avoir fait quelque chose de stupide comme cela, c’est un fait bien connu. Recevoir un avertissement de logiciel malveillant pour un code commenté en CSS ? Ce n’est pas aussi connu.
Se faire repérer par Google pour des logiciels malveillants est un véritable suicide en matière de référencement. Je n’ai heureusement jamais eu à m’en occuper, mais on peut supposer que mon trafic sur les moteurs de recherche chuterait si je recevais un tel avertissement.
Je me sentirais également très mal à l’aise si l’on considère que tout site qui utilise un thème Theme Lab pourrait également être signalé comme malware, simplement parce qu’il fait référence à l’URL de Theme Lab dans la feuille de style du thème.
Vous ne voulez pas partager la responsabilité du statut de malware d’un autre site si vous n’y êtes pas obligé, même si le statut de malware de ce site original a été créé par erreur.
Alors oui, envisagez de supprimer l’URI de l’auteur et l’URI du thème dans votre style.css. Quelle que soit la bonne réputation de l’auteur ou du thème, tout le monde peut potentiellement être piraté, et cela peut vous éviter des maux de tête à l’avenir pour quelque chose qui n’est pas de votre faute.
Great to know, thanks!
Thanks for sharing about this Leland! This is the first time for me to hear about this kind of issue.
WordPress users need to know about this. I’ll feature this on my Weekend Roundup and if I have time, I might post about it too.
It really is important to choose carefully where you download or purchase WordPress themes from.
Thanks JP, likewise, I’ve never heard of it before I posted this.
The scary part is, even a reputable theme company can potentially be infected with malware. They might even be the target of such attacks because they’re so popular.
It’s not just a warning from using themes from sketchy sites.
Yeah man ive seen this before and removed my links. Even though its giving credit to the theme author. I still leave there name in if I’m using a custom theme thats been modified or something like that.
Crazy how bots work tbh, can be a little annoying and people have asked me this before.
Im sure this post will help them out in the long shot 🙂
Hey Anto, when did you first see something like this? I couldn’t find any other previous reports of it.