Vous êtes utilisateur de WordPress , et vous avez décidé de changer le thème de votre blog ? Attention, on ne badine pas avec la sécurité ! Soyez très vigilant, car il s’avère que de nombreux thèmes sont infectés plus ou moins gravement. c’est vrai aussi pour les plug-ins, d’ailleurs. Vous risqueriez alors de contaminer votre site et votre ordinateur. J’en ai d’ailleurs fait les frais l’année dernière...

Si vous voulez scanner le thème que vous utilisez pour savoir s’il ne contient pas du code malveillant ou indésirable, vous pouvez utiliser builtBackwards’ Theme Authenticity Checker Plugin et Donncha O Caoimh’s Exploit Scanner.

Si vous cherchez un thème gratuit par l’intermédiaire de Google, vous avez hélas toutes les chances de télécharger un thème « malsain » : c’est ce qui ressort de  cet article très intéressant de Siobhan Ambrose.

Elle a téléchargé des thèmes trouvés sur Google, en provenance de différents sites. Elle les a ensuite scannés à l’aide des différents outils cités plus haut pour rechercher les fragments de code qui ne devraient pas s’y trouver.

Le résultat est sans appel ! Même sur des thèmes connus, il arrive souvent que des sites insèrent des morceaux de code malveillants, ou encore des liens cachés vers des autres sites à votre insu (avec,dans le code, un commentaire mensonger du style « surtout n’enlevez pas ce code sinon le thème ne fonctionnera pas  » !) .

C’est ainsi le cas pour les sites suivants, testés par l’auteur de l’article : WordPressThemeBase, Free WordPress Themes, Themes2WP, Themes.Rock Kitty, WP Themes Depot, WPRex, No Limits Webdesign, Templates Browser.

C’est seulement sur WordPress.org que les thèmes ont subi les tests avec succès. Le site freeWPthemes offre également des thèmes qui n’ont pas de code malveillant, même s »ils ne correspondent pas exactement aux exigences requises par la communauté WordPress. Veillez cependant à bien tester les fonctionnalités qui vous intéressent.

On peut juste déplorer le manque de thèmes répondant aux nouvelles propriétés de WordPress 3 sur ces 2 sites.

En tous cas, ne téléchargez jamais directement un thème sur votre serveur de production, mais testez-le d’abord sur votre ordinateur en local.

Pour en savoir davantage, vous pouvez lire la version originale de l’article en anglais.