Logo Ya-graphic : Création de boutique en ligne et référencement Google
Nous sommes à votre service pour vous proposer le meilleur service de référencement Google et de création de site e-commerce. Depuis 2008 nous apportons satisfaction à nos clients, qu'ils soient de France ou d'ailleurs.
3 av Adrien Mazet, Rés La Carraire, bât c - n°36, Miramas, FR
(+33) 06.52.64.70.04
contact@ya-graphic.com
Suivez YA-GRAPHIC

6 gestes de sécurité avant d’installer un plugin WordPress

Plugin WordPress : comment les choisir avec prudence

6 gestes de sécurité avant d’installer un plugin WordPress

Le thème de cet article c’est la sécurité de votre installation WordPress. Aujourd’hui je cite quelques gestes de sécurité à appliquer avant d’installer des plugins. Ces derniers sont des portes parfois ouvertes aux intrusions. Si la sécurité de votre site vous intéresse, lisez donc cet article. Vous pouvez apporter votre point de vue, une question ou une remarque dans les commentaires de cet article.

C’est une discussion du forum wordpress-fr.net qui m’a donné l’idée d’écrire cet article. Si vous cherchez de l’aide dans ce forum, la liste des plugins et l’adresse de votre site vos sera demandée. D’après Cailloux, membre du forum, son site aurait été piraté parce que le site exige la liste des plugins qu’il utilise pour son site. Il a souhaité que tous ses messages soient supprimés du forum. L’identification des plugins de son site, en public, aurait permis à des pirates de saboter son site. Le modérateur s’est défendu de cette idée :

Donc je pose la question: voulez vous que je supprime carrément l’ensemble des messages ? – sachant que le piratage n’est peut-être pas dû au fait que vous posté ici. Sans compter que vous venez ici suite à un problème qui pourrait être lié au piratage… (et donc il se peut que vous ayez été piraté avant de venir poster votre question). Li-An, modérateur du forum wordpress-fr.net.

Mon point de vue est que ce n’est pas nécessaire de cacher les plugins qu’on utilise pour son site. Un attaquant curieux et expérimenté finira toujours par les trouver. “Les plugins (WordPress) sont les cibles de la plupart des pirates et on n’est pas sûr d’éviter une éventuelle vulnérabilité…”, disait un membre du forum blackhatworld.com. Il répondait à un membre qui cherchait une solution pour cacher ses plugins. La sécurité à 100% ça n’existe pas, certes, mais on peut limiter les tentatives d’intrusion et les dégâts en cas d’attaque.

Choisir un plugin WordPress avec prudence

Plutôt que de vous proposer des manières de cacher vos plugins WordPress, je vous recommanderais juste de ne pas installer des plugins à risques. Que faut-il faire avant d’installer un plugin WordPress ? Il y a quelques gestes à faire pour éviter de mauvaises surprises. 

3/ Que disent les utilisateurs du plugin ?

Quelle est la e-réputation du plugin ? Une recherche dans votre moteur de recherche favori et dans les réseaux sociaux permet de se faire une idée du plugin. Dans les articles de blogs regardez surtout ce que disent les utilisateurs du plugin car très souvent les blogueurs n’en disent que du bien. N’hésitez pas à ausculter les contenus anglophones qui fourmillent d’informations.

E-réputation d'un plugin WordPress dans un moteur de recherche

Dans cet exemple j’ai lancé une recherche sur le plugin WS Custom Login. J’ai exclu le site wordpress.org des résultats.

Dans la fiche du plugin on peut voir une note qui va de 1 à 5 étoiles. Ça peut être utile quand le nombre de votes est important. Le nombre d’étoiles est à prendre en compte mais il ne faut pas se fier uniquement à ça. J’attirerais votre attention sur les commentaires négatifs, notamment si l’utilisateur remet en cause la sécurité du plugin.

Avis négatif d'un plugin WordPress

L’avis négatif d’un utilisateur de WordPress sur un plugin.

4/ Attention où vous téléchargez votre plugin.

Privilégiez des sites de confiance, des sites à forte notoriété même si ces sites ont leur lots de plugins vulnérables. Vous aurez moins de chances d’avoir un site HS. Comme sites de confiance j’en citerais deux : wordpress.org et codecanyon.net.

5/ Jetez un œil dans l’Historique des modifications du plugin.

Cherchez les termes “xss”, “cross-site scripting”, “security”, “vulnerability”… dans l’Historique des modifications du plugin. Une ou deux vulnérabilité ça passe mais au-delà vous pouvez commencer à vous poser des questions sur la fiabilité du plugin en termes de sécurité. Vous pourrez également douter d’un plugin qui n’affiche aucune correction de sécurité dans son historique.

Historique des modifications du plugin WordPress

L’historique des modifications est visible dans la fiche du plugin (chez wordpress.org). Vous devriez voir “/changelog/” à la fin de l’URL.

Vous pouvez éventuellement jeter un œil dans cette base de données de plugins vulnérables, peut-être que le vôtre y figure déjà. Vous pouvez également taper le nom de votre plugin dans le site de High-Tech Bridge Security Research Lab, j’avais relevé 3 plugins vulnérables au mois de juillet 2015 – qTranslate, Count per Day et Paid Memberships Pro.

[quote arrow=”yes”]

A lire : 

WordPress : Failles XSS dans le plugin All In One WP Security & Firewall

[/quote]

Hier j’ai découvert un plugin qui affichait une alerte quand un ou plusieurs de vos plugins contenait une vulnérabilité. L’utilisation de Plugin Vulnerabilities suppose que vous avez déjà installé votre plugin. Or l’objet de mon article c’est de savoir si un plugin présente des risques avant même de l’installer dans votre site. Reste une question que j’ai posée hier dans Twitter, est-ce que Plugin Vulnerabilities se signale lui-même s’il contient une vulnérabilité ? ???? Si ce plugin vous intéresse, testez-le d’abord dans un site test.

6/ Testez-le dans un site test.

La création d’un site miroir pour effectuer des tests est utile. Mais attention, s’il est en ligne, ne le faites pas indexer dans les moteurs de recherche ! L’installation d’un site tes vous évitera les mauvaises surprises liées par exemple à des conflits entre plugins. Si vous n’avez pas de site de test, il n’est jamais trop tard pour en créer un.

Less is more comme disait l’autre. Moins vous avez de plugins installés – activés et non activés – mieux votre site se portera. Vous pouvez lire l’article Combien de plugins WordPress installer dans son site ?

Yassine A.

Professionnel du SEO et du Webmarketing depuis plus de 10 ans. J'apporte PLUS de visibilité et PLUS de ventes aux entreprises, agences, startups et micro-entrepreneurs que j'accompagne. Certifié Google. Mes spécialités sont le référencement naturel (SEO) et la création de site E-commerce.