Le plugin WordPress le plus dangereux est déjà installé sur votre site

Lorsqu’on évoque la sécurité WordPress, les discussions se concentrent souvent sur les nouvelles vulnérabilités, les extensions malveillantes ou les milliers de plugins disponibles dans le répertoire officiel.

Pourtant, le plugin qui présente le plus de risques pour votre site n’est généralement pas celui que vous envisagez d’installer demain. Il est souvent déjà présent dans votre administration WordPress depuis plusieurs années.

Cette petite extension ajoutée pour répondre à un besoin ponctuel, ce plugin de galerie installé lors de la création du site, ce module de partage sur les réseaux sociaux livré avec un ancien thème, ou encore ce développement spécifique réalisé sur mesure il y a plusieurs années. Ils fonctionnent toujours, alors personne n’y pense… Jusqu’au jour où ils provoquent un problème.

Lorsque l’on gère des sites WordPress depuis longtemps, on a déjà entendu cette phrase : « Je n’ai rien touché pourtant ». Pourtant, une mise à jour de WordPress, de PHP ou d’une autre extension suffit parfois à révéler un conflit dormant depuis des années, en mettant votre site hors service ou en cassant tout son visuel.

I. Pourquoi les plugins abandonnés sont un véritable risque pour votre site WordPress

WordPress évolue constamment. Chaque année apporte son lot de nouveautés, de correctifs de sécurité et d’améliorations de compatibilité.

Lorsqu’une extension n’est plus maintenue par son développeur, elle cesse d’évoluer alors que tout son environnement continue de changer.

Les conséquences peuvent être importantes :

  • failles de sécurité non corrigées ;
  • incompatibilités avec les nouvelles versions de WordPress ;
  • erreurs PHP ;
  • ralentissements ;
  • pages blanches ou cassées ;
  • fonctionnalités qui cessent de fonctionner.

Une vulnérabilité découverte aujourd’hui dans un plugin abandonné depuis plusieurs années ne sera probablement jamais corrigée. Le risque reste alors présent sur votre site aussi longtemps que l’extension est installée.

plugins ancien dangereux
plugins maison sans developpeur

II. Les plugins développés sur mesure ne sont pas exemptés du problème

Lorsqu’on parle d’extensions abandonnées, beaucoup pensent uniquement aux plugins téléchargés depuis le répertoire WordPress ou autre site de vente (themeforest/envato…). Pourtant, les plugins développés sur mesure représentent aussi un risque.

Un plugin personnalisé répond généralement à un besoin précis. Le problème survient lorsque le développeur qui l’a créé n’assure plus son suivi ou lorsque personne ne connaît réellement son fonctionnement.

Contrairement aux extensions populaires utilisées sur des milliers de sites, un plugin maison ne bénéficie généralement pas d’une communauté capable de détecter rapidement les bugs ou les failles de sécurité, ni d’en assurer la mise à jour pour suivre les évolutions de WordPress.

Au fil du temps, WordPress, WooCommerce et PHP évoluent. Le plugin personnalisé, lui, reste figé. Une simple mise à jour peut alors provoquer des dysfonctionnements difficiles à diagnostiquer.

Lors des audit WordPress ou des refonte de site, je découvre souvent des extensions développées sur mesure dont personne ne connaît réellement l’utilité. Certaines ne sont plus utilisées depuis longtemps, d’autres reproduisent des fonctionnalités désormais disponibles nativement ou via des extensions activement maintenues.

Comme n’importe quel plugin WordPress, un développement spécifique doit être audité régulièrement, documenté et maintenu dans le temps.

Plugins sans mise à jour

III. Comment savoir si un plugin WordPress est abandonné ?

Avant d’installer une extension ou lors d’une opération de maintenance WordPress, plusieurs indicateurs permettent d’évaluer son état de santé.

1. Vérifier la date de dernière mise à jour

Une extension qui n’a pas été mise à jour depuis plus d’un an mérite déjà une attention particulière. Au-delà de deux ans, la prudence est fortement recommandée.

2. Contrôler la compatibilité avec WordPress

Le répertoire officiel indique généralement jusqu’à quelle version de WordPress le plugin a été testé. Plusieurs versions de retard peuvent signaler un abandon.

3. Consulter les demandes de support

Des dizaines de questions sans réponse ou des tickets laissés ouverts pendant des mois sont souvent révélateurs d’un projet qui n’est plus réellement suivi.

4. Lire le journal des modifications (changelog)

Des mises à jour régulières, même mineures, montrent qu’un développeur continue à maintenir son extension.

À l’inverse, une longue période d’inactivité suivie d’une unique mise à jour peut être un signe de stagnation.

5. Observer les avis récents

Les commentaires récents sont souvent plus pertinents que la note globale. Une série de commentaires signalant des problèmes de compatibilité avec les dernières versions de WordPress doit attirer votre attention.

faire le menage dans les plugins wordpress

IV. Faites régulièrement le ménage dans vos plugins WordPress

La maintenance WordPress ne consiste pas uniquement à effectuer les mises à jour disponibles. Elle implique également de vérifier régulièrement les extensions réellement utiles au site.

Ouvrez la liste de vos plugins et posez-vous les questions suivantes :

  • Est-ce que j’utilise encore cette extension ?
  • Est-ce que je sais précisément à quoi elle sert ?
  • Est-elle toujours maintenue ?
  • Existe-t-il une solution plus moderne ou plus légère ?

Si une extension ne répond apparemment plus à un besoin réel, elle n’a plus rien à faire sur votre site.

  • Dans un premier temps, désactivez la.
  • Au bout d’un ou deux mois, elle ne manque à personne, vous pouvez la supprimer.
  • Au nettoyage de base de données suivant si elle a laissé des tables, vous pouvez les supprimer, voire faire le ménage de ces options.

V. Avant de supprimer ou remplacer un plugin WordPress

1. Vous voulez supprimer une extension apparemment inutile

  • Dans un premier temps, désactivez la.
  • Au bout d’un ou deux mois, elle ne manque à personne, vous pouvez la supprimer.
  • Au nettoyage de base de données suivant si elle a laissé des tables, vous pouvez les supprimer, voire faire le ménage de ces options.

2. Vous voulez remplacer une extension obsolète

Avant toute intervention, prenez quelques précautions.

  1. Effectuez une sauvegarde complète du site.
  2. Vérifiez si le plugin stocke des données importantes.
  3. Exportez les informations nécessaires.
  4. Testez le retraits du plugins obsolète sur un clone.
  5. Testez les plugins remplaçants sur un environnement de préproduction lorsque cela est possible.
  6. Vérifiez le fonctionnement du site après remplacement.

Cette étape est particulièrement importante pour les formulaires, les galeries, les systèmes de réservation, les espaces membres ou les extensions WooCommerce.

precautions avant de suppression plugins WordPress
plugins WrodPress utiles et à jour uniquement egal plus de securite

VI. Maintenance WordPress : mieux vaut 15 plugins utiles que 50 oubliés

Le débat sur le nombre de plugins disponibles dans le répertoire WordPress est intéressant, mais il ne doit pas masquer l’essentiel.

Le véritable risque se trouve rarement dans les dizaines de milliers d’extensions que vous n’installerez jamais. Il se trouve beaucoup plus souvent dans celles déjà présentes sur votre site.

Une maintenance WordPress efficace consiste à garder uniquement les extensions réellement utiles, supprimer celles qui ne servent plus et vérifier régulièrement que les outils utilisés sont toujours maintenus.

Au final, le plugin WordPress le plus dangereux n’est pas forcément celui qui sera publié demain. C’est souvent celui qui a été installé il y a plusieurs années, oublié au fil du temps et laissé sans surveillance dans votre site.

Besoin d’un regard expert sur la santé de votre site ?

Je vérifie vos plugins, votre sécurité et effectue votre maintenance et surveille votre site WordPress pour vous.

Appelez votre coach WordPress
N'hésitez pas à partager

Publications similaires