Comment Détecter Les Plugins WordPress Abandonnés Qui Peuvent Mettre Ton Site En Danger

Publié : par Alejandro Granata
Comment Détecter Les Plugins WordPress Abandonnés Qui Peuvent Mettre Ton Site En Danger thumbnail

“C’est avril. Que fait le sapin de Noël dans le salon ?”

Tu as passé des heures à décorer le sapin de Noël et à le baigner de lumières scintillantes.

Mais c’était en décembre.

La vie est devenue chargée, et avant que tu ne t’en rendes compte, le printemps est arrivé. Et maintenant, le pauvre arbre s’affaisse dans le coin, perdant des aiguilles — un risque d’incendie poussiéreux plus qu’un centre de table festif.

C’est ce qui arrive avec les plugins WordPress abandonnés.

Nous les installons pour une raison, mais avec le temps, ils sont oubliés. Laisser sans surveillance, les plugins abandonnés deviennent des risques de sécurité, exposant votre site à des menaces potentielles.

Repérons-les et supprimons-les.

Qu’est-ce qu’un Plugin Abandonné ?

Oh oui, tout d’abord, nous devons encore comprendre ce qu’est exactement un plugin abandonné.

Un plugin abandonné est un plugin WordPress que son développeur ne maintient ou ne met plus à jour. WordPress considère un plugin abandonné s’il n’a pas reçu de mises à jour depuis plus de deux ans.

Ces plugins peuvent devenir incompatibles avec les dernières versions de WordPress, entraînant des vulnérabilités de sécurité potentielles et des problèmes de fonctionnalité.

Pourquoi Les Plugins Abandonnés Sont Un Gros Problème

Les plugins abandonnés sont comme des bombes à retardement pour ton site WordPress. En 2023, 97% de toutes les nouvelles vulnérabilités WordPress provenaient des plugins, alors que seulement 0,2% étaient trouvées dans le noyau de WordPress lui-même. Cela signifie que presque tous les problèmes de sécurité affectant les sites WordPress proviennent des plugins et des thèmes — et non du logiciel principal.

Le rapport de vulnérabilité WordPress de SolidWP est mis à jour quotidiennement sur les nouvelles vulnérabilités de l’écosystème WordPress. Tu verras presque toujours de nouvelles vulnérabilités pour les plugins mais rarement pour le noyau WordPress.

Capture d’écran de l'annonce de mise à jour du Core WordPress 6.7.2 soulignant 35 corrections de bugs. Un signe de vérification vert indique qu'il n'y a pas de nouvelles vulnérabilités du core.

C’est des milliers de propriétaires d’entreprise qui ont géré :

  • Perte de revenus pendant l’indisponibilité du site.
  • Données client compromises.
  • Réputation endommagée et confiance perdue.
  • Google classant leur site comme « potentiellement dangereux ».
  • Heures (ou jours) passées à nettoyer le désordre.

Quand les développeurs abandonnent leurs plugins, ils cessent de colmater les failles de sécurité — créant ainsi des points d’entrée parfaits pour les pirates.

Y pense bien :

  • Pas de mises à jour de sécurité = exposition de ton site à des vulnérabilités connues.
  • Pas de tests de compatibilité avec les nouvelles versions de WordPress = fonctionnalités défectueuses.
  • Pas de corrections de bugs = comportements inattendus qui peuvent compromettre ton site.

Maintenant, le WAF de Wordfence a bloqué 3 millions d’attaques provenant d’environ 14 000 IP ciblant les vulnérabilités des plugins juste pendant la première moitié de 2023.

Mais supposons que tu as eu de la chance, et que le plugin abandonné que tu possèdes est complètement sûr à utiliser.

Nous devons encore gérer les problèmes de performance.

Chaque nouvelle mise à jour WordPress améliore la vitesse, réduit les redondances dans le système, et rend le site web globalement plus réactif tout en ajoutant plus de fonctionnalités.

Mais si le plugin abandonné ralentit le site web, ces améliorations de vitesse pourraient ne jamais être remarquées, et il serait facile de penser que WordPress est le coupable ici (même si ce n’est jamais le cas).

Il y a aussi une forte possibilité que le plugin provoque un conflit avec une version plus récente de WordPress et tu te retrouves avec un site web cassé.

Malheureusement, lorsque cela se produit avec des Plugins abandonnés, tu es complètement livré à toi-même. Pas de développeur pour répondre aux questions, pas de soutien communautaire, pas de mises à jour de la documentation. 15,7% de tous les plugins vulnérables ont été complètement retirés du dépôt de Plugins WordPress en raison de l’abandon.

Cela laisse les propriétaires de sites web utiliser sans le savoir des logiciels obsolètes et non corrigés que les pirates peuvent exploiter.

En résumé — éloigne-toi de ces plugins dès que possible.

Recevez du contenu directement dans votre boîte de réception

Abonnez-vous maintenant pour recevoir toutes les dernières mises à jour directement dans votre boîte de réception.

Comment Repérer Les Plugins Abandonnés

Il est temps de prendre tes lunettes de détective métaphoriques et de commencer à chercher des indices qui révèlent les plugins qui accumulent la poussière dans ton tableau de bord WordPress.

Voici quelques éléments qui aident à identifier si un plugin abandonné est présent sur notre site web.

1. La Date De “Dernière Mise À Jour”

Le signal d’alerte le plus évident se cache en pleine vue.

Dans ton tableau de bord WordPress, va dans Plugins > Installed Plugins.

Tableau de bord WordPress montrant la page des Plugins installés. L'élément de menu 'Plugins' est mis en évidence en bleu avec un contour violet et des flèches pointant vers lui.

Ensuite clique sur Voir les détails pour ouvrir les détails du plugin où tu verras la date de la dernière mise à jour.

Fenêtre de détails du Plugin UpdraftPlus WP Backup & Migration dans WordPress. Un contour violet met en évidence la section 'Dernière mise à jour : il y a 2 semaines'.

UpdraftPlus est un plugin populaire et est mis à jour assez régulièrement. Au moment de la rédaction, il a été mis à jour il y a seulement deux semaines, et il est sûr de le conserver car il y a un développement actif.

Mais tu pourrais avoir un ancien plugin encore sur ton site web comme celui ci-dessous, mis à jour il y a NEUF ans :

Fenêtre de détails du Plugin public Content XLerator WP dans WordPress. Un avertissement indique que le plugin n'a pas été testé avec la version actuelle de WordPress. Un contour violet met en évidence 'Dernière mise à jour : il y a 9 ans.'

Tout plugin non mis à jour depuis plus d’un an mérite ton attention, alors que ceux qui n’ont pas été touchés depuis deux ans tombent dans la catégorie officielle “abandonné” de WordPress et devraient être supprimés de ton site web aussi rapidement que possible.

S’il y a des pages qui utilisent encore les fonctionnalités du plugin (peut-être qu’il s’agit d’un ancien plugin de formulaire et que tu as encore quelques formulaires), remplace les fonctionnalités par des plugins plus récents dès que tu le peux.

2. Vérifie La Date De Mise À Jour Dans La Recherche De Plugin

Suppose que tu cherches à installer ton prochain plugin WordPress. Tu veux également vérifier les dates de dernière mise à jour dans les résultats de recherche.

Prenons le même plugin abandonné de l’exemple ci-dessus ici. Si tu vas dans Plugins > Ajouter de nouveaux plugins et que tu le recherches, tu verras l’écran ci-dessous :

Écran Ajouter des Plugins WordPress affichant le Plugin Public Content XLerator WP. Un contour violet met en évidence 'Dernière mise à jour : il y a 9 ans.' Le plugin a moins de 10 installations actives et n'a pas été testé avec la version actuelle de WordPress.

Remarque que cela affiche la date de dernière mise à jour directement dans les résultats de recherche, afin que tu puisses choisir si tu veux installer le plugin ou non.

Si tu n’es pas sur ton tableau de bord WordPress, mais que tu recherches des plugins sur l’annuaire de plugins WordPress, tu peux cliquer sur n’importe quel plugin et voir la version et la date de « Dernière mise à jour » sur le panneau d’information à droite.

Page du répertoire des plugins WordPress pour 'Embed Plus for YouTube Gallery, Livestream, and Lazy Loading with Facades.' Un contour violet met en évidence les détails du plugin, incluant la version 14.2.1.3, dernière mise à jour il y a 3 mois, plus de 100,000 installations actives, et compatibilité avec WordPress jusqu'à la version 6.7.2.

Cela devrait te donner suffisamment d’informations pour décider si le plugin vaut la peine d’être envisagé ou non.

3. Regarde les Tickets de Support

Suppose tu vois un plugin qui a été mis à jour récemment mais qui n’a que quelques installations actives. Comment peux-tu être sûr que le plugin est activement développé ?

Les tickets de support peuvent montrer une image claire.

Sur la page de l’annuaire des plugins WordPress, va sur n’importe quel plugin que tu envisages, et clique sur le lien Support juste en dessous du bouton de téléchargement.

Page de l'annuaire des plugins WordPress pour 'UsersWP – Formulaire de connexion frontend, Inscription des utilisateurs, Profil utilisateur & Annuaire des membres plugin pour WP.' Un contour violet met en évidence le lien 'Support'.

Sur cette page, tu verras tous les tickets de support que les utilisateurs de WordPress ont soulevés.

Forum de support WordPress pour 'UsersWP - Formulaire de connexion front-end, inscription utilisateur, profil utilisateur & plugin de répertoire des membres pour WP.' Affiche une liste des sujets de support récents, le nombre de participants, les réponses et les dates des derniers messages. Les liens de la barre latérale incluent les FAQ, les fils de support et les avis.

Si tu remarques que le développeur répond activement, résout les problèmes et ajoute même de nouvelles fonctionnalités sur demande, tu peux envisager d’essayer le plugin en toute sécurité.

Mais parfois, tu peux remarquer que des requêtes restent sans réponse pendant des semaines et qu’il n’y a aucun développement réel sur le plugin. C’est alors qu’il est préférable de s’éloigner et de trouver quelque chose de plus actif.

4. Écoute Les Avertissements De Ton Tableau De Bord

WordPress est comme ce technicien intelligent dans ton équipe qui garde tout sous contrôle.

Si le noyau WordPress, un plugin ou un thème devient obsolète, qu’une nouvelle vulnérabilité apparaît, ou s’il y a un conflit possible, cela t’envoie des indications, des notifications et des messages d’erreur pour le signaler clairement.

Tableau de bord WordPress affichant un avertissement 'Mise à jour PHP requise'. Le message indique que le site utilise une version PHP non sécurisée et suggère une mise à jour pour une meilleure sécurité et performance. Un contour violet met en évidence la boîte d'avertissement.

Tu peux choisir de passer outre et continuer avec l’action que tu avais prévue — mais nous te conseillons d’écouter ces avertissements.

5. Exécuter Des Contrôles De Sécurité Automatisés

Il existe de nombreuses façons de sécuriser ton site web WordPress. La plus simple est d’installer un seul plugin de sécurité comme Wordfence, Patchstack, Sucuri, etc., et de le laisser déterminer si quelque chose est bon pour ton site web ou non.

Interface de scan de sécurité Wordfence montrant un scan complet avec une détection à 100% sur les signatures de malware standard et premium, ainsi que les vérifications de réputation. Aucun nouveau problème n'a été trouvé. Divers contrôles de sécurité, incluant le spam, les listes de blocage, les changements de fichiers et les scans de vulnérabilité, sont affichés.
Source

Ces plugins suivent chaque vulnérabilité de sécurité, plugins abandonnés ou obsolètes, et tous les problèmes du noyau WordPress existants. Si ton site web présente des signes correspondant à l’un de ces problèmes, le plugin te notifiera immédiatement.

Ils effectuent également des analyses automatiques en arrière-plan pour détecter les acteurs malveillants tentant d’exploiter des plugins obsolètes ou abandonnés afin d’obtenir un accès non autorisé à ton site web, ou pour identifier des plugins autrefois sûrs qui sont devenus infectés.

6. Le Test de Popularité

Et finalement, si tu ne veux pas te soucier des détails techniques, laisse faire la foule. Les meilleurs plugins WordPress sont également ceux qui comptent le plus grand nombre d’installations actives.

Lorsque tu recherches des plugins dans l’annuaire des plugins WordPress, clique sur l’onglet Vue Avancée sous les données du plugin (la section où on voit la date de “Dernière mise à jour”).

Page du plugin WordPress 'Advanced View' affichant des statistiques, incluant les versions actives, le graphique des téléchargements quotidiens et l'historique des téléchargements totaux. Un contour violet met en évidence le nombre total de téléchargements de 609,788,768. Détails du plugin, évaluations et versions supportées sont également montrés.

La vue avancée te montre des statistiques sur la version des plugins utilisée par tous les utilisateurs, ainsi que le nombre de téléchargements que le plugin enregistre sur une base quotidienne et hebdomadaire, en plus des installations totales.

Les plugins avec une diminution des installations actives (moins de 1,000), des tendances de téléchargement en baisse ou des évaluations constamment médiocres pourraient être en voie d’abandon — ou y être déjà.

Pour la plupart, si tu te tiens aux principaux plugins de WordPress qui sont activement utilisés par de nombreuses personnes, tu seras généralement en sécurité. C’est parce que les développeurs ainsi que les utilisateurs techniquement compétents surveillent les problèmes dans le code et les résolvent dès qu’ils apparaissent.

Plugins Abandonnés Trouvés ? Voici Ce Qu’il Faut Faire

Alors, tu as découvert l’équivalent d’un sapin de Noël oublié sous forme de plugin dans ton site WordPress. Et maintenant ?

Voici ton plan de sauvetage étape par étape pour éliminer ces risques de sécurité sans compromettre ton site.

Étape 1 : Trouver une Alternative

Avant de toucher à quoi que ce soit, trouve un remplacement. Recherche des plugins actifs qui offrent une fonctionnalité similaire à ceux que tu n’utilises plus.

Les meilleurs remplacements auront :

  • Mises à jour des trois derniers mois
  • Compatibilité avec ta version de WordPress
  • Évaluations fortes (4 étoiles ou plus)
  • Une communauté de développeurs réactive
  • Bonne documentation

Note de Nerd : Parfois, le remplacement parfait n’est pas du tout un plugin ! De nombreuses fonctionnalités nécessitant autrefois des plugins sont désormais intégrées dans le noyau de WordPress ou dans ton thème.

Étape 2 : Créer Une Sauvegarde Complète

Une sauvegarde est le filet de sécurité de ton site web. Ne la néglige pas !

Crée un backup complet de ton site WordPress, incluant les fichiers et la base de données.

Tu peux utiliser des plugins ou les outils de sauvegarde de ton hébergeur, mais assure-toi de savoir comment restaurer à partir de cette sauvegarde si nécessaire.

On espère que la sauvegarde ne sera pas nécessaire, mais ce sera un sauveur si les choses tournent mal.

Étape 3 : Tester Dans Un Environnement De Préproduction (Quand C’est Possible)

Pour les sites critiques pour l’entreprise, teste avant de te lancer. Si disponible, clone ton site dans un environnement de préproduction et remplace d’abord les plugins abandonnés là-bas.

Si le site est en panne, tu dois enquêter sur ce qui s’est mal passé et comment le réparer en préproduction avant de commencer à travailler sur le site en direct.

Cet environnement devient ton terrain de jeu sans conséquences pour tester correctement de nouveaux plugins avec ta configuration spécifique.

Étape 4 : Remplacer Soigneusement le Plugin

Maintenant pour l’événement principal. Voici comment remplacer ces plugins abandonnés.

  1. Active d’abord le nouveau plugin, sans désactiver l’ancien pour l’instant.
  2. Configure le nouveau plugin pour qu’il corresponde à tes paramètres de l’ancien.
  3. Vérifie que le fonctionnement est conforme aux attentes avec les deux actifs.
  4. Désactive (mais ne supprime pas) le plugin abandonné.
  5. Teste ton site de manière approfondie pour t’assurer que rien n’est cassé.

Quand tu es sûr que tout fonctionne comme il se doit, débarrasse-toi de ce vieux plugin WordPress.

Étape 5 : Vérification Après Remplacement

Après le changement, examine minutieusement ton site. Vérifie le frontend et le backend de ton site pour détecter des problèmes.

Recherche des problèmes visuels, des problèmes de fonctionnalité ou des messages d’erreur. Et prête une attention particulière aux fonctionnalités qui dépendaient du plugin remplacé.

Devrais-Tu Jamais Conserver Un Plugin Abandonné ?

Admettons-le — parfois tu as besoin d’un plugin abandonné dont ton site dépend absolument.

Peut-être gère-t-il une fonction unique (comme un système de recommandation de paiement spécifique) que aucun autre plugin n’égale, ou peut-être as-tu construit des intégrations personnalisées autour de celui-ci.

Alors, peux-tu (et devrais-tu) le garder ? Eh bien… c’est compliqué.

Garder un plugin abandonné est risqué. Tu devrais uniquement envisager de le garder si :

  • Le plugin remplit une fonction critique sans alternatives viables.
  • Ton flux de travail dépend des fonctionnalités personnalisées qu’il offre.
  • Le plugin est relativement simple avec une surface de code minimale (tu peux faire examiner le code du plugin sur GitHub par un développeur).
  • Tu l’as testé de manière approfondie avec ta version actuelle de WordPress et il fonctionne bien.

Si tous ces éléments sont satisfaits, tu peux envisager de conserver le plugin. Mais nous te recommandons toujours de trouver un moyen de maintenir le code avec l’aide d’un développeur ou de t’en débarrasser dès que possible.

Les Précautions De Sécurité Supplémentaires Que Tu Dois Prendre

Si tu décides de garder ce plugin abandonné, tu devras construire une forteresse autour.

  • Créer un firewall spécifique au plugin : Utilise des plugins de sécurité comme Wordfence ou Sucuri pour créer des règles de firewall personnalisées ciblant les vulnérabilités potentielles dans ton plugin abandonné. Ces derniers agissent comme ta première ligne de défense contre les attaques ciblant les faiblesses connues.
  • Mettre en place des audits de code réguliers : Embauche un développeur pour examiner périodiquement le code du plugin pour des vulnérabilités de sécurité. Oui, cela coûte de l’argent, mais c’est nettement moins cher que de gérer un site piraté et ses conséquences.
  • Configurer une surveillance renforcée : Configure des alertes pour toute activité inhabituelle liée au plugin. La détection précoce peut faire la différence entre un problème mineur et une violation de sécurité majeure qui met à terre tout ton site.
  • Isoler lorsque c’est possible : Si c’est faisable, fais fonctionner le plugin abandonné sur un sous-domaine ou environnement séparé, limitant son accès aux données sensibles et aux fonctions de ton site principal — considère cela comme une zone de quarantaine.

Mesures Proactives Pour Prendre Le Contrôle de la Santé des Plugins 💪

Aussi cliché que cela puisse être, mieux vaut prévenir que guérir.

Voici comment construire un écosystème de plugin sain qui maintient ton site WordPress sécurisé et performant au mieux.

Planifiez Des Audits Réguliers De Plugin

Pense à cela comme à un contrôle trimestriel de ton site.

Marque ton calendrier pour une évaluation approfondie des plugins tous les trois mois. Lors de ces audits, examine l’historique des mises à jour récentes de chaque plugin, le statut de compatibilité, et si tu as réellement encore besoin de celui-ci.

Cette maintenance de routine prévient les problèmes de plugin avant qu’ils ne commencent et maintient votre site optimisé.

Choisis des Plugins Avec de Bons Antécédents

Tous les plugins ne sont pas créés égaux. Lorsque tu ajoutes de nouveaux outils à ton site, recherche ces indicateurs de bonne santé :

  • Mises à jour régulières (au moins trimestrielles)
  • Base d’utilisateurs active et large (plus de 10 000 installations)
  • Support des développeurs réactif (vérifiez la rapidité de réponse aux questions)
  • Documentation détaillée et feuille de route claire du développement

Adopte la philosophie “Less is More”

Ton site WordPress n’est pas une vitrine de collection de plugins. Chaque plugin ajoute du code, de la complexité et des problèmes de sécurité potentiels.

Demande-toi : “Ce plugin résout-il un vrai problème que j’ai en ce moment ?”

Si ce n’est pas le cas, cela n’a pas sa place sur ton site. Vise le nombre minimum de plugins nécessaire pour atteindre tes objectifs.

Configurer les Notifications de Mise à Jour Automatiques

Reste informé sans vérifier constamment le tableau de bord. Configure des alertes email pour les mises à jour de Plugins disponibles via les outils de ton hôte ou un plugin de gestion.

Ces alertes email t’aident à suivre les mises à jour critiques de sécurité ou de compatibilité, même lorsque tu es occupé à gérer ton entreprise.

Envisage une Solution d’Hébergement WordPress Géré

Parfois, il est préférable de simplement confier les choses à un professionnel pour que tu puisses travailler sur ton entreprise.

Des services tels que DreamPress gèrent la plupart de la maintenance de WordPress, y compris la surveillance de la sécurité et les mises à jour, et aident également en cas de panne.

Ton Site Mérite Mieux Que Des Toiles D’araignée De Plugin

Comme ce sapin de Noël oublié, les plugins abandonnés ont peut-être été utiles à un moment donné — mais leur temps est révolu. Tu ne peux pas risquer la sécurité et la performance de ton site WordPress avec ces plugins abandonnés.

Mais, tout le monde n’a pas le temps ou l’expertise technique pour surveiller les plugins pour détecter des signes d’abandon.

DreamPress peut s’en occuper pour toi. Il gère les mises à jour du noyau WordPress, les correctifs de sécurité et les sauvegardes du site automatiquement et propose des sauvegardes quotidiennes automatiques, un cache intégré et un support spécialisé WordPress disponible 24/7.

Cela signifie que tu te concentres sur la création de contenu et la gestion de ton entreprise pendant que DreamPress s’assure que ton site est bien pris en charge.

Alors vas-y — donne à ton site WordPress le nettoyage de printemps qu’il mérite, ou laisse les pros chez DreamPress s’en occuper pour toi.

website management by DreamHost
Hébergement WordPress

Évite Le Stress

Évite les problèmes de dépannage en t’inscrivant à DreamPress. Nos experts WordPress sympathiques sont disponibles 24/7 pour t’aider à résoudre les problèmes de site web, grands ou petits.

Découvre Les Offres
Photo de Alejandro Granata

Alejandro Granata