Documentation en français du builder Oxygen

Prise en compte de la sécurité

Validation des shortcodes

En allant sur Oxygen > Settings > Security, vous pouvez empêcher l’exécution de shortcodes dans Oxygen s’ils ne sont pas validés par une signature.

Pour renforcer Oxygen contre des attaques potentielles, il est vivement recommandé d’activer cette option. Celle ci est activée par défaut pour les versions 2.1 (et suivantes) d’Oxygen.

Explications concernant la signature des shortcodes

Oxygen stocke les éléments sur votre page en tant que shortcodes WordPress. Au moment de l’exécution, ces shortcodes sont compilés en PHP, HTML, CSS et JavaScript.

Si une extension (plugin) de votre site comporte une faille de sécurité, une personne mal intentionnée pourraient également exécuter les shortcodes d’Oxygen.
Étant donné que les shortcodes d’Oxygen permettent d’exécuter du code PHP, ces personnes pourraient en profiter pour exécuter le code PHP qu’ils souhaitent sur votre site – autrement dit, elles pourraient modifier votre mot de passe administrateur, voler toutes vos données utilisateur, etc.

Bien entendu, cette attaque requiert la présence d’une extension dotée d’une faille de sécurité sur votre site. Mais comme il est probable que ces extensions existent, il est fortement recommandé d’activer cette option.

Le seul moyen de générer une signature valide consiste à accéder aux clés de signature – uniques et générées de façon aléatoire lors de l’installation d’Oxygen. Celles-ci sont stockées dans la table wp_options de la base de données de votre site, de sorte que seul l’administrateur du site (ou un hacker ayant forcé l'accès à la base de données) peut obtenir les clés et signer un shortcode.

Plus d’informations : http://www.pritect.net/blog/wordpress-shortcode-injection-attack-vector

WordPress en multisite

En donnant l’accès à Oxygen aux utilisateurs d’un réseau multisite (https://codex.wordpress.org/Create_A_Network), vous leur donnez la possibilité d’écrire du code PHP à partir d’Oxygen via des éléments tels que Code Block ou Easy Posts.

Évidemment, cela signifie qu’ils pourraient exécuter n’importe quel code PHP – comme si vous leur donniez le droit d’installer des plugins ou d’éditer les fichiers PHP du thème.

Greg C. / Ph. Reskator

Besoin d’un complément d’information ? Retrouvez-nous sur le groupe de soutien
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram