Pourquoi les anciens plugins WordPress constituent une menace et comment sécuriser votre site

Mettons une chose au clair tout de suite : WordPress en tant que CMS fraîchement installé n'est pas particulièrement vulnérable et reste une option solide si vous souhaitez créer un site sécurisé. Cependant, en raison de la popularité de WordPress, il est souvent une cible pour les pirates qui cherchent à accéder à des sites Web populaires. Le fait que les hacks soient assez rares témoigne du travail fourni par les développeurs et la communauté WordPress.

Le problème qui introduit souvent une vulnérabilité à une installation WordPress est l'utilisation abusive des plugins : en particulier, l'utilisation de plugins qui ont depuis longtemps cessé d'être mis à jour. Pourquoi ces plugins mettent-ils en péril votre site et comment pouvez-vous vous en protéger ? Dans ce blog, nous tenterons d'éclaircir cela et de parcourir quelques conseils.

Pourquoi les plugins obsolètes sont dangereux

Chaque plugin que vous ajoutez à votre site WordPress (même s'il s'agit d'un plugin conçu pour améliorer la sécurité) ajoutera techniquement un point de vulnérabilité. C'est un concept simple : du code supplémentaire provenant d'une source tierce (même fiable) peut potentiellement exposer davantage l'ensemble de votre système. Les normes de sécurité modernes sont assez élevées, les sites Web étant tenus de garder étroitement les données des utilisateurs tout en verrouillant les transactions via des normes telles que PCI . Un seul maillon faible peut briser la chaîne et causer des dommages incalculables à votre site, à votre entreprise et à votre réputation.

La plupart du temps, un plugin ajouté n'est pas un problème car il a ses propres mises à jour de sécurité, tout comme WordPress le fait et le développeur concevra un correctif peu de temps après la découverte d'un problème. Cependant, ce n'est pas toujours le cas. Lorsqu'un plugin WordPress est abandonné, la dernière version qui a été mise à jour devient de plus en plus datée et reste installée sur de nombreux systèmes. Ce plugin pourrait même rester disponible en téléchargement sur WP.org jusqu'à ce que le développeur se souvienne de le mettre hors ligne.

Heureusement, il est relativement simple de résoudre ce problème : recherchez simplement le plug-in et désactivez-le ou désinstallez-le . Nous recommandons généralement de désinstaller le plug-in plutôt que de le désactiver, à moins que vous n'ayez de bonnes raisons de penser qu'il pourrait être mis à jour à un moment donné dans un proche avenir. Vous devrez également faire attention à la façon dont le plugin obsolète interagit avec d'autres plugins et votre site Web, car des problèmes peuvent survenir après la suppression d'un plugin. Par exemple, si vous supprimez un plug-in qui limite le nombre de tentatives de mot de passe qu'un utilisateur peut effectuer, cela pourrait entraîner des problèmes de sécurité potentiels et vous devrez trouver un remplacement adéquat si nécessaire.

Comment remplacer les fonctionnalités nécessaires

Si vous avez supprimé un plugin obsolète, mais que vous trouvez qu'il a joué un rôle important dans le fonctionnement quotidien de votre site et que vous ne trouvez rien de similaire sur le marché. Que devrais tu faire? WordPress vous donne la liberté de vous procurer des plugins à partir de plusieurs sources (pas seulement les listes WP.org), mais cela peut vous placer dans une position potentiellement précaire lors de l'utilisation de ces plugins.

Pour la plupart des gens, en particulier ceux qui gèrent leur entreprise en ligne, les restrictions du modèle SaaS moderne sont réconfortantes. Par exemple, l'utilisation d'un CMS hébergé est devenue extrêmement populaire pour les sites de commerce électronique car il offre un bon mélange d'options de personnalisation et de sécurité garantie. Même si en principe, vous pouvez faire plus avec WordPress, avoir autant de choix différents peut être déroutant.

Si vous vous trouvez dans la position improbable où vous estimez qu'il est nécessaire de supprimer un plugin et que vous ne trouvez aucun remplacement viable pour combler cette lacune, vous avez deux options réalistes pour y remédier. Soit embauchez un développeur WordPress pour programmer un remplacement, soit essayez de reproduire la fonctionnalité en utilisant des systèmes existants (des outils comme Zapier et IFTTT peuvent être utilisés pour réaliser une automatisation remarquable si vous pouvez les maîtriser).

Bien choisir ses plugins

L'importance de l'expertise des développeurs signifie que tous les plugins ne sont pas créés égaux. L'expertise du développeur, la réputation et la fiabilité générale ne sont que quelques-uns des facteurs qui font la différence entre un plugin créé par un développeur bien connu et une solide politique de monétisation . Bien que vous n'aimiez peut-être pas dépenser de l'argent pour des plugins, les paiements permettent aux développeurs de continuer et leur permettent de mettre à jour continuellement leur logiciel. Ceci est en comparaison avec d'autres plugins que vous utilisez peut-être et qui ont été créés par un amateur, avec peu d'intention de le maintenir.

La façon la plus sensée de procéder est de considérer attentivement le développeur d'un plugin avant de l'installer et de commencer à s'y fier. Assurez-vous de vérifier leurs avis. Recherchez leurs antécédents en matière de mise à jour de la valeur et de la cohérence. Ont-ils un blog que vous pouvez suivre ? Si vous restez avec les développeurs qui profitent de leur travail, vous pouvez être assez sûr qu'ils continueront à mettre à jour et à maintenir le plugin, ce qui contribuera à réduire la possibilité que votre site soit piraté via un plugin obsolète.

L'un des meilleurs moyens de vous assurer que vos plugins restent à jour est d'utiliser UpdraftCentral . Cette puissante télécommande pour WordPress vous permet non seulement de gérer et de mettre à jour de manière centralisée vos thèmes, plugins et core sur tout votre site en un seul clic, mais également de sauvegarder et de contrôler tous vos sites sur lesquels UpdraftPlus est installé à partir d'un emplacement central dans le Nuage. Si vous êtes trop occupé ou avez trop de sites à mettre à jour de manière fiable, vous pouvez également utiliser Easy Updates Manager . Ce service maintient automatiquement les sites à jour et sans bug.

Comment sécuriser votre site

Même si vous choisissez vos plugins avec soin, gardez un œil sur les plugins obsolètes qui n'ont pas été mis à jour depuis un certain temps et agissez pour les supprimer si possible lorsque vous les repérez. Cependant, il y aura toujours un danger potentiel invisible car un développeur pourrait cesser de mettre tous ses efforts dans la mise à jour de ses plugins, ce qui pourrait conduire à des vulnérabilités non corrigées malgré la publication de mises à jour.

En raison de ces problèmes de sécurité potentiels, vous devez en faire plus pour assurer la sécurité de votre site. L'une des meilleures façons d'y parvenir est de sauvegarder régulièrement votre site en utilisant UpdraftPlus . Assurez-vous de toujours créer une sauvegarde avant d'installer ou de mettre à jour un plugin et de planifier régulièrement de nouvelles sauvegardes pour vous défendre contre tout problème imprévu. Si quelque chose ne va pas à cause d'un plugin vulnérable, vous pouvez utiliser UpdraftPlus pour revenir à une sauvegarde existante, auquel cas vous pouvez supprimer le plugin incriminé et continuer normalement.

En résumé, les anciens plugins WordPress sont une menace car ils peuvent permettre à des vulnérabilités de se glisser dans votre site WordPress par ailleurs sécurisé. Pour rester en sécurité, soyez sélectif, restez sur vos gardes, agissez en cas de besoin et sauvegardez votre site avec UpdraftPlus .

Lois de Rodney

Le message Pourquoi les anciens plugins WordPress constituent une menace et comment sécuriser votre site est apparu en premier sur UpdraftPlus. UpdraftPlus – Plugin de sauvegarde, de restauration et de migration pour WordPress.