La disparition soudaine d’un plugin du répertoire des extensions sur WordPress.org n’est jamais une information à prendre à la légère, et quand cela arrive, dès qu’on s’en aperçoit, il faut essayer de comprendre ce qui se passe, pour décider si, oui ou non, ce plugin est à conserver.

En résumé, un plugin disparait du répertoire quand il ne répond plus aux exigences de WordPress, ou bien quand son auteur décide de le retirer.

Et les exigences de WordPress sont fondamentalement assez simples :

  • le plugin doit être sous licence GPL (et ne pas contrevenir à une licence sur une autre technologie qu’il utiliserait, ou une marque…)
  • le plugin ne doit pas avoir de failles de sécurité dangereuses

C’est le très gros intérêt de WordPress.org : quand on a un plugin qui vient de là, on est raisonnablement sûr qu’il n’y a pas « trop » de failles de sécurité, ou, si il y en a, qu’il y aura une action rapide dès qu’elles seront découvertes. Vous vous souvenez par exemple comment la réaction a été extrêmement rapide lors de la découverte de la faille TimThumb ? Et comment WordPress a réagi en scannant tous les plugins et les thèmes qui utilisaient TimThumb ? Les retirant immédiatement jusqu’à la correction de la faille ?

En comparaison, on trouve encore aujourd’hui en vente sur ThemeForest des thèmes qui utilisent TimThumb.

Le retrait doit toujours être un signal d’alarme

Un petit mot envoyé à l’auteur en privé, ou sur Twitter si vous vous connaissez déjà ou que vous avez envie de voir ce que d’autres en pensent peut vous permettre d’avoir des explications, et donc de juger si, en fonction de votre configuration, vous conservez le plugin ou pas.

Par exemple, si il y a un risque dans les environnements multi-​​auteurs parce que le plugin permet aux auteurs d’avoir accès aux pages admins, mais que vous êtes seul maitre à bord et n’autorisez pas la création de nouveaux users, vous pouvez garder ce plugin tranquillement.

En revanche, toute réponse évasive du genre

https://mobile.twitter.com/account/suspended

ou « J’ai des divergences de vues avec WordPress, nous travaillons à les réduire » doit vous faire supprimer immédiatement le plugin.

Pourquoi ? Parce qu’un développeur pas franc est un développeur dangereux… et que, sauf à être un expert de la sécurité, vous n’êtes pas plus avancé qu’avant. Qu’il ne souhaite pas dévoiler à tout le monde une faille de sécurité, c’est une chose…

Evaluer une faille de sécurité

Bon d’accord, mais évaluer la sécurité d’un plugin, c’est un boulot de professionnel, qu’est-ce que j’y peux moi ?

On peut quand même réfléchir : en comprenant ce que fais le plugin, et en regardant la configuration de son blog. Beaucoup de plugins, par exemple ont des failles de sécurité qui permettent à des rôles restreints (auteur, éditeur, etc) d’outrepasser les restrictions, ou d’envoyer des données dangereuses dans la base de données.

Si vous êtes le seul utilisateur du blog, et que vous interdisez, via les options, la création de nouveau comptes (ou alors uniquement « sans rôle ») alors ce n’est pas grave. En effet, personne ne pourra arriver au stade où il peut exploiter la faille du plugin (et si il y arrive, il a exploité une autre faille de sécurité, donc on s’en fout).

Néanmoins, à ce stade, il faut bien comprendre déjà le fonctionnement de WordPress. Donc, par sécurité… désactivez tous les plugins qui disparaissent du repository.

Comment savoir qu’un plugin disparait ?

En effet, l’information n’apparait pas dans le tableau de bord, ni dans la liste des extensions. Et vous n’allez pas surveiller tous les jours la listes de vos plugins n’est-ce pas ?

Par exemple, ces dernières semaines, LiveOptim a joué à cache-​​cache avec le repository, de nombreuses failles de sécurité ayant été détectées les unes après les autres.

https://mobile.twitter.com/BoiteAWeb/status/463953156385570816

Et c’est justement Julio qui propose un excellentissime plugin , Plugin Security Checker , qui vous informe des risques liés à vos plugins, et vous alerte immédiatement en cas de disparition du repository.  En cas de risque, l’information apparait partout dans l’admin, même dans la fenêtre de rédaction des articles !

Suivre la sécurité de ses plugins WordPress

Que pensez-vous de cet article ?
Super0
Bien0
Bof0
Nul0
Poster un commentaire