Plugins wordpress et failles de sécurité, faut-il s’inquiéter ?
La popularité de WordPress comme système de gestion de contenu est indéniable, mais avec elle vient un défi de taille souvent mis de côté : la maintenance.
Soimmaire
Les plugins la force de wordpress ?
Les plugins constituent la force majeure de WordPress, offrant une personnalisation et une extensibilité incomparable qui fait sa force face aux autres CMS présents sur le marché.
Ils permettent aux utilisateurs de WordPress de tous niveaux d’ajouter des fonctionnalités complexes à leurs sites sans avoir besoin de coder. Avec près de 60 000 extensions disponibles sur wordpress.org, il y a un plugin pour presque chaque besoin, qu’il s’agisse de SEO, de sécurité, de commerce électronique ou de gestion des réseaux sociaux.
Cette abondance offre une flexibilité permettant à chaque site WordPress de se démarquer et de s’adapter précisément aux besoins de son éditeur à moindre cout. En outre, la communauté active des développeurs de plugins assure des mises à jour constantes et l’innovation continue, gardant les sites WordPress à la pointe de la technologie web.
Et sa faiblesse
Si WordPress repose grandement sur ses plugins, cette dépendance peut aussi se transformer en faiblesse : L’éditeur non averti aura tendance à installer un grand nombre de plugins sans forcement faire attention à leurs inter compatibilité, aux sérieux de leurs développeurs et n’assurera que partiellement le suivi et la mise à jours de ceux ci pouvant entrainer bugs en cascades et failles de sécurité.
Les plugins WordPress dans les faits
En tant que propriétaire d’un site WordPress, il est crucial de comprendre l’impact de l’utilisation des plugins sur l’intégrité de votre site. Et si la majeure partie du temps vous ne rencontrerez pas de problème, ou de bug il ne faut pas pour autant être moins vigilant.
Pour appuyer nos dires, nous avons analyser les failles de sécurités rendues publiques de juillet à octobre, sur 4 mois donc.
Plus de 1598 vulnérabilités de sécurité ont été identifiées dans divers plugins WordPress, ce qui équivaut à environ 400 vulnérabilités par mois, ou encore plus de 13 par jour.
Avant d’allez plus loin, posez-vous les questions suivantes :
- Combien de plugins sont actuellement actifs sur votre site ?
- Quels critères avez-vous utilisés pour les sélectionner ?
- À quelle fréquence effectuez vous des mises à jour ?
Beaucoup de propriétaires de sites croient à tort que la maintenance est inutile, particulièrement pour les sites de petite taille avec peu de trafic. Néanmoins, les données évoquées plus tôt révèlent une réalité distincte, mettant en lumière l’importance des mises à jour régulières.
Un constat alarmant est qu’un tiers des plugins n’avaient pas reçu de mise à jour au moment où leurs vulnérabilités ont été divulguées. Ce manque de correction rapide n’est pas limité aux plugins : des failles de sécurité dans les thèmes et le cœur même de WordPress ont également été publiées.
Comment limiter son exposition au vulnérabilités des plugins :
- Identifier les plugins non sécurisés installés sur votre site Web.
- Mettre à jour ces plugins rapidement lorsque des correctifs sont publiés par les développeurs.
- Désactiver le plugin jusqu’à ce qu’un correctif de sécurité soit disponible.
- Chercher des alternatives sécurisées si un développeur de plugin est lent à répondre aux vulnérabilités connues.
Y a-t-il des plugins à éviter ?
Pas forcément, toutes fois, certains sont plus régulièrement sujets à des failles de sécurité, ce qui peut (pas obligatoirement) traduire un code de mauvaise qualité ou un manque de sérieux de la part du développeur du plugin.
Pour illustrer davantage ce point, plusieurs plugins ont été compromis à plusieurs reprises au cours des quatre derniers mois, y compris :
- Ninja Forms – 12 failles
- AI ChatBot – 11 failles
- PHP Everywhere – 10 failles
- The Events Calendar – 6 failles
- Remove Duplicate Posts – 6 failles
- Social Share Icons & Social Share Buttons – 6 failles
- Jupiter X Core – 6 failles
- Shop as a Customer for WooCommerce – 6 failles
- WordPress Gallery Plugin – NextGEN Gallery – 6 failles
- Slimstat Analytics – 5 failles
- WP Project Manager – 5 failles
- Donations Made Easy – Smart Donations – 5 failles
- Duplicate Post – 5 failles
- TI WooCommerce Wishlist – 5 failles
- Backup Migration – 5 failles
Ces statistiques servent de rappel, en particulier pour ceux qui dépendent fortement d’un grand nombre de plugins. Les propriétaires de sites doivent exercer des pratiques de maintenance vigilantes, se tenir au courant des mises à jour de sécurité et être prêts à agir rapidement pour protéger leur présence en ligne. Ignorer ces pratiques ne met pas seulement votre site en danger ; cela peut également compromettre la sécurité des données des utilisateurs et éroder la confiance que vos visiteurs ont dans votre espace numérique.