Vérifier la sécurité des extensions WordPress

WordPress est une plateforme très populaire pour créer et mettre en ligne un blog relativement rapidement sans beaucoup de connaissances techniques . Le CMS est sécurisé à condition de suivre un certain nombre de précautions, notamment d’appliquer les mises à jour proposées lorsqu’elles sont disponibles.
Le gros point noir concernant la sécurité de WordPress a pour origine les plug-ins (ainsi que les thèmes) que l’on peut installer pour ajouter des fonctionnalités supplémentaires à celles prévues par défaut
Rien que dans le catalogue officiel des plug-ins WordPress, on dénombre plus de 27 000 plug-ins en tout genre, sans compter bien sûr toutes les extensions que l’on peut trouver un peu partout sur le Web.
On pourrait penser que ces plug-ins, du moins ceux qui sont dans le catalogue du site de WordPress, sont testés. Il n’en est rien ! Quand on installe une nouvelle extension, on est face à l’inconnu. Tout peut arriver : failles de sécurité, programmation hasardeuse, code malicieux (volontaire ou par incompétence du développeur)… Il est impossible de certifier à moins d’être soi-même un spécialiste de la sécurité WordPress qu’une extension est fiable à 100% et ne contient pas dans son code PHP de quoi mettre à plat une installation WordPress ou ouvrir toutes grandes les portes de son site à une personne mal intentionnée.
Avec l’extension Plugin Security Checker, on va bénéficier gratuitement de l’expérience d’un développeur expérimenté, Julio Potier, qui vient de la mettre à jour en version 2.0. L’extension (digne de confiance cela va sans dire) est basée sur un catalogue de plus de 10 000 plug-ins. Certains de ces plug-ins sont fiables, d’autres non, car ils ont été supprimés de la page officielle des plug-ins WordPress, car ils présentaient un risque de sécurité identifié, mais jamais corrigé.

plugin-security-checker

Après avoir installé l’extension Plugin Security Checker, il suffit d’afficher la page Extensions de son blog à partir du Tableau de bord de WordPress pour avoir le résultat de l’audit de sécurité sur les extensions installées sur sa plateforme WordPress.
Si tout va bien, la mention « No Security Warning, good! » est affichée en haut de la page des extensions.

wordpress-plugins-securite-ok

Dans le cas contraire, la ou les extensions comportant des failles de sécurités sont indiquées en rouge.

wordpress-plugins-securite-nok

Dans ce cas, il faudra d’urgence les mettre à jour avec une version corrigée ou les supprimer si aucune correction n’est proposée par le développeur.
Plugin Security Checker est une extension gratuite, des mises à jour seront régulièrement proposées par son développeur.

1 réflexion au sujet de « Vérifier la sécurité des extensions WordPress »

  1. Une extension signée Julio Potier, expert en sécurité web :)

    Merci pour l’info, ballajack, je me demandais justement où est-ce qu’il en était avec son extension :)

Les commentaires sont fermés.