Les article sont parfois liés entre eux, volontairement ou pas…
Aujourd’hui, alors qu’une Alerte de sécurité grave vient de paraître, il se trouve que l’article qui suit, et qui a un rapport étroit avec l’alerte de sécurité, était en attente de parution pour ce matin, alors pourquoi en changer?
Souhaitez vous protéger votre blog contre le piratage?
La meilleure façon de protéger votre blog contre le piratage est, en autres, de prendre soin des plugin que vous installez. Dans cet article, nous n’allons voir que les points à vérifier avant l’installation d’un plugin.
Bien qu’il existe de nombreuses raisons pour lesquelles vous avez choisi d’utiliser la version auto-hébergée de WordPress, je pense que l’une de vos principales motivations est de pouvoir installer des plugin. Le fait d’être compatible avec de nombreux plugin de différents éditeurs fait tout le charme de WordPress auto-hébergé.
Mais vous devez être conscient que pour les plugin, c’est une autre histoire …
Comment installer un plugin affecte la sécurité de votre site?
Quelle que soit votre raison d’utiliser WordPress, blogueur, entrepreneur internet, responsable SEO pour une entreprise ou développeur, etc., vous devez connaître les divers aspects derrière les éléments d’un script WordPress.
Si vous n’êtes pas assez curieux et que vous suivez aveuglément la tendance, vous risquez de vous retrouver piégé, les cas de plugin malveillants étant de plus en plus élevés. WordPress étant une plateforme open-source, il est vraiment facile pour n’importe quel pirate (ou une personne essayant de l’être) d’avoir accès à votre site Web pour l’utiliser selon son bon vouloir, rarement honnête soit dit en passant.
Une autre raison qui pousse les pirates à s’intéresser de près aux sites WordPress, est que plus de 60 millions de sites Web à travers le web, sont pilotés par ce script open-source, et qu’il y a donc matière à « casser du site ». J’espère que vous avez compris les deux principales raisons.
Maintenant que la plaie est ouverte, vous devez être impatient de connaître la façon d’assurer sa protection.
A vrai dire, la meilleure façon, pour n’importe quel pirate, d’insérer un code malveillant, qui peut conduire au piratage ou à toute autre activité connexe, est d’utiliser les plugin. Les plugin ajoutent une fonctionnalité spécifique au code WordPress natif et ils sont souvent écrits par des développeurs tiers.
Mais sans l’aide de plugin, WordPress est très limité. Nous devons donc prendre certaines précautions qui peuvent nous aider à naviguer sur le côté sécurisé de l’océan.
Les précautions à prendre avant d’installer un plugin
Voici les points que vous devez garder à l’esprit, dans votre agenda ou dans votre application de prise de notes (je vous recommande d’utiliser Google Keep) et n’oubliez pas de les suivre lors de l’installation d’un nouveau plugin.
# 1 – Profil du développeur et commentaires
C’est la première chose à vérifier. Chaque plugin est développé par un ou plusieurs développeur(s) et vous devez vérifier son/leurs profil(s) en premier. Il faut admettre que les pirates ne feront probablement pas étalage de leur profils et « compétences » sur la page de présentation d’un plugin, mais tout de même…
Vérifiez si cette personne est vraiment professionnelle, et la meilleure façon de le faire est de voir comment elle réagit aux problèmes et questions (concernant le plugin) posés par les utilisateurs. Vous pouvez trouver toutes ces informations sur la page du plugin que vous souhaitez utiliser.
Vérifiez également les résultats des tests effectués par d’autres utilisateurs du plugin, si le plugin peut effectuer la tâche pour laquelle il a été conçu, si le code est bien écrit, et surtout si le code est sécurisé ou non.
Ce sont quelques une des réponses que vous devez rechercher dans les analyses des autres utilisateurs.
Un des meilleures sources de plugin, et la plus fiable et la plus recommandée, reste sans nul doute le site WordPress.org. Vous pouvez y trouver des milliers de plugin gratuits, le profil du développeur, ainsi que des avis et commentaires à propos du plugin.
Vous pouvez même faire des recherches afin de trouver d’autres critiques du plugin sur le web, la communauté WordPress étant très grande, le partage de points de vue et les commentaires sont légions.
# 2 – Vérifiez la page de support
Sur le répertoire de plugin WordPress.org, chaque plugin unique a une page de support. C’est sur cette la page que les utilisateurs d’un plugin peuvent contacter le développeur et poser des questions liées aux problèmes auxquels ils sont confrontés.
Si un plugin est de bonne qualité, vous verrez que la plupart des discussions apparaît avec l’étiquette [resolved] en début de ligne. Cela signifie clairement que le développeur est désireux de faire en sorte que le plugin reste fonctionnel, que les utilisateurs soient satisfaits, et surtout, qu’il met le plugin à jour pour corriger des bugs, améliorer l’expérience utilisateur et palier à tous problèmes de compatibilité.
Si vous ne trouvez pas de page de support, il vaut mieux essayer de contacter le développeur directement, ou essayer de trouver un plugin alternatif. Vous pouvez même poser des questions à propos de ce plugin dans divers communautés WordPress ou des forums pour obtenir des avis impartiaux.
# 3 – Le plugin est-il à jour?
Le prochain point à vérifier est très important quand vous voulez évaluer si un plugin vaut la peine ou non. Chaque fois que vous effectuez une recherche parmi les plugin du répertoire WordPress.org, un jour vous verrez un message sur fond jaune défraîchi vous informant que le plugin na pas été mis à jour depuis deux ans.
Internet change très vite, et de nouvelles vulnérabilités sont désireuses de s’installer sur votre site. Pour être en sécurité, vous devez garder à jour, le cœur de WordPress, les plugin et le thème, ce n’est pas une option, c’est une nécessité.
N’oubliez pas que si vous recevez une alerte vous avertissant qu’une mise à jour de WordPress est disponible, ce n’est pas simplement une information, mais cela signifie que par mesure de sécurité, il vous est conseillé de mettre WordPress à jour.
Vous avez fait votre choix? Il ne vous reste plus qu’à vérifier à quand remonte la dernière mise à jour. Cette dernière ne doit pas être supérieure à six mois ou un an tout au plus.
# 4 – Et l’option Premium?
Je ne veux pas vous suggérez de vous lancer à l’aveuglette vers des solutions payantes, mais il y a beaucoup de chance que vous trouviez une solution digne de confiance et sécurisé en version Premium.
Mais pour ce faire, il vous faut trouver une plate-forme où les plugin premium sont disponibles. Avant d’acheter, assurez-vous de vérifier les points cités précédemment, ils sont également importants lorsque vous envisagez d’acquérir un plugin Premium.
CodeCanyon et WPMU Dev sont deux sources connues et réputées pour acquérir des plugin Premium. Ce sont deux plate-formes.
# 5 – Nombre de plugin sur Votre Blog
La dernière chose à prendre en compte, avant d’installer un nouveau plugin, est de vérifier le nombre de plugin déjà installés sur votre blog.
« Plus le nombre de plugin est élevé,
plus les performances de votre site s’en trouvent affectées »
Gardez toujours à l’esprit la phrase ci-dessus et essayez de limiter le nombre de plugin installés. Si vous souhaitez ajouter une fonctionnalité particulière à votre site, il suffit parfois d’ajouter un morceau de code, code qu’il est est vraiment simple de trouver, puisqu’il suffit de faire une recherche pour une fonctionnalité particulière, sur les moteurs de recherche.
Ainsi, vous éviterez d’installer un plugin, pour une simple fonctionnalité.
Message reçu?
Au cours des 5 à 10 dernières minutes, j’ai essayé de vous convaincre qu’installer un plugin n’est pas totalement innocent. La grande majorité des plugin est déboguée et mise à jour régulièrement, la plus part du temps dans des délai très rapides, rien que cela doit vous rassurer.
Toutefois même les meilleurs plugin peuvent être défaillants, un jour où l’autre. Je vous conseille de rester à l’écoute de Alertes de sécurité qui vous signalent les plugin dangereux, cela vous aidera à sécuriser votre blog.
Avant d’installer un plugin, n’oubliez pas que les plugin sont très utiles pour vos installations WordPress, mais qu’ils peuvent aussi devenir des poisons.
Message reçu? Avez vous déjà été confrontés avec des plugin comportant du code malveillant? Parlez nous de votre expérience dans les commentaires.
Si cet article vous a été utile, Partagez le, Merci!
Publié à l'origine le : 21 avril 2015 @ 9 h 41 min
