Pourquoi un plugin peut disparaître de WordPress.org ?
La disparition soudaine d’un plugin du répertoire des extensions sur WordPress.org n’est jamais une information à prendre à la légère, et quand cela arrive, dès qu’on s’en aperçoit, il faut essayer de comprendre ce qui se passe, pour décider si, oui ou non, ce plugin est à conserver.
En résumé, un plugin disparait du répertoire quand il ne répond plus aux exigences de WordPress, ou bien quand son auteur décide de le retirer.
Et les exigences de WordPress sont fondamentalement assez simples :
- le plugin doit être sous licence GPL (et ne pas contrevenir à une licence sur une autre technologie qu’il utiliserait, ou une marque…)
- le plugin ne doit pas avoir de failles de sécurité dangereuses
C’est le très gros intérêt de WordPress.org : quand on a un plugin qui vient de là, on est raisonnablement sûr qu’il n’y a pas “trop” de failles de sécurité, ou, si il y en a, qu’il y aura une action rapide dès qu’elles seront découvertes. Vous vous souvenez par exemple comment la réaction a été extrêmement rapide lors de la découverte de la faille TimThumb ? Et comment WordPress a réagi en scannant tous les plugins et les thèmes qui utilisaient TimThumb ? Les retirant immédiatement jusqu’à la correction de la faille ?
En comparaison, on trouve encore aujourd’hui en vente sur ThemeForest des thèmes qui utilisent TimThumb.
Le retrait doit toujours être un signal d’alarme
Un petit mot envoyé à l’auteur en privé, ou sur Twitter si vous vous connaissez déjà ou que vous avez envie de voir ce que d’autres en pensent peut vous permettre d’avoir des explications, et donc de juger si, en fonction de votre configuration, vous conservez le plugin ou pas.
Par exemple, si il y a un risque dans les environnements multi-auteurs parce que le plugin permet aux auteurs d’avoir accès aux pages admins, mais que vous êtes seul maitre à bord et n’autorisez pas la création de nouveaux users, vous pouvez garder ce plugin tranquillement.
En revanche, toute réponse évasive du genre
https://mobile.twitter.com/account/suspended
ou “J’ai des divergences de vues avec WordPress, nous travaillons à les réduire” doit vous faire supprimer immédiatement le plugin.
Pourquoi ? Parce qu’un développeur pas franc est un développeur dangereux… et que, sauf à être un expert de la sécurité, vous n’êtes pas plus avancé qu’avant. Qu’il ne souhaite pas dévoiler à tout le monde une faille de sécurité, c’est une chose…
Evaluer une faille de sécurité
Bon d’accord, mais évaluer la sécurité d’un plugin, c’est un boulot de professionnel, qu’est-ce que j’y peux moi ?
On peut quand même réfléchir : en comprenant ce que fais le plugin, et en regardant la configuration de son blog. Beaucoup de plugins, par exemple ont des failles de sécurité qui permettent à des rôles restreints (auteur, éditeur, etc) d’outrepasser les restrictions, ou d’envoyer des données dangereuses dans la base de données.
Si vous êtes le seul utilisateur du blog, et que vous interdisez, via les options, la création de nouveau comptes (ou alors uniquement “sans rôle”) alors ce n’est pas grave. En effet, personne ne pourra arriver au stade où il peut exploiter la faille du plugin (et si il y arrive, il a exploité une autre faille de sécurité, donc on s’en fout).
Néanmoins, à ce stade, il faut bien comprendre déjà le fonctionnement de WordPress. Donc, par sécurité… désactivez tous les plugins qui disparaissent du repository.
Comment savoir qu’un plugin disparait ?
En effet, l’information n’apparait pas dans le tableau de bord, ni dans la liste des extensions. Et vous n’allez pas surveiller tous les jours la listes de vos plugins n’est-ce pas ?
Par exemple, ces dernières semaines, LiveOptim a joué à cache-cache avec le repository, de nombreuses failles de sécurité ayant été détectées les unes après les autres.
https://mobile.twitter.com/BoiteAWeb/status/463953156385570816
Et c’est justement Julio qui propose un excellentissime plugin , Plugin Security Checker , qui vous informe des risques liés à vos plugins, et vous alerte immédiatement en cas de disparition du repository. En cas de risque, l’information apparait partout dans l’admin, même dans la fenêtre de rédaction des articles !
Merci pour cette présentation du plugin. Il va falloir que je le mette à jour alors ;)
Concernant le retrait du plugin, si vous découvrez une faille de sécurité, envoyez un mail à plugins@wordpress.org avec le lien vers le plugin (repo only, pas de marcketplace), expliquer la faille, comment la reproduire et en 24h le plugin à toutes les chances de disparaitre temporairement, le temps que l’auteur réagisse.
Dans le cas d’un plugin freemium comme LO cité ici, l’auteur réagit plutôt vite, car les ventes dépendent du téléchargement du gratuit, le taux de transformation quoi.
Néanmoins, pas de pitié pour un plugin qui pourrait retourner votre site en moins de deux, ces plugins doivent être corrigés au plus vite OU disparaître à tout jamais (ou être repris par un bienveillant).
Un plugin supprimé est toujours dispo via SVN si vous voulez reprendre un plugin supprimé.
Pour revenie à mon plugin, je vérifie une liste de plugins supprimés du repo et les plugins recemment connus pour contenir des failles, je vais donc ajouter LO dans cette liste.
A bientôt !
Bonjour julio potier,
Mon site millemariages.com ne s’affiche plus : le 18 juillet, ce sont les menus, le slider et les pages de catégorie sur la home page qui ne s’affichaient plus, et le 19 c’est presque tout le site. Sur mon back office les extentions ont disparu,
mais quand j’ai regardé sur mon FTP, les plugins étaient présentes.
Que pensez-vous qu’il se soit passé ?
Que faire ?
Je vous remercie pour votre réponse. Je ne suis pas un expert mais je suis les forums et autres tutos pour apprendre.
Bien cordialement
Nicolas
Bonjour Nicolas,
il y a des centaines de raisons pour que de telles choses se produisent. Le mieux est de poser votre question sur le forum de support wordpress, http://www.wordpress-fr.net/support/
Plusieurs personnes ont le même problème il s’agit sans doute d’un hack.
Sinon, je suis ravie de faire la boite à lettre, mais si vous voulez vous adresser à Julio spécifiquement, il faut sans doute mieux passer par son blog ^^
Ah merci Julio, c’est ce que j’allais dire pour la MàJ de votr plugin Security Checker = un ange gardien pour un de mes sites :)
Par contre, si vous voulez un peu d’herbe à la place du café que vous réclamez tjs quand on essaie de faire l’update…je vous garde un peu de Kg (hahahah, c’est pour rire: on est le 11 mai, n’est-ce pas:) Peace & Love)
Hello,
Ce n’est pas toujours mauvais signe, j’ai fait retirer certains de mes plugins qui fonctionnaient mais pour lesquels je n’assurais plus le support. Un plugin sur wordpress.org c’est ça le vrai danger ! Pour autant c’est un must et pas un must have. A la guise du dév.
Pour ma part je ne publie pas sur cette plateforme sans support, il y a github et les gist de github pour cela.
ça fait partie des vraies bonnes raisons :) (et une explication claire en plus ^^)
Oui j’ai oublié un bout de phrase “un plugin [SANS SUPPORT] sur wordpress.org” sinon ça veut pas dire grand chose dsl.
Une solution reste d’éviter d’utiliser trop de plugins, avoir des plugins avec des MAJ régulières.
Les hackers attaquent aussi la base MySQL.
La sécurité sur WordPress est un souci majeur pour les sites car ce CMS est victime de son succés.
Il faut être clair : WordPress est en réalité un des CMS les plus surs. Il y a eu des études comparatives là dessus. En particulier, la surveillance du repository est un vrai plus, qui n’existe pas sous une forme aussi poussée pour Drupal ou Joomla, pour ne citer que ceux-là.
Le mythe du manque de sécurité de WordPress est simplement lié au nombre de gens qui ne font pas les mises à jour, qui installent n’importe quoi.
La mise à jour régulière d’un plugin n’est pas un gage de sécurité, et son absence de mise à jour n’est pas en soi un signe inquiétant. LiveOptim a été mis à jour très régulièrement, et j’utilise sans aucun problème des plugins vieux de plusieurs années qui n’ont absolument aucune raison d’être mis à jour parce que la partie de l’API qu’ils utilisent n’a pas changé.
De nombreux plugins sont “soi disant” mis à jour en changeant une ligne de code ou quelque chose dans le fichier .txt de présentation, juste à cause de cette focalisation sur la mise à jour récente.
Perso, si un plugin est mis à jour régulièrement sans nouvelles fonctionnalités, je trouve ça plutôt inquiétant : c’est qu’il y avait beaucoup d’erreurs de code à corriger…
Assez d’accord avec Marie-Aude. Un plugin compatible WP2.0>WP3.5 n’a pas besoin de mise à jour parce qu’il fonctionne sur des fonctions basiques de WP – sauf fonctions devenues obsolètes.
Je ne connaissais pas le plugin Security Checker qui “unclude” des choses intéressantes. Je vais l’installer sur un de mes blogs, tiens… même si j’ai tendance à surveiller les plugins que j’utilise.
Un excellent rappel et un très bon plugin qui devrait permettre de limiter de nombreux problèmes de sécurité.
J’avais loupé les sorties entrées puis sorties de certains plugins mais pour moi, si faille de sécurité alors plugin désinstallé et pas seulement désactivé!
Merci pour cette découverte, je vais installer ça sur un de mes WP utilisé régulièrement, ça me permettra de faire de la veille pour les autres. ;)
Merci pour cette piqûre de rappel, wordpress à tellement de plugins que la tentation de vouloir les installer et grande, ce billet à le mérite de nous rappeler la vocation d’un CMS «publier du contenu» !
Merci pour cette présentation claire des risques liés à l’utilisation de plugin peu recommandables ou à utiliser avec précaution. C’est vrai que WP est souvent montré du doigt question sécurité, mais pour moi il s’agit non pas tant du code ou du repo. mais bien du fait que le nombre de sites WordPress installés dans le monde est une mine d’or pour les hackers qui souhaiteraient gagner accès pour constituer leur réseau de zombies. En somme, victime de son succès !
“C’est vrai que WP est souvent montré du doigt question sécurité” ha bon ? Il ne me semble pas ça. “souvent montré du doigt” … non vraiment non.
Petite astuce pour tout de même pouvoir télécharger et voir les fichiers d’un plugin supprimé temporairement :
Exemple :
https://wordpress.org/plugins/liveoptim/ Si le plugin est supprimé on voit “Whoops! We couldn’t find that plugin. Maybe you were looking for one of these?” suivi du champ de recherche.
Modifiez alors l’URL en https://wordpress.org/support/view/plugin-reviews/liveoptim vous aurez le bouton de téléchargement.
Pour voir les fichiers vous avez aussi http://plugins.svn.wordpress.org/liveoptim/ ou https://plugins.trac.wordpress.org/browser/liveoptim/ ou https://github.com/wp-plugins/liveoptim
Voilà
Bonsoir Julio,
Bon plus que tu passes par là e t que tu ne m’a pas répondu chez toi ;-)
j’ai le message
« Plugin Security Checker: Alerte Sécurité !
Buddypress Verified (dossier « buddypress-verified ») a été supprimé du repository officiel »
manifestement il est tjs dans le repository quand j’ai regardé.
Je ne sais pas si cela suffit pour dire qu’il est relativement sûr ou qu’il l’est redevenu ??
En tous les cas une maj permettant de masquer les faux positifs serait la bienvenue ou un ptit mot, degré de risque (problabement pas possible mais bon)
a+
Bonsoir, je ne réponds pas pour Julio, mais je viens de chercher l’extension et elle ne s’y trouve pas. Il y a un BuddyVerified mais ce n’est pas le même nom.
Bonsoir
pardon je n’ai pas été vérifier les comms sur secupress :o
Oui c’est le même plugin, le slug (identifiant) est identique et c’est “buddypress-verified”.
En fait, quand je mets à jour le plugin, j’embarque une liste (en dur) de plugins vérifiés à un instant T, le temps de la prochaine mise à jour, s’il eest revenu, je le note encore comme disparu …
Je vais voir pour faire un test avant de signaler.
Merci