Plugins et Sécurité

Publié le 24 mai 2011 par 4h18

En matière de sécurité, 4h18.com a lié un véritable partenariat avec Boite A Web, la société de Julio, basé dans le Nord. Ce dernier fournit des extensions pour vous aider à maintenir un site WordPress sécurisé. Après quelques mois d’exploitations, voici un premier retour sur les demandes effectuées via son plugin WP-Security Checker dont le test est disponible sur 4h18

WPSC c’est quoi ?

Pour rappel, WPSC permet, depuis votre interface d’administration de faire une demande d’audit sur la sécurité de tel ou tel plugin. En effet, les extensions disponibles ici et là sur la toile ne sont pas forcément toutes sans reproches en matière de failles. Les plugins téléchargeables sur le dépôt WordPress n’échappent pas à cette triste règle.

Le Top 10 des demandes d’audit

Vous ne serez pas surpris de retrouver ici les plugins les plus populaires. Dans ce décomptes, Akismet et WPSC ne sont pas pris en compte car sont cliqués principalement pour « tester » le plugin. En revanche, il y a de quoi être surpris par la présence de Hello Dolly.

  1. Contact Form 7
  2. All in One SEO Pack
  3. Google XML Sitemaps
  4. Hello Dolly
  5. WP Security Scan
  6. BackWPup
  7. Visitor Maps and Who’s Online
  8. WP Super Cache
  9. Google Analytics for WordPress
  10. WPtouch

Plus de 530 plugins différents ont été demandé en audit via WPSC.
Plus de 1300 requêtes de demande d’audits
Plus de 80 sites ont une clé API pour WPSC.
Moyenne de ~6 à 7 plugins par site.
Moyenne de ~16 requêtes par site, les gens reviennent donc vérifier si le plugin a été audité.

Sachez qu’une extension populaire, téléchargée des milliers de fois n’est pas un gage de sécurité, loin s’en faut !

La sécurité, les plugins et vous

WPSC est une extension sans pareil (à ma connaissance, et à ce jour). Les chiffres ci-dessus montre que l’intérêt porté à la sécurité d’un site WordPress va en grandissant. Ce qui n’est pas un luxe.

En effet, la multiplication des extensions sur une même installation peut ouvrir de nombreuses failles sur votre site, le rendant ainsi vulnérable. Ceci est à pondérer par le fait qu’il n’est pas courant qu’un Hacker vienne s’en prendre à un site perso, question exploit, ce n’est ainsi qu’il sera reconnu. Cependant, la vigilance reste de mise.

Dernière minute

Les dix extensions les plus demandées (cf : la liste ci-dessus) seront auditées gratuitement courant juin par la Boite A Web

Par ailleurs, courant juillet, le service d’Audit de sécurité d’une extension deviendra gratuit.

URL courte : http://4h18.com/wpsc