En matière de sécurité, 4h18.com a lié un véritable partenariat avec Boite A Web, la société de Julio, basé dans le Nord. Ce dernier fournit des extensions pour vous aider à maintenir un site WordPress sécurisé. Après quelques mois d’exploitations, voici un premier retour sur les demandes effectuées via son plugin WP-Security Checker dont le test est disponible sur 4h18
WPSC c’est quoi ?
Pour rappel, WPSC permet, depuis votre interface d’administration de faire une demande d’audit sur la sécurité de tel ou tel plugin. En effet, les extensions disponibles ici et là sur la toile ne sont pas forcément toutes sans reproches en matière de failles. Les plugins téléchargeables sur le dépôt WordPress n’échappent pas à cette triste règle.
Le Top 10 des demandes d’audit
Vous ne serez pas surpris de retrouver ici les plugins les plus populaires. Dans ce décomptes, Akismet et WPSC ne sont pas pris en compte car sont cliqués principalement pour « tester » le plugin. En revanche, il y a de quoi être surpris par la présence de Hello Dolly.
- Contact Form 7
- All in One SEO Pack
- Google XML Sitemaps
- Hello Dolly
- WP Security Scan
- BackWPup
- Visitor Maps and Who’s Online
- WP Super Cache
- Google Analytics for WordPress
- WPtouch
Plus de 530 plugins différents ont été demandé en audit via WPSC.
Plus de 1300 requêtes de demande d’audits
Plus de 80 sites ont une clé API pour WPSC.
Moyenne de ~6 à 7 plugins par site.
Moyenne de ~16 requêtes par site, les gens reviennent donc vérifier si le plugin a été audité.
Sachez qu’une extension populaire, téléchargée des milliers de fois n’est pas un gage de sécurité, loin s’en faut !
La sécurité, les plugins et vous
WPSC est une extension sans pareil (à ma connaissance, et à ce jour). Les chiffres ci-dessus montre que l’intérêt porté à la sécurité d’un site WordPress va en grandissant. Ce qui n’est pas un luxe.
En effet, la multiplication des extensions sur une même installation peut ouvrir de nombreuses failles sur votre site, le rendant ainsi vulnérable. Ceci est à pondérer par le fait qu’il n’est pas courant qu’un Hacker vienne s’en prendre à un site perso, question exploit, ce n’est ainsi qu’il sera reconnu. Cependant, la vigilance reste de mise.
Dernière minute
Les dix extensions les plus demandées (cf : la liste ci-dessus) seront auditées gratuitement courant juin par la Boite A Web
Par ailleurs, courant juillet, le service d’Audit de sécurité d’une extension deviendra gratuit.
Pour les moteurs, ça parle de :
- plug in demande de rappel wordpress
- plugin de rappel wordpress
- plugin de securite
Sécurité de votre site WordPress : audit de plugin > http://t.co/bWLRGOG cc @boiteaweb
[...] WordPress Francophone : Planet mai 24th, 2011 :: Filed under Informatique,TechnologieTags :: wordpress plugins You can leave a [...]
Merci pour cette review, je suis content de t’avoir fourni ces infos pour que tu puisses en tirer un article.
Je précise que le plugin est gratuit, a toujours été gratuit est sera toujours gratuit.
Ce qui est (futur était) payant c’est le travail d’audit. Néanmoins, avec
3 mois de recul, je m’aperçois de mon erreur de « ciblage ».
C’est pour cette raison que je vais offrir les audits. Il est évident que je ne pourrais jamais faire toutes les demandes, je vous explique rapidement comment je vais procéder pour « choisir » ces 5 plugins par mois :
Il s’agit du TOP 5 des audits demandés via le plugin WPSC. Une seule demande par site par mois sera prise en compte, les audits seront réalisés pendant le mois N, puis durant le N+1, les auteurs seront contactés, et espéront, des patches appliqués. A la fin de ce mois N+1, les articles seront postés sur le blog.
ps : Je n’audite pas les plugins payants gratuitement. Malgré que le service devient gratuit, les dons pour le temps passé à utiliser mes compétences de consultant en sécurité web sont les bienvenus.
Bon courage !
Les plugins ont tous été audités et seront dispo dans WPSC d’ici le 01 septembre 2011.
Certains le sont déjà, comme All in one seo pack, contact form7 ou WPTouch.
A bientot !
C’est quoi donc WPSC ??
Sinon, bon boulot !
Tu as écris « WPSC est une extension sans pareil (à ma connaissance, et à ce jour). », tu dois savoir
haha
C’est une précaution, il existe peut être une extension de ce type mais non présente sur le dépôt
Excellent sujet qui apporte des réponses à un problème qui nous chatouille tous. La sécurité via les plugins qiu de part leur conception sont tous, ou presque, sujets à ouvrir des failles de sécurité. Ce sujet devrait d’ailleurs faire l’objet de nombreuses applications. Merci BAW d’avoir lancé le concept. Je teste…
Julio est une excellente source d’informations pour l’aspect sécuritaire de WordPress. Son site une mine d’info, et je vous invite, les uns et les autres, à le suivre sur Twitter, où il distille quelques bon tuyaux aussi.