Il est alors extrêmement important, tant pour les sites WordPress que pour tous les autres logiciels de création web et de CMS (gestion de contenus) que les webmasters prêtent attention à l’évolution des extensions qu’ils utilisent.
Quant à WordPress, bien évidemment, il doit beaucoup son succès aux plugins qui permettent aux sites d’être interactifs à tout point de vue. Mais, comme dit plus haut, ces mêmes plugins (extensions) plébiscités par tous les webmasters sont aussi la source des failles de sécurité.
Notamment lorsque ces vulnérabilités subsistent en raison d’un mauvais codage ou d’un abandon de leurs développeurs.
Alors, pouvoir vérifier de temps à autre qu’un plugin WordPress a été mis à jour après le lancement d’une nouvelle version de WordPress devrait faire partie de la gestion du site. Car, des problèmes de compatibilité avec la version récente peuvent apparaître et fragiliser la sécurité du site.
Identification des plugins WP non mis à jour
Dans le répertoire des Plugins de WordPress.org, les plugins qui n'ont pas été actualisés depuis plus de deux ans ont une bannière en haut de la page indiquant que “ce plugin n'a pas été mis à jour depuis plus de 2 ans. Il peut ne plus être maintenu ou pris en charge et peut avoir des problèmes de compatibilité lorsqu'il est utilisé avec des versions plus récentes de WordPress.”
En visitant donc régulièrement ce répertoire pour chaque extension utilisée par vous, vous saurez si celles que vous utilisez ont toutes les compatibilités requises par rapport à la version de WordPress que vous utilisez.
Vous pouvez aussi installer le plugin “No Longer in Directory” qui vous affichera dans votre page Admin, lesquels parmi les plugins que vous avez installés n’existent plus dans le répertoire des plugins de WordPress ou n’ont pas été mis à jour depuis plus de deux ans. Ce qui est une bonne indication !
Car, il est inadmissible de continuer à utiliser un plugin qui a été supprimé de ce répertoire ou qui n'est pas régulièrement mis à jour ou a été abandonné par son créateur.
Chiffres des extensions WordPress désuètes
Déjà, au mois de Mai dernier, le plugin “No Longer in Directory” avait identifié 16.935 plugins qui n’avaient pas été mis à jour depuis plus de 2 ans. Soit 44.7% sur un total de 37.905 plugins à cette période.
C'est à dire qu'il y a au moins plus de 44% de plugins qui sont susceptibles d’héberger des failles de sécurité. Et ça, c’est énorme. Alors, vigilance!
Aujourd’hui, WordPress.org affiche un total de 40.480 plugins pour un total de 1.051.575.126 (plus d’1 milliard) de téléchargements.
Autant WordPress affiche pour chaque plugin, depuis la section “Plugins” (extensions) du tableau de bord de la page d’administration, la dernière date de mise à jour (en terme de durée), autant il aurait été opportun que les extensions ayant une mise à jour de plus de deux ans affichent une bannière d’alerte dans chaque page Admin.
Ce serait plus visible et les webmasters comprendraient qu’ils ont une décision à prendre immédiatement.
Ceci étant dit, il ne faut pas non plus attendre 2 ans avant de mettre à jour vos plugins. Mettez-les à jour dès que votre page Admin vous annonce une nouvelle version. Ce qui réduirait considérablement les failles de sécurité potentielles.
