Les extensions non maintenues et la sécurité

J’ai eu l’occasion d’intervenir dans le passé dans des discussions informelles sur l’intérêt de l’ajout de la fonctionnalité insérant un avertissement après 2 ans sans mise à jour ajoutée par les équipes de WordPress dans la galerie officielle des extensions.

On peut trouver, à juste titre, n’apporte pas grand-chose sinon venir contribuer à une augmentation de l’angoisse non justifiée autour de la sécurité de WordPress sans apporter d’intérêt d’un point de vue purement technique.

C’est vrai qu’une extension non mise à jour, n’est pas en soi dangereuse tant qu’elle ne présente pas de faille. Même si faire, une mise à jour à chaque version de WordPress me semble excessif, surtout si les fonctions qu’on utilise dans le code ne sont pas impactées, il faut quand même de temps en temps publier des mises à jour, au minimum pour s’assurer de suivre les évolutions de PHP (1 version majeur par an). Deux ans me paraît être une bonne indication d’une extension qui n’est plus trop suivie et dont il faut se méfier. S’il n’est pas nécessaire de la désinstaller, il est quand même important d’être vigilant.

L’extension permettant la gestion multilingue dans WordPress [b]qTranslate[/b] a fait l’objet d’une découverte d’une faille (XSS) dans son code. L’extension n’étant plus maintenue depuis plusieurs années par son auteur, la faille n’a donc pas fait l’objet d’une correction. Il est donc vivement recommandé de supprimer cette extension des sites WordPress sur laquelle elle fonctionne toujours et de la remplacer par une autre.

Donc, le panneau d’avertissement ne doit pas être pris pour une interdiction d’installer l’extension mais simplement une incitation à la vigilance, afin de ne pas se priver de fonctionnalités intéressantes.