De la sécurité des extensions selon WordPress
Encore un coup de gueule, j’aimerais bien de temps en temps remplir un peu plus souvent les autres catégories que celle-là sous peine finalement de passer pour un éternel râleur (même si je le suis quand même un peu).
Depuis quelque temps sur ce site présentait un défaut, le texte des articles, ne s’affichait plus, ce qui sur le principe ne facilite pas la lecture. Je décidai donc de prendre le problème à bras le corps, prodiguant à moi-même les (bons) conseils que je donne aux autres sur le forum de support francophone WordPress. J’identifie assez rapidement l’extension à l’origine du problème et là, je me rends compte, par hasard, d’une petite subtilité.
Dans la page de gestion des extensions, au niveau de l’extension en question, je n’ai pas la mention « Afficher les détails » mais « Aller sur le site de l’extension » qui pointe sur une page 404. Pour ceux qui ne le sauraient, « Afficher les détails », permet, comme son nom l’indique d’aller sur le dépôt officiel WordPress des extensions pour obtenir des informations. Logiquement, lorsque vous achetez une extension sur un site quelconque, comme elle n’est pas dans le dépôt officiel WordPress, on vous propose d’« Aller sur le site de l’extension ». Sauf que… Toutes mes extensions proviennent du dépôt officiel WordPress, je n’en prends pas ailleurs. Vous commencez à voir où je veux en venir…
Donc en clair, on retire du site WordPress une extension – généralement il faut une bonne raison comme une faille de sécurité non corrigée et après vérification c’est bien le cas – vous n’êtes pas informé du retrait. Pire que cela, son retrait du dépôt ne lève aucune alarme d’aucune sorte et passe même inaperçue puisque cela apparaît simplement comme une extension externe au dépôt.
On nous rebat les oreilles – ce que je fais d’ailleurs moi-même – sur la sécurité des extensions et thèmes, qu’il faut les choisir avec attention, ne pas les prendre n’importe où et surtout les mettre à jour. Et les développeurs WordPress, pourtant à la pointe de la sécurité, virent discrètement des extensions avec des vulnérabilités sans même informer des risques les utilisateurs qui l’utilisaient. D’un point de vue sécurité, oui, ça me fait vraiment râler, j’aurais bien aimé le découvrir autrement, un mail par exemple. Le dépôt WordPress est capable de quantifier le nombre d’utilisateurs utilisant une extension, est aussi capable de pousser une mise à jour de faille de sécurité sur une extension largement utilisées mais est incapable de signaler le retrait d’une extension aux utilisateurs chez qui elle est installée !
Donc, pour conclure, afin de maintenir votre la sécurité sur votre site, ne choisir que les extensions du dépôt officiel de WordPress n’est pas suffisant. Il vous faut les inspecter une à une régulièrement pour rechercher la disparition de la mention « Afficher les détails ». Vous voilà averti.