WordPress est une plateforme très populaire pour créer et mettre en ligne un blog relativement rapidement sans beaucoup de connaissances techniques . Le CMS est sécurisé à condition de suivre un certain nombre de précautions, notamment d’appliquer les mises à jour proposées lorsqu’elles sont disponibles.
Le gros point noir concernant la sécurité de WordPress a pour origine les plug-ins (ainsi que les thèmes) que l’on peut installer pour ajouter des fonctionnalités supplémentaires à celles prévues par défaut
Rien que dans le catalogue officiel des plug-ins WordPress, on dénombre plus de 27 000 plug-ins en tout genre, sans compter bien sûr toutes les extensions que l’on peut trouver un peu partout sur le Web.
On pourrait penser que ces plug-ins, du moins ceux qui sont dans le catalogue du site de WordPress, sont testés. Il n’en est rien ! Quand on installe une nouvelle extension, on est face à l’inconnu. Tout peut arriver : failles de sécurité, programmation hasardeuse, code malicieux (volontaire ou par incompétence du développeur)… Il est impossible de certifier à moins d’être soi-même un spécialiste de la sécurité WordPress qu’une extension est fiable à 100% et ne contient pas dans son code PHP de quoi mettre à plat une installation WordPress ou ouvrir toutes grandes les portes de son site à une personne mal intentionnée.
Avec l’extension Plugin Security Checker, on va bénéficier gratuitement de l’expérience d’un développeur expérimenté, Julio Potier, qui vient de la mettre à jour en version 2.0. L’extension (digne de confiance cela va sans dire) est basée sur un catalogue de plus de 10 000 plug-ins. Certains de ces plug-ins sont fiables, d’autres non, car ils ont été supprimés de la page officielle des plug-ins WordPress, car ils présentaient un risque de sécurité identifié, mais jamais corrigé.
Après avoir installé l’extension Plugin Security Checker, il suffit d’afficher la page Extensions de son blog à partir du Tableau de bord de WordPress pour avoir le résultat de l’audit de sécurité sur les extensions installées sur sa plateforme WordPress.
Si tout va bien, la mention « No Security Warning, good! » est affichée en haut de la page des extensions.
Dans le cas contraire, la ou les extensions comportant des failles de sécurités sont indiquées en rouge.
Dans ce cas, il faudra d’urgence les mettre à jour avec une version corrigée ou les supprimer si aucune correction n’est proposée par le développeur.
Plugin Security Checker est une extension gratuite, des mises à jour seront régulièrement proposées par son développeur.
Une extension signée Julio Potier, expert en sécurité web :)
Merci pour l’info, ballajack, je me demandais justement où est-ce qu’il en était avec son extension :)