Comment vérifier l'historique de propriété d'un plugin WordPress avant de l'installer : 9 étapes

Chaque extension WordPress installée sur votre site est comme une porte d'entrée. Quelqu'un l'a créée, quelqu'un d'autre la maintient, et parfois, quelqu'un d'autre la rachète. Lorsque la propriété d'une extension change de mains, des risques peuvent survenir.

Un plugin qui a gagné la confiance des utilisateurs au fil des ans peut soudainement introduire des logiciels malveillants, des redirections inattendues ou des scripts de collecte de données, simplement parce qu'un nouveau propriétaire est intervenu discrètement.

Pour les propriétaires de sites soucieux de la sécurité, il est essentiel de vérifier l'historique de propriété des plugins WordPress. Cette vérification est un élément fondamental du contrôle de santé et de la maintenance continue d'un site WordPress responsable. Ce guide vous explique en détail pourquoi c'est important, comment procéder étape par étape et quels outils et bonnes pratiques permettent de protéger votre site.

Pourquoi vérifier l'historique de propriété des plugins WordPress avant d'en installer un ?

La plupart des propriétaires de sites vérifient les notes et le nombre d'installations actives avant d'installer une extension. Ces chiffres sont importants, mais ils ne vous indiquent pas qui contrôle actuellement le code, ni si cette personne a à cœur les intérêts de votre site.

Comprendre qui contrôle le code et les mises à jour des plugins WordPress

La propriété d'un plugin WordPress implique la détention des droits d'auteur sur le code source. Lorsque vous installez un plugin, vous partez du principe que le développeur qui l'a créé est toujours celui qui en assure les mises à jour. Or, cette supposition est souvent erronée.

Les extensions sont considérées comme des œuvres dérivées de WordPress et doivent être conformes à la licence GPL. Selon cette licence, le code des extensions doit rester compatible avec WordPress. Cependant, la conformité à la GPL ne garantit pas la bonne foi des auteurs. De nouveaux propriétaires peuvent publier des mises à jour contenant des scripts injectés tout en respectant pleinement la licence.

La sécurité des plugins relève de la responsabilité du développeur. En cas de changement de propriétaire, le nouveau développeur hérite de cette responsabilité, mais son expérience peut être totalement inconnue. Savoir qui contrôle le code vous permet de déterminer si les mises à jour que vous recevez proviennent d'une personne de confiance.

Identifier les risques de sécurité des plugins WordPress liés aux changements de propriétaire

Les changements de propriétaire constituent l'un des vecteurs les plus sous-estimés des compromissions de sécurité des extensions WordPress. Une extension de confiance comptant des milliers d'installations devient une cible de choix pour les piratages, précisément en raison de sa base d'utilisateurs.

Les nouveaux propriétaires peuvent déployer des mises à jour automatiques contenant du code malveillant. Les utilisateurs ayant activé les mises à jour automatiques des plugins reçoivent ces modifications sans vérification. Même en cas d'approbation manuelle, l'accès à votre panneau d'administration par une adresse IP inconnue pendant la nuit est un signal d'alarme indiquant un problème.

La surveillance des échecs de connexion et des refus d'accès après l'installation ou la mise à jour d'une extension est un indicateur clair d'activité suspecte. L'intelligence artificielle est de plus en plus utilisée en cybersécurité WordPress pour détecter ces schémas en temps réel. Sans journal d'audit, il est impossible de relier un incident de sécurité à un changement de propriétaire d'extension survenu plusieurs semaines auparavant.

Vérifier la fiabilité des plugins au-delà des notes, des avis et des installations actives

Un plugin comptant plus de 10 000 installations actives et des centaines d'avis cinq étoiles peut néanmoins présenter un risque pour la sécurité s'il a récemment changé de propriétaire. Les avis reflètent l'expérience passée sous l'ancien propriétaire. Les notes ne sont pas réinitialisées lors de la vente d'un plugin.

Le droit des marques protège les noms et logos des extensions contre toute utilisation non autorisée. Cependant, cette protection n'empêche pas d'acquérir légitimement une extension puis d'en modifier le fonctionnement. Le nom, les avis et le nombre d'étoiles restent inchangés, et les utilisateurs continuent de l'installer sans le savoir.

La partie qui finance l'extension détient les droits de mise à jour et de support. Cela signifie que le nouveau propriétaire a toute latitude pour modifier l'extension à sa guise, dans le respect des termes de la GPL. Pour s'assurer de la fiabilité de l'extension, il est nécessaire d'aller au-delà des apparences et d'examiner en détail son historique de propriété et de développement.

Protégez les performances, le référencement et la sécurité des données de votre site web grâce à des audits de plugins

Les extensions dont les nouveaux propriétaires sont compromis ou négligents peuvent nuire à votre site de multiples façons, au-delà des logiciels malveillants. Des extensions mal entretenues entraînent des problèmes de compatibilité, des temps de chargement lents et sur votre site WordPress.

La sécurité des données est un enjeu particulièrement crucial. Les plugins premium qui gèrent les paiements, les données utilisateur ou les soumissions de formulaires constituent des cibles d'acquisition de grande valeur.

Si un plugin est acquis par un nouveau propriétaire ayant des pratiques de confidentialité différentes, vous pourriez rencontrer des problèmes de conformité en fonction de votre région et des réglementations applicables.

Pour les équipes chargées de la gestion des exigences de conformité en matière d'exportation de données de confidentialité, le plugin utilisé pour collecter les données doit faire l'objet d'audits réguliers, y compris sa propriété.

Pour éviter les problèmes d'abandon de plugins, les clients devraient en être propriétaires. Lorsque les agences qui gèrent les sites clients centralisent ces licences, les changements de propriétaire peuvent affecter simultanément plusieurs environnements clients sans visibilité claire.

Étapes pour auditer l'historique de propriété des plugins WordPress

L'audit est un processus, et non une simple vérification. Ces étapes permettent d'obtenir une vue d'ensemble complète : qui est propriétaire d'un plugin, qui l'a modifié et si vous pouvez lui faire confiance sur votre site.

Étape 1 : Vérifier les informations sur l’auteur et le développeur du plugin WordPress

Commencez par consulter wordpress.org. Chaque extension du répertoire officiel indique son auteur. Rendez-vous sur la page de l'extension et repérez le champ « Auteur ». Cliquez sur le profil de l'auteur pour consulter l'ensemble de ses extensions, l'ancienneté de son compte et son activité au sein de la communauté.

Recherchez la cohérence. Un auteur ayant créé un seul plugin et un compte récent qui gère maintenant un plugin populaire et ancien est un signe d'alerte. Comparez l'auteur actuellement indiqué avec les informations disponibles dans l'historique du forum d'assistance du plugin.

La propriété d'un plugin implique la détention des droits d'auteur sur le code source. Le titulaire des droits d'auteur indiqué dans les commentaires d'en-tête du code du plugin (Auteur :, URI de l'auteur :) peut différer du titulaire actuel du compte WordPress.org en cas de transfert de propriété. Vérifiez les deux.

Si l'URI de l'auteur pointe vers un domaine, vérifiez que ce domaine est actif, légitime et conforme à la finalité déclarée de l'extension. Une extension se présentant comme un simple outil de formulaire mais pointant vers un domaine sans présence web pertinente mérite une enquête plus approfondie.

Étape 2 : Consultez le journal des modifications et l’historique des versions du plugin WordPress

Le journal des modifications est l'une des sources les plus révélatrices de l'historique de propriété. Ouvrez l'onglet « Journal des modifications » sur la page WordPress.org du plugin et remontez le temps depuis la version la plus ancienne.

Soyez attentif aux changements de langage. Les modifications apportées au style d'écriture, à la fréquence des mises à jour et au type de modifications signalent souvent un changement de responsable du plugin.

Un plugin qui publiait depuis des années des journaux de modifications détaillés et destinés aux développeurs, et qui commence soudainement à publier des entrées vagues comme « Améliorations diverses » ou « Corrections de bugs », a peut-être changé de mains.

La fréquence des mises à jour est également importante. Un plugin qui publiait des mises à jour régulières, puis restait silencieux pendant 12 mois avant de publier soudainement plusieurs versions, a peut-être été racheté et relancé. Il est donc important de noter et d'examiner les interruptions dans le cycle de vie des mises à jour d'un plugin avant son installation.

Étape 3 : Analyser les contributeurs des plugins et l’historique des commits WordPress

WordPress.org affiche la liste des contributeurs d'une extension sur sa page d'accueil. Cette liste recense toutes les personnes ayant accès aux modifications. Toute modification de cette liste, notamment le remplacement de tous les contributeurs précédents par de nouveaux comptes, indique fortement un transfert de propriété.

Pour les plugins hébergés sur des plateformes publiques comme GitHub, l'historique des modifications est accessible à tous. Vous pouvez consulter chaque modification de code, identifier son auteur et connaître la date et l'heure de chaque modification.

Le remplacement soudain de tous les auteurs de commits est un signe clair de changement de propriétaire. Vérifiez l'ancienneté des comptes contributeurs, leur activité sur d'autres projets et assurez-vous que leurs profils présentent un historique vérifiable au sein de la communauté WordPress.

Le transfert nécessite l'ajout d'un nouvel utilisateur en tant que contributeur sur WordPress.org. Les plugins sans contributeur ne peuvent pas être transférés. Par conséquent, tout transfert légitime doit laisser une trace dans la liste des contributeurs.

Étape 4 : Vérifier les enregistrements de transfert de propriété des plugins WordPress

Le répertoire des extensions de WordPress.org ne publie pas d'historique des transferts. Cependant, les forums d'assistance contiennent souvent des indices indirects. Recherchez sur le forum d'assistance de l'extension des termes tels que « nouveau propriétaire », « acquisition », « transféré » ou les noms des anciens développeurs.

Les extensions comptant plus de 10 000 utilisateurs nécessitent une demande de transfert par e-mail, provenant impérativement de l'adresse du propriétaire actuel. Ces demandes peuvent être refusées si l'extension est considérée comme une infrastructure critique. De ce fait, les transferts importants font parfois l'objet de discussions publiques, que ce soit sur les forums officiels ou dans la presse spécialisée de la communauté WordPress.

Recherchez le nom de l'extension associé à des termes comme « acquise » ou « vendue » sur des sites d'actualités WordPress tels que WP Tavern, Post Status et Divi Extended. Ces publications traitent souvent des changements de propriétaire d'extensions lorsqu'ils concernent des outils largement utilisés. Comparez ces informations avec l'historique des modifications pour confirmer la date du transfert.

Étape 5 : Examiner l’historique des versions du plugin et les modèles de mise à jour

La numérotation des versions peut révéler des changements de propriétaire. Un plugin qui passe directement de la version 2.3.1 à la version 3.0.0 sans explication claire quant à cette mise à jour majeure peut avoir subi une restructuration interne importante, ce qui est fréquent après une acquisition.

Les paramètres de notification de mise à jour de votre tableau de bord WordPress affichent les mises à jour de version récentes, mais pas l'historique détaillé des versions.

Pour consulter l'historique complet des versions, utilisez la vue avancée sur WordPress.org. Chaque version publiée y est répertoriée avec sa date de sortie. Repérez les périodes où le rythme de publication a considérablement changé ou lorsqu'il y a eu un saut de plusieurs versions.

Portez une attention particulière au calendrier des sorties de versions par rapport aux entrées du journal des modifications que vous avez examinées à l'étape 2. Les incohérences, comme une version marquée comme un correctif mineur que le journal des modifications décrit en termes inhabituellement vagues, méritent un examen plus approfondi.

Étape 6 : Vérifier la réputation du plugin auprès de sources WordPress fiables

Vérifier la réputation d'un plugin ne se limite pas à sa page WordPress.org. Recherchez des avis indépendants sur des publications WordPress reconnues et des sites spécialisés en sécurité. Privilégiez les informations antérieures à votre recherche, et pas seulement celles des pages d'accueil actuelles.

Vérifiez le nom du plugin dans des bases de données de vulnérabilités de sécurité telles que WPScan et Patchstack. Si des vulnérabilités ont été signalées, notez si elles l'ont été sous la direction de l'administrateur actuel ou d'un administrateur précédent, et si elles ont été corrigées rapidement.

Le forum d'assistance est un bon indicateur de la réputation du service. Consultez les 30 à 50 dernières discussions. Vérifiez si les questions reçoivent des réponses, si ces réponses proviennent de l'auteur du plugin et si les utilisateurs signalent de nouveaux problèmes apparus après une mise à jour récente.

Ceci est particulièrement important pour déterminer si un plugin qui ne s'active pas après une mise à jour est dû à un problème de compatibilité ou à un problème plus profond.

Étape 7 : Examiner l’activité et l’état de maintenance du support des plugins

Un plugin actif et bien maintenu bénéficie de réponses régulières de son développeur sur son forum d'assistance. Consultez l'onglet « Assistance » de la page WordPress.org du plugin et vérifiez le pourcentage de sujets résolus ainsi que la date de la dernière réponse.

Un plugin qui prétend être activement maintenu mais qui affiche des mois de demandes d'assistance sans réponse est de facto abandonné, même s'il n'est plus techniquement listé. Les plugins dans cet état continuent souvent d'être installés automatiquement par des utilisateurs qui ne voient que le nombre d'installations actives et ne remarquent pas l'inactivité du support.

Les développeurs de plugins doivent garantir l'intégrité du code et son utilisation sans interruption. Lorsqu'une maintenance est négligée suite à un changement de propriétaire, le risque de vulnérabilités non corrigées s'accumule. C'est l'une des manières les plus directes dont une mauvaise gestion du cycle de vie des plugins engendre une vulnérabilité à long terme.

Étape 8 : Analyser le code du plugin WordPress avant l’installation

Avant d'activer un nouveau plugin, surtout s'il vous inspire des doutes, analysez son code. Vous pouvez le faire sans l'installer sur votre site en production.

Téléchargez le fichier .zip de l'extension depuis WordPress.org. Ensuite, utilisez un outil d'analyse local ou en ligne pour en examiner le contenu. Recherchez du code obscurci, des chaînes encodées en base64, des appels à des domaines externes ou des fonctions d'écriture de fichiers qui ne devraient pas être présentes dans une extension de ce type.

Les signaux d'alerte courants dans le code des plugins incluent : les fonctions qui appellent des URL distantes au chargement de la page, le code qui écrit dans ou lit depuis wp-config.php, les scripts qui créent de nouveaux utilisateurs administrateurs lors de l'installation et tout ce qui fait référence à des adresses IP ou envoie des données hors site.

Les contrôles d'intégrité des fichiers principaux constituent une partie essentielle de cette étape et devraient être inclus dans votre procédure standard de protection contre le piratage d'un site WordPress.

Pour les utilisateurs disposant d'un accès en ligne de commande, WP-CLI offre des fonctionnalités d'inspection des plugins. Les utilisateurs avancés de WP-CLI peuvent effectuer des vérifications de plugins et valider la structure du code sans rien activer sur le serveur en production.

Étape 9 : Vérifier la compatibilité des plugins et les rapports de sécurité

Sur WordPress.org, chaque page de plugin indique la version de WordPress avec laquelle il a été testé. Si un plugin n'a pas été testé avec les deux dernières versions majeures de WordPress, considérez-le comme non maintenu jusqu'à preuve du contraire.

Vérifiez la compatibilité du plugin avec les versions de PHP indiquées. Les plugins nécessitant encore PHP 7.x dans un environnement PHP 8.x peuvent contenir du code obsolète non corrigé, augmentant ainsi les risques de vulnérabilité.

Consultez Patchstack, WPScan et la NVD (National Vulnerability Database) pour vérifier si des CVE ont été signalées concernant l'extension. Une extension présentant plusieurs CVE non corrigées et dont le propriétaire actuel est responsable constitue un risque de sécurité direct.

Vérifiez également si l'authentification à deux facteurs WordPress est prise en charge ou contournée par l'extension, car certaines extensions d'authentification mal codées peuvent compromettre les implémentations 2FA à l'échelle du site.

Étape 10 : Surveiller les plugins installés après les changements de propriétaire

L’audit ne s’arrête pas à l’installation. Une surveillance continue est essentielle, notamment pour les plugins qui reçoivent des mises à jour fréquentes.

Simple History est l'une des meilleures extensions d'historique disponibles. Elle enregistre toutes les activités des utilisateurs sur les sites WordPress, y compris l'installation, l'activation et la désactivation de chaque extension. Elle consigne les tentatives de connexion infructueuses provenant d'adresses IP inconnues et stocke par défaut les enregistrements d'activité dans la base de données WordPress pendant 60 jours.

Avec Simple History, vous pouvez repérer rapidement les activités suspectes. Le journal des événements principal de l'extension affiche les derniers événements survenus sur votre site.

Vous pouvez filtrer les journaux par nom d'utilisateur, type d'événement ou adresse IP pour identifier précisément ce qui s'est passé et quand. Lors du déploiement d'une mise à jour de plugin, vous pouvez corréler les événements d'accès à la page d'administration, les refus d'accès et les entrées de journal personnalisées ultérieurs avec le moment de cette mise à jour.

La fonction d'aperçu rapide de la barre d'administration simplifie la consultation des événements récents, même lors des tâches administratives courantes. Pour les équipes gérant plusieurs sites, les rapports par e-mail et le résumé hebdomadaire, disponibles chaque lundi matin dans la barre latérale d'informations, offrent une vue d'ensemble complète des journaux sans nécessiter de vérifications manuelles quotidiennes.

La version gratuite de Simple History offre des fonctionnalités importantes pour la surveillance des requêtes HTTP sortantes et la consultation du journal d'audit complet.

Outils pour auditer la propriété et l'historique des plugins WordPress

Plusieurs outils permettent de réaliser des audits de propriété des plugins à différentes étapes du processus.

• Simple History est une extension WordPress de journalisation d'activité qui enregistre les événements de sécurité, les actions des utilisateurs, les modifications de contenu et l'activité système. Elle prend en charge les événements personnalisés, l'accès via l'interface de ligne de commande WordPress (WP CLI), la surveillance RSS et des journaux d'audit détaillés.

• WPScan analyse votre site et ses plugins installés en les comparant à une base de données de vulnérabilités connues. Il signale les CVE, les problèmes non corrigés et les risques spécifiques à certains plugins, liés à des versions particulières.

• Plugin Security Scanner (de Patchstack) fournit des alertes de vulnérabilité en temps réel pour les plugins de votre site, y compris des alertes liées aux divulgations de sécurité relatives à la propriété.

• GitHub permet de consulter directement l'évolution du code au fil du temps. Tout plugin disposant d'un dépôt public fournit un historique complet des commits, les informations sur les auteurs et les différences de code pour chaque version.

• Le répertoire des plugins de WordPress.org (vue avancée) regroupe l'historique complet des versions, les chronologies des contributeurs et les archives des journaux de modifications. Il constitue le point de départ de tout audit manuel de propriété.

• WP-CLI permet aux administrateurs de sites d'interroger les données des plugins, de vérifier les versions des plugins, d'exécuter des contrôles de code et d'automatiser les audits de routine à partir de la ligne de commande, ce qui est essentiel pour les agences gérant des sites clients à grande échelle.

Erreurs courantes lors de l'audit de la propriété des plugins WordPress

Même les utilisateurs expérimentés de WordPress commettent ces erreurs lorsqu'ils évaluent la sécurité des plugins.

• Se fier uniquement aux notes par étoiles. Ces notes reflètent l'expérience passée et ne sont pas mises à jour en cas de changement de propriétaire. Un plugin ayant 430 avis cinq étoiles peut les avoir tous obtenus sous une autre direction.

• Ignorer le journal des modifications est une erreur. Ce journal offre un aperçu direct de l'historique de développement d'un plugin. En l'ignorant, vous n'aurez pas accès au contexte chronologique nécessaire pour identifier les changements de propriétaire.

• Ne pas consulter la liste des contributeurs. La liste des contributeurs sur WordPress.org est l'un des indices les plus clairs d'un transfert de propriété. Un remplacement complet des contributeurs doit toujours inciter à une enquête approfondie.

• On présume souvent que la conformité à la GPL garantit la sécurité. La licence publique générale GNU régit la propriété des plugins WordPress, mais elle ne régit que les droits de distribution et de modification, et non l'intention. Un plugin entièrement conforme à la GPL peut donc être malveillant.

• Ne pas analyser le code avant l'activation est une erreur fréquente. De nombreux propriétaires de sites installent des extensions directement sans vérifier leur code. Pourtant, même une simple analyse à la recherche de chaînes de caractères obscures ou d'appels externes inattendus permet de déceler des problèmes évidents avant qu'ils n'affectent votre site. L'utilisation d'outils d'audit de site web lors de la vérification préalable à l'installation permet de combler cette lacune.

• L'absence de surveillance continue est problématique. Un audit ponctuel lors de l'installation est insuffisant. Le comportement des plugins peut changer à chaque mise à jour. Un enregistrement continu via des outils comme Simple History garantit la capture des événements importants dès leur survenue, et non leur découverte des semaines plus tard.

• Négliger de vérifier le statut d'un plugin manquant est une erreur. La disparition d'un plugin du répertoire WordPress.org est un signal d'alarme. Les plugins sont supprimés pour des raisons de sécurité, de non-respect des règles ou en cas d'enquête en cours. Un plugin supprimé doit être désactivé et remplacé immédiatement.

• Ignorer l'activité du widget du tableau de bord. Le widget Historique simple offre un aperçu rapide de l'activité récente directement depuis le tableau de bord WordPress. En ignorant ce panneau, vous manquez les données d'activité des articles que l'Historique simple affiche pour une consultation immédiate.

Conclusion : Pourquoi les audits de propriété des plugins sont importants pour la sécurité de WordPress

L'audit de propriété des plugins WordPress est l'une des pratiques de sécurité les plus sous-utilisées de l'écosystème WordPress. Il exige certes un certain effort, mais cet effort est minime comparé au coût de la récupération d'un site compromis, à la perte de référencement ou à une fuite de données.

Chaque extension de votre site représente une relation de confiance avec son développeur. En cas de changement de propriétaire, cette relation de confiance est réinitialisée. L'audit de l'historique, la surveillance du code et le suivi des changements de comportement grâce à une extension de journalisation complète comme Simple History garantissent que votre confiance est toujours placée à bon escient.

Pour les propriétaires de sites, les développeurs et les agences gérant des environnements clients, l'intégration d'audits de propriété des plugins à leur flux de travail standard n'est pas une option, mais une nécessité. Combiner des mesures d'audit proactives avec des outils de surveillance en temps réel vous offre une vision claire et permanente de l'activité de votre site WordPress, à tous les niveaux.

de comprendre comment modifier les rôles et les permissions des utilisateurs après un audit de plugin, car les plugins malveillants tentent souvent de créer ou d'obtenir des comptes d'administrateur. Associer les audits de propriété aux revues des rôles des utilisateurs permet de combler l'une des failles de sécurité les plus fréquemment exploitées dans WordPress.

Une liste de plugins soigneusement vérifiée, associée à une surveillance active via des outils comme Simple History, constitue la base d'un site WordPress sécurisé, stable et fiable.

FAQ concernant l'audit de l'historique de propriété des plugins WordPress