- Extract the plugin folder from the downloaded ZIP file.
- Upload BAW WPSC folder to your /wp-content/plugins/ directory.
- Activate the plugin from the "Plugins" page in your Dashboard.
- Get a Free ApiKey from Boiteaweb.fr/apikeys
- Configure the plugin from BoiteAWeb> Config ApiKey.
- Clic on the "blue shield link"
- There is no point "7" !! STOP IT !
1.0
- 17/02/2011
- First Release
How it works ? -> When you clic on the blue shield, an ajax request ask my service and retreave some security information. Then response indicates whether the plugin is valid, vulnerable, patched or not yet checked.
Why do i have to get an ApiKey ? -> Because each request is sent on my website, i have to know who use it.
What can i do if a plugin is vulnerable !? -> First you can read the exploit post, i give some solution, and most of the time : the desactivation is the only solution ...
C'est quoi ?
Cette extension vous permet de savoir si les autres extensions installées - activées ou non - sont connues pour être sécurisées ou si elles contiennent des failles de sécurité.
C'est grave si elle contient des failles de sécurité ?
Beaucoup plus que vous ne le pensez. Vous pourriez avoir sécurisé au mieux votre serveur, la simple installation d'une extension vulnérable mets votre site à genoux ...
Alors comment ça marche ?
C'est simple, je tiens une liste des extensions que j'ai audité sur ce lien. Une fois activée - avec une clé API gratuite et configurée - vous pourrez cliquer sur un nouveau bouton sur chaque extension (voir screenshots), une requête est envoyée pour obtenir des informations sur sa sécurité. Ainsi, vous savez si vous pouvez vous permettre de garder une extension dangereuse ou non.
Et si l'extension n'a pas encore été vérifiée ?
Vous avez justement la possibilité de demander l'audits d'extensions au travers d'un système d'abonnements, ce service s'adresse aux développeurs, webmasters ou simplement si vous présentez des extensions sur votre blog.
C'est payant ?
L'extension et son utilisation sont gratuites ! Le service de demande d'audits est payant, les compétences de consultant en sécurité web sont obligatoires pour s'assurer une bonne sécurité.
Assez bavardé, je veux voir !
Etat non cliqué, le bouclier bleu permet d'obtenir les informations sur la sécurité de cette extension.
Ici, l'extension a été validée par nos services, vous en êtes informés de cette façon.
Celle-ci est vulnérable, vous pouvez lire le post la concernant sur le blog, une solution vous est proposée.
Celle-là a été corrigée, tenez vous à jour dans vos versions !
Enfin, cette dernière n'a pas été vérifiée par nos services, il existe donc un risque potentiel d'existence de failles de sécurité.
Lire la suite
User Name Security
Vulnérabilités dans Portable phpMyAdmin
Vulnérabilité dans W3 Total Cache v0.9.2.4
Admin Bar Tools v2
Block Bad Queries
À propos de Julio Potier
RSS
merci pour ces précieuses infos :)
Tu devrait aussi lier ton service à des bases d’exploit telles que exploitdb.com ou autres, car là, pratiquement aucune extension n’est répertoriée et c’est bien dommage vu que ton concept est bon.
Merci Felix.
Je ne souhaite pas externaliser mon projet/concept.
Il est vrai que le nombre d’extensions audité est faible (moins de 100 sur plus de 13500) mais le plugin est très jeune et le site aussi ;)
Je compte donc sur tout le monde pour faire des audits sur leurs extensions, leurs installations etc.
De mon côté de continue aussi à en auditer, informer un maximum, sensibiliser.
Merci encore.
Merci tout simplement pour ce travail @Boitaweb
Je l’ai essayé sur mon dev local, tout est en « rouge plugin non vérifié » ;0) sauf le BAW WPSC qui lui est bien en vert (OUFFF.. ;0)
bon ma situation est Normal puisque j’ai une multitude de plugin que je teste pour voir s’ils correspondent à mes besoins …
Je vais donc voir sur mes deux sites en production … à suivre
@boiteaweb, as tu déjà l’infos (gratuit-payant ) concernant les prestations de demande vérification de Plugin ?
autre question , la liste des plugins qui ont été vérifiés, est-elle disponible ?
pour moi se serait bien plutôt que d’installer, puis contrôler, que l’on puisse la consulter et prendre directement le plugin référencé par BAW WPSC !
Cdt
@doloth
@doloth : « as tu déjà l’infos (gratuit-payant ) concernant les prestations de demande vérification de Plugin ? »
Euh oui, apparemment ce n’est pas assez visible, c’est dans le footer de l’article, sur le bouton « Utiliser WordPex » :s
La liste existe si on peut dire, c’est la catégorie « Sécurité » -> « http://www.boiteaweb.fr/cat/securite »
Elle contient une 30aine de plugins, cette liste ne demande qu’a grossir !
Merci pour ton test !