Tout site WordPress, même le plus simple et le plus petit, a besoin d’un plugin. Si le site a un blog, Akismet est nécessaire. Vous ne pouvez pas vous passer également du plugin de sécurité Defender. Et vous avez besoin d’un formulaire de contact solide pour collecter des prospects.
Les plugins couramment utilisés et référenciés sont sûrs, pour la plupart. Ils viennent avec des millions de téléchargements, des notes élevées. Leurs développeurs ont durement travaillé pour développer une réputation positive dans la communauté, en créant des plugins sans erreur et en mettant en avant le support.
Et pour tous les autres ? Comment savoir si un plugin WordPress est sur, bien qu’il semble populaire et fait vraiment des merveilles pour votre site. Malheureusement, les violations de sécurités qui viennent avec les plugins représentent un taux élevé (55,9% selon Wordfence). Il est donc effrayant de penser que toute décision que vous allez prendre pourrait être dangereux.
Comment savoir si un plugin est sûr? Nous allons lister 15 signes à prêter attention, qui vous permettront de savoir s’il est mieux de ne pas télécharger un plugin.
16 signes qui vous avertissent qu’un plugin WordPress n’est pas sûr
Quand ils sont bien codés et correctement gérés, les plugins peuvent faire des merveilles sur un site WordPress. Mais malheuresement, ce n’est pas toujours le cas.
Il se peut que, quelques fois, vous obtenez un plugin développé par un débutant, qui espère gagner de l’argent, mais qui n’a pas pris le temps nécessaire pour le coder. Il y a aussi les moments où vous utilisez un plugin bien codé, mais une ligne de code erronée entre en conflit avec un autre plugin, ce qui bloque votre site en un instant. Et il y a toujours le risque que vous soyez piraté.
Vous devez donc être extrêmement vigilant sur qui vous laissez entrer, même si les intentions du développeur d’origine étaient bonnes.
Afin d’être diligent, vous devez savoir repérer les signes d’un mauvais plugin WordPress. Commencez par utiliser un système de vérifications pour vous assurer que le plugin est celui que votre site a besoin. Vous pouvez, ensuite, creuser plus profondément, pour voir si vous pouvez repérer l’un des signes suivants.
1. La Source du Plugin Semble Etrange
Commençons par où chassez-vous ces plugins WordPress. Disons, par exemple, que vous chercher à trouver un plugin qui ajoute une fonctionnalité pas trop banale. Vous effectuez une recherche Google sur la fonctionnalité. Les meilleurs résultats vous dirigent vers un certain nombre de sites de développeurs WordPress indépendants qui prétendent vendre un plugin qui fait exactement ce que vous cherchez.
Dans ce cas, quelques cloches devraient vous avertir en vous. Cela ne signifie pas que vous ne pouvez pas vous fier à la source du plugin. Mais si vous êtes sur le site, qu’il semble qu’il ait été créé dans les années 2000, et que vous ne pouvez contacter le développeur que via AOL, c’est un énorme drapeau rouge.
De manière générale, cherchez toujours les plugins WordPress qui proviennent de sources fiables. Commencez avec :
- Le dépôt de plugins de WordPress
- Les marchés de plugin comme CodeCanyon
- Les sites de développeurs de plugins WordPress comme WPMU DEV
Si vous débutez ainsi, vous réduirez considérablement les chances de tomber sur un mauvais plugin.
2. Une réputation ternie du développeur
Parlons, ensuite, de la réputation du développeur. Vous n’avez pas besoin de le connaitre en personne, de savoir où vit-il, quel est sa formation, ou quoi que ce soit d’autre (à moins que vous soyez curieux). Ce que vous devriez cherchez, ce sont les drapeaux rouges vous indiquant que quelque chose est anormale.
Voici quelques-uns des signes :
- Ils sont des nouveaux développeurs de plugin et n’ont pas d’antécédents. Cela pourrait signifier qu’ils ont acheté un plugin assez populaire afin de l’utiliser comme véhicule injectant un code malveillant dans les sites web.
- Une recherche Google de leurs noms ne donne aucun résultat, même pas leur propre site WordPress.
- Ou le résultat d’une recherche Google de leurs noms donne quelque chose comme “Ne croyez pas [nom du développeur] ” ou “[Nom du développeur] est une fraude”.
- En cliquant sur leur nom dans le dépôt WordPress ou sur CodeCanyon, un site web vraiment obsolète apparaît, faisant ainsi sortir ses propres drapeaux rouges.
La bonne chose sur CodeCanyon est qu’il fournit des statuts et des récompenses basés sur les ventes, les réalisations et les évaluations, pour les auteurs de plugins.
Si vous vous inquiétez vraiment de savoir qui est la personne ou l’équipe derrière le plugin, vous pouvez chercher sur CodeCanyon avant de vous fixer.
3. Le plugin est considéré comme dangereux
Vous devez également avoir un œil sur la réputation du plugin lui-même. Comme dit auparavant, le développeur ne voulait pas, parfois, introduire un mauvais code dans le plugin ou il était tout simplement trop nouveau pour en savoir plus. Même s’ils ont donc une très bonne image, ce n’est pas forcément le cas pour le plugin.
Il y a un certain nombre d’éléments vérifiables qui vous aideront à vérifier la sécurité d’un plugin WordPress. Mais ici, concentrons-nous sur les mentions explicites qu’utiliser un plugin n’est pas sûr. Vous devez aller sur Google, et rechercher les mots comme “dangereux”, “piraté”, et “compromis” avec le plugin. Si les résultats vous montrent de problèmes de sécurité, éloignez-vous.
4. Le code semble suspect
Cela pourrait ne pas être le plus facile à vérifier puisque tout le monde ne sais pas écrire un code pour un plugin. Cependant, si vous êtes assez familier à la structure et aux directives du fichier, vous pouvez au moins vérifier si tous les éléments essentiels sont en place.
Le guide WordPress Codex peut vous aider pour écrire un plugin. Supprimez le code requis au fichier, et concentrez-vous à ce qui reste. Si quelque chose vous semble suspect, cherchez un autre plugin.
5. Le nombre de téléchargement n’est pas assez
Vous pouvez voir le nombre d’installations actives dans WordPress :
Vous ne voyez pas seulement le nombre de personnes qui ont téléchargé et supprimé le plugin, mais également le nombre de sites où le plugin est installé, ce qui est un bon indicateur de fiabilité.
Les marchés de plugin incluent des chiffres comme les ventes totales, qui sont aussi bonnes, bien que vous devrez compter sur d’autres données pour confirmer qu’elles signifient vraiment quelque chose:
En général, les plugins avec moins de 1000 téléchargements sont déconseillés. Vous voudrez vraiment chercher un nombre assez élevé (probablement plus de 5000), mais parfois ce n’est pas possible si c’est une toute nouvelle fonctionnalité qui est encore peu utilisée, ou un plugin qui gère quelque chose qui n’est pas fréquemment utilisée.
6. Incompatible avec la dernière version de WordPress
En examinant les plugins WordPress dans le dépôt, il existe deux statistiques que vous voudrez voir en ce qui concerne la version de WordPress :
“Requires WordPress Version” vous permettra de savoir jusqu’où la version de votre WordPress peut aller afin de fonctionner correctement avec le plugin. Bien entendu, vous ne devrez jamais laisser votre site fonctionner avec une ancienne version de WordPress.
L’autre champ à voir est “Tested up to”. Celui-ci vous dira s’il est compatible avec la dernière mise à jour. Si ce n’est pas le cas, alors que la dernière mise à jour de WordPress a été disponible ces derniers jours, donnez-en quelques autres. Si le plugin n’a pas encore été mis à jour avec la dernière version, ignorez-le.
7. Pas mis à jour récemment ou pas assez souvent
Un plugin WordPress doit être mis à jour récemment, mais aussi fréquemment.
Dans WordPress et les dépôts de plugin, vous pouvez savoir à combien de temps remonte la dernière mise à jour. Tout plugin mis à jour il y a plus de 3 mois ne devrait pas être utilisés.
Cela dit, il y a des plugins qui sont de nature très simpliste et qui n’ont pas besoins de beaucoup de changements avec chaque nouvelle version de WordPress. Ainsi, 3 mois est idéal, mais une année est la limite.
8. Les cotes ne sont pas bons
De nos jours, les évaluations et les critiques sont vraiment importantes. Yelp ou TripAdvisor peuvent, par exemple, renvoyer en un instant à un restaurant en affichant simplement moins de quatre étoiles. C’est la même chose avec les plugins :
Avec une telle estimation, vous voulez immédiatement appuyer sur le bouton de retour. Même si les mauvaises évaluations venaient d’une période où le plugin était nouveau ou en cours de progression, ce n’est pas toujours un bon point pour le développeur ou l’outil.
Cependant, il se peut que vous ayez du mal à croire aux mauvaises évaluations, car vous avez entendu tant de gens parler en bien du plugin. Dans ce cas, tournez-vous aux commentaires.
Ici, vous devez recherchez, en particulier, les dates auxquelles les mauvaises notes ont été laissées (ainsi que les commentaires). Si vous constatez que toutes les mauvaises évaluations ont eu lieu avant 2015 et qu’il semble que tout le monde soit vraiment impressionné par la dernière version, le plugin peut valoir la peine d’être installé.
Il se peut aussi que le développeur ait trouvé un groupe de personnes pour dire des critiques positives. Faites donc attention si beaucoup disent « Bon », ou « Super Plugin ». En général, la communauté WordPress est beaucoup plus descriptive dans leurs commentaires.
Une autre chose à considérer ici, c’est de savoir comment le propriétaire du plugin répond aux critiques négatives. WordPress n’efface pas facilement les critiques négatives en se basant sur ce principe: “la façon dont vous réagissez à ces mauvaises expériences [c’est à dire les commentaires] va avoir un impact sur votre réputation, et celle de votre plugin, bien plus que cette critique.” C’est pourquoi il est important de non seulement vérifier ce que dit une critique, mais également les réponses des auteurs.
Est-ce qu’ils ont émis l’idée d’enquêter et de régler un problème marginal ? Etaient-ils désireux de fournir un patch correctif? La mauvaise critique était-elle réellement le résultat d’une mauvaise utilisation, d’une erreur de l’utilisateur ou d’un conflit que les auteurs ne peuvent contrôler ?
Si vous voyez, bien évidemment, des critiques ou des commentaires qui font part de préoccupations, fuyez. C’est la seule issue.
9. Aucun support
Même si vous êtes un développeur WordPress, et vous maitriser le dépannage dans le CMS, vous ne devriez pas avoir à comprendre pourquoi votre plugin ne s’installe pas, ne fonctionne pas comme promis, ou a causé l’erreur de la page blanche. Si vous vous préoccupez vraiment de la sécurité, le support doit être présent.
Il est donc bon d’avoir cette information facilement à votre disposition pour parcourir WordPress. Trois choses sont à voir avec cela :
- Regardez le taux de pourcentage auquel ils répondent réellement aux demandes de soutien.
- Lisez quelques réponses du développeur pour vous assurer qu’elles sont réellement utiles.
- Vérifiez les dates de réponses. Si le développeur n’a pas fourni de réponse de support (ou même de commentaire) au cours des trois derniers mois, ce n’est pas bon signe.
Si le support vous est important, profitez-en pleinement.
10. Aucune documentation n’est disponible
Pour certains plugins WordPress, il peut être illogique d’écrire un tas de documentation sur la façon de l’installer ou de le configurer. Les captures d’écran peuvent ne pas être nécessaires non plus avec les plugins comme Akismet.
Mais pour les plugins qui nécessitent un travail pour les faire fonctionner, ou qui abordent une fonction ou une fonctionnalité purement technique, il faut au moins des captures d’écran, et une documentation est nécessaire dans le cas où vous aurez des questions à ce sujet.
Si aucun n’est disponible, vérifiez qu’il n’est pas caché quelque par sur le site web. Et si vous n’en trouvez toujours pas, ne le téléchargez pas. C’est la même chose que de n’obtenir aucun support de la part du développeur.
11. Ils ont de grosses tailles
Dans WordPress, la performance est extrêmement importante. Vous devez donc être conscient que ce que vous y mettez pourrait nuire à sa vitesse, et par conséquent, à sa sécurité. Les plugins WordPress lents posent un problème, mais parfois, c’est juste à cause de leurs grosses tailles.
Il est recommandé de télécharger les plugins WordPress gratuits sur votre bureau, au lieu de les mettre directement dans votre WordPress. Jetez un œil à la taille du fichier. Demandez-vous si votre serveur peut raisonnablement gérer cela avec tout ce qui est déjà présent? Si ce n’est pas le cas, trouvez autre chose.
12. Ils ne s’adaptent pas avec d’autres plugins
Les conflits de plugins WordPress peuvent survenir pour diverses raisons. Parfois, ils sont en conflit avec d’autres plugins et parfois avec un thème ou même le noyau WordPress.
Encore une fois, faites votre recherche avant d’installer un plugin sur votre site. Vérifiez si les commentaires des utilisateurs disent quelque chose sur des conflits connus dans WordPress. Vous pourriez avoir les mêmes informations sur Google.
Si vous vous sentez assez confiant que le plugin ne nuise à votre site, installez-le à titre de test, juste pour s’assurer. En vérifiant de cette façon, les chances de perdre du temps pour remettre votre site en ligne ou pour réparer une fonctionnalité qui a cessé de fonctionner, sont réduites.
13. Le Site WPScan Website vous avertit s’il y a un problème
La base de données de vulnérabilités de WPScan conserve un journal de toutes les vulnérabilités des plugins WordPress connues (avec les dates correspondantes).
Vous pouvez utiliser la fonction de recherche pour localiser le plugin spécifique que vous souhaitez utiliser sur votre site. Cela lavera instantanément son nom de toutes suspicions. Inscrivez-vous également aux alertes par courriel.
De cette façon, si ce plugin (ou l’un de vos autres plugins) doit apparaître sur la liste des vulnérabilités, vous n’aurez plus à cherchez.
14. Votre hébergeur dit qu’il est interdit
Saviez-vous que les fournisseurs d’hébergement web gardent parfois une liste de plugins interdits ou bannis ? D’habitude, cela concerne les plugins qui chevauchent les fonctionnalités qu’ils fournissent aux utilisateurs (comme les plugins de mise en cache), mais ce n’est pas toujours le cas. Parfois, ils vont carrément interdire un plugin avec des problèmes de sécurités connus.
Voici par exemple les pages listant les plugins interdits de ces hébergeurs :
15. Un blog de confiance dit qu’ils ne sont pas bons
En fait, avec cet article, vous n’aurez pas besoin que votre blog préféré vous dise que le plugin est dangereux ou pas bon. Mais si le blog ne le mentionne jamais comme un plugin fiable ou sécurisé, alors pourquoi s’embêter à l’utiliser ?
Vous faites assez confiance à ce blog pour lire ses articles de façon régulière, alors vous devriez avoir confiance que le blog vous guidera dans la bonne direction.
16. Votre outil de vérification indique qu’il y a un problème
Et enfin, regardez ce que dit votre outil de vérification (celui comme WP Checkup) Cela vous demandera d’installer le plugin sur votre site. Cela vous permettra de savoir si quelque chose de suspect est en train de se produire.
N’oubliez pas de lancer le vérificateur avant l’installation afin d’avoir une base de comparaison. Si l’outil émet de nouveaux avertissements de sécurité après l’installation, vous savez ce qui a causé le problème. Supprimez immédiatement le plugin et tous ses fichiers. Et n’y revenez plus.
Pour Résumer
Un plugin WordPress peut se dégrader de différentes façons, vous devez donc faire attention avant d’en utiliser un sur votre site.
Ensuite, n’oubliez pas de garder un œil sur vos plugins pour s’assurer qu’ils ne sortent pas des rails. Si vous repérez l’un des signes ci-dessus, ne téléchargez pas le nouveau plugin.