Panique générale, google ads, et google cloud envoient des messages concernant les sites utilisant polyfill .io … arrêt des pub, alertes possibilités d’être piraté etc.
Stop panique. La suite est pour expliquer simplement ce qu’il en est et arrêter le vent de panique dès que quelqu’un voir le mot polyfill sur son site.
Le problème de sécurité pour vos sites WordPress est réel, mais nécessite une analyse.
WordFence plus discret vous envoie le problème aussi via le scan automatique, et il identifie le plugins ou le thème en cause, ce qui est tout de même plus pratique . Dans le lot on va avoir des faux positifs car la bibliothèque polyfill est quasi partout dans WordPress, mais pas le lien vers le domaine.
Il faut donc aller voir exactement ce qu’il en est dans votre code.
D’abord qu’est-ce que ce lien vers polyfill .io :
Polyfill est une bibliothèque js qui assurait la compatibilité avec les anciens navigateurs. Cette bibliothèque était hébergée et mise à disposition gratuitement sur le domaine du même nom et ‘.io’ .
Le nom de domaine a été racheté en février 2024 par une société ‘douteuse’. Et à présent la bibliothèque renvoie vers des sites plus que douteux sur les versions mobiles.
Qui utilise Polyfill .io?
WordPress n’est pas le seul impacté, cette bibliothèque est encore utilisée dans des projets Magento ou Shopify par exemple.
Par contre il faut distinguer les utilisations via liens externes (qui est en cause chez Amélia Booking par exemple) et l’utilisation de la bibliothèque importée en interne, pas de liens vers l’extérieur ni d’interactions externe, comme c’est le cas dans WordPress et une grande quantité de plugins qui utilisent cette bibliothèque interne.
La distinction est de taille, donc WordPress par lui même et une grande majorité de plugins ne sont pas concernés par le détournement du domaine d’origine de polyfill.
Quels sont les plugins WordPress concernés par le lien externe?
Wp directory donne un début de liste : https://wpdirectory.net/search/01J1F4KHRC6TA8CA6B4JDJYSNP
En gros quelques 600 000 installations vont tout de même être concernées.
Que faire si vous utilisez un plugins WordPress concerné?
Un solution serait de désinstaller ou du moins désactiver le plugins en question. Mais pas évident de retirer des plugins comme Amélia qui sont le coeur du business de votre site WordPress ou comme WP User Front end .
Une autre solution consiste à décharger la bibliothèque en question. Pour cela, il faut trouver le code enqueue dans le plugins puis le déregistrer.
Exemple ici avec Amélia booking.
function deregister_polyfill(){
wp_deregister_script( 'amelia-polyfill' );
}
add_action( 'wp_enqueue_scripts', 'deregister_polyfill');Toutefois cela pourrait avoir des effets de bord indésirables.
Le plus sage est peut-être de vérifier que vous avez de bonnes sauvegardes et d’attendre les mises à jour qui vont probablement tomber rapidement, du moins pour des plugins comme Amélia booking et Fibosearch.
Nota: Fibosearch indique que le lien dans son code n’est qu’un lien commentaire de l’origine de la bibliothèque donc ‘inactif’ et inutilisé, que les éléments eux sont bien chargés en interne, mais il sortira tout de même une mise à jour pour éviter les faux positifs
Suivi, Réponse des développeurs d’Amélia Booking
Autrement dit désactivez l’option, on fera la mise à jour plus tard…
« Nous avons vérifié auprès de nos développeurs et il n’y a rien de mal avec Amelia malgré l’affichage d’avertissements par WordFence.
Cette ligne de code est activée si le paramètre « Activer l’utilisation pour les anciens navigateurs IE » est activé… Ce paramètre est désactivé par défaut depuis environ 2 ans, il doit donc être activé manuellement pour que ce JS prétendument problématique puisse fonctionner. apparaître sur la page. Nos développeurs travailleront à sa suppression complète dans l’une des prochaines mises à jour. Nous supprimerons complètement l’appel à ce script JS polyfill et cet avertissement ne devrait plus apparaître.
Si vous avez activé l’option Activer l’utilisation pour les anciens navigateurs IE dans les activations des paramètres, désactivez-la simplement et assurez-vous de purger le cache, et cela ne devrait plus apparaître. Dans le cas où cela continue à apparaître comme vous l’avez mentionné, il n’y a rien de mal avec Amelia qui pourrait nuire à votre site ou similaire, et dans l’une des prochaines mises à jour, très probablement dans la prochaine, nous espérons que nos développeurs supprimeront cette chaîne. et cet avertissement ne devrait plus apparaître. apparaît
Je voulais attirer votre attention sur le fait que lorsque les paramètres sont désactivés, JavaScript (JS) ne sera pas invoqué sur la page. Cependant, Wordfence détectera toujours la présence d’un problème supposé d’Amelia avec le code, probablement basé sur l’identification de cette chaîne spécifique. Par conséquent, même si vous avez désactivé cette option, vous pourrez toujours identifier le problème. Rassurez-vous, nous prévoyons de résoudre ce problème avec une prochaine mise à jour prévue pour la semaine prochaine, provisoirement mardi, où nous veillerons à ce que JS ne soit pas appelé sur la page. Merci de votre attention à cette question. Cordialement. »
