Les plugins WordPress affichent parfois des failles de sécurité. Comment savoir alors quels plugins sont fiables et lesquels présentent un risque pour la sécurité de votre site web ?
Il faut savoir que les plugins WordPress ne sont pas tous développés par la même personne. Les différents plugins de la bibliothèque de plugins WordPress peuvent être développés par des personnes du monde entier, avec des compétences et des profils différents, mais aussi des intentions différentes. Il se peut donc qu’un plugin soit développé par des développeurs mal intentionnés, ou qui n’ont pas des connaissances en programmation assez solide pour éviter de créer des failles de sécurité. Il est egallement courant de voir des développeurs mal intentionnés procéder à une attaque par injection SQL.
D’après le fondateur de WordPress Matt Mullenweg, chaque plugin publié sur WordPress est manuellement contrôlé avant d’être proposé au téléchargement sur le CMS. Si le plugin est fiable et sécurisé, il est ajouté à la bibliothèque de plugins, généralement d’abord gratuitement. Les versions payantes (premium) viendront par la suite, lorsque le plugin rencontrera du succès auprès des utilisateurs WordPress. Des mises à jour et corrections de bugs sont alors régulièrement publiées pour assurer la sécurité des utilisateurs du plugin.
Il se peut aussi qu’à un moment, le plugin change de développeurs. Il faut faire attention à cela : il est déjà arrivé qu’un plugin très populaire, avec une excellente note sur WordPress, soit passé entre les mains de développeurs mal intentionnés après un petit moment d’inactivité. Les développeurs mal intentionnés vont donc intégrer aux nouvelles versions du plugin des mécanismes permettant de pirater les sites WordPress qui installent le plugin.
Les plugins WordPress sont donc généralement sécurisés, mais il faut rester vigilant, qu’il s’agisse d’un plugin gratuit ou premium.