Les failles de sécurité des extensions constituent le gros point faible du CMS WordPress. Les piratages de sites qui tournent sous WordPress sont souvent dus à la faiblesse de l’une d’entre elles, et très rarement au CMS par lui-même surtout si on s’assure de le maintenir à jour dès qu’une nouvelle version est disponible.
Il est donc très important d’effectuer les mises à jour des extensions dès que leurs développeurs sortent de nouvelles versions, que ce soit pour les améliorer ou pour combler des failles de sécurité connues ou inconnues qui pourraient être exploitées par des personnes malveillantes et mener à la prise de contrôle de votre site Web.
Les extensions s’installent avant tout depuis le catalogue officiel mis en avant par WordPress (Plugin Directory). Des vérifications de sécurité sont faites avant qu’un plug-in soit mis à disposition dans ce répertoire qui renferme près de 50 000 extensions qui ont été validées.
Ce n’est évidemment pas le cas des extensions qui sont installées depuis des sites Web externes en copiant les fichiers d’installation via FTP sur l’hébergement WordPress. Dans ce dernier cas de figure, tout peut arriver, y compris le pire…
Un autre cas de figure est problématique. Il concerne les extensions qui ont un moment ou à un autre ont été autorisées à être référencées sur le catalogue des plug-ins de WordPress, mais qui pour une raison quelconque ne le sont plus aujourd’hui.
Cela est dû à un abandon du développement de ladite extension, à un changement de nom, à une faille de sécurité jamais corrigée, à des plaintes d’utilisateurs, à un non-respect de la licence GPL, à des problèmes de vulnérabilité découverts sur des extensions du même développeur, etc.
Quand une extension disparaît du catalogue officiel, WordPress ne le signale pas à l’administrateur du site où elle se trouve encore. Il est donc possible d’avoir des extensions présentes sur son installation WordPress alors que celles-ci sont maintenant considérées comme dangereuses pour la sécurité et qu’elles ont été, pour cette raison, supprimées du catalogue officiel de WordPress.
Pour ne pas se retrouver dans ce cas de figure, l’extension No Longer in Directory a été développée. Une fois installée et activée, elle ajoute la ligne No Longer in Directory sur l’Administration de WordPress dans le menu Extensions. L’interface de l’extension est en partie en Français.
En cliquant sur No Longer in Directory, on accède à une page qui liste d’une part les extensions qui ne sont plus dans le catalogue officiel de WordPress alors qu’elles sont présentes sur l’installation considérée. D’autre part, les extensions qui n’ont pas été mises à jour depuis plus de deux ans sont également signalées.
Il est fortement recommandé de supprimer les extensions signalées par No Longer in Directory, car elles mettent certainement en péril votre site Web.
Il serait d’ailleurs judicieux que cette fonctionnalité évidente soit rapidement intégrée nativement à WordPress.