Pourquoi un plugin peut disparaître de WordPress.org ?

Bannière de Plugin security checker
Suivre la sécurité de ses plugins WordPress

Marie-Aude

J'ai fait de la compta, de la finance, du juridique, j'ai été chef de projet SAP, j'ai fait de la photo, des voyages. Depuis 2007, je fais avec amour des sites webs pour les utilisateurs, qui se référencent bien et je vous aide à acquérir du trafic pertinent.

Vous aimerez aussi...

19 réponses

  1. Julio Potier dit :

    Merci pour cette présentation du plugin. Il va falloir que je le mette à jour alors ;)
    Concernant le retrait du plugin, si vous découvrez une faille de sécurité, envoyez un mail à plugins@wordpress.org avec le lien vers le plugin (repo only, pas de marcketplace), expliquer la faille, comment la reproduire et en 24h le plugin à toutes les chances de disparaitre temporairement, le temps que l'auteur réagisse.
    Dans le cas d'un plugin freemium comme LO cité ici, l'auteur réagit plutôt vite, car les ventes dépendent du téléchargement du gratuit, le taux de transformation quoi.
    Néanmoins, pas de pitié pour un plugin qui pourrait retourner votre site en moins de deux, ces plugins doivent être corrigés au plus vite OU disparaître à tout jamais (ou être repris par un bienveillant).
    Un plugin supprimé est toujours dispo via SVN si vous voulez reprendre un plugin supprimé.
    Pour revenie à mon plugin, je vérifie une liste de plugins supprimés du repo et les plugins recemment connus pour contenir des failles, je vais donc ajouter LO dans cette liste.
    A bientôt !

    • nicolas dit :

      Bonjour julio potier,

      Mon site millemariages.com ne s'affiche plus : le 18 juillet, ce sont les menus, le slider et les pages de catégorie sur la home page qui ne s'affichaient plus, et le 19 c'est presque tout le site. Sur mon back office les extentions ont disparu,
      mais quand j'ai regardé sur mon FTP, les plugins étaient présentes. 

      Que pensez-​vous qu'il se soit passé ?

      Que faire ?

      Je vous remercie pour votre réponse. Je ne suis pas un expert mais je suis les forums et autres tutos pour apprendre.

      Bien cordialement
      Nicolas

      • Marie-Aude dit :

        Bonjour Nicolas,

        il y a des centaines de raisons pour que de telles choses se produisent. Le mieux est de poser votre question sur le forum de support wordpress, http://www.wordpress-fr.net/support/

        Plusieurs personnes ont le même problème il s'agit sans doute d'un hack. 

        Sinon, je suis ravie de faire la boite à lettre, mais si vous voulez vous adresser à Julio spécifiquement, il faut sans doute mieux passer par son blog ^^

  2. silowe dit :

    Ah merci Julio, c'est ce que j'allais dire pour la MàJ de votr plugin Security Checker = un ange gardien pour un de mes sites :) 

    Par contre, si vous voulez un peu d'herbe à la place du café que vous réclamez tjs quand on essaie de faire l'update...je vous garde un peu de Kg (hahahah, c'est pour rire : on est le 11 mai, n'est-ce pas:) Peace & Love)

  3. JulienMaury dit :

    Hello,

    Ce n'est pas toujours mauvais signe, j'ai fait retirer certains de mes plugins qui fonctionnaient mais pour lesquels je n'assurais plus le support. Un plugin sur wordpress.org c'est ça le vrai danger ! Pour autant c'est un must et pas un must have. A la guise du dév.

    Pour ma part je ne publie pas sur cette plateforme sans support, il y a github et les gist de github pour cela.

  4. Une solution reste d'éviter d'utiliser trop de plugins, avoir des plugins avec des MAJ régulières.
    Les hackers attaquent aussi la base MySQL.
    La sécurité sur WordPress est un souci majeur pour les sites car ce CMS est victime de son succés.

    • Marie-Aude dit :

      Il faut être clair : WordPress est en réalité un des CMS les plus surs. Il y a eu des études comparatives là dessus. En particulier, la surveillance du repository est un vrai plus, qui n'existe pas sous une forme aussi poussée pour Drupal ou Joomla, pour ne citer que ceux-là.
      Le mythe du manque de sécurité de WordPress est simplement lié au nombre de gens qui ne font pas les mises à jour, qui installent n'importe quoi. 

      La mise à jour régulière d'un plugin n'est pas un gage de sécurité, et son absence de mise à jour n'est pas en soi un signe inquiétant. LiveOptim a été mis à jour très régulièrement, et j'utilise sans aucun problème des plugins vieux de plusieurs années qui n'ont absolument aucune raison d'être mis à jour parce que la partie de l'API qu'ils utilisent n'a pas changé. 

      De nombreux plugins sont "soi disant" mis à jour en changeant une ligne de code ou quelque chose dans le fichier .txt de présentation, juste à cause de cette focalisation sur la mise à jour récente. 

      Perso, si un plugin est mis à jour régulièrement sans nouvelles fonctionnalités, je trouve ça plutôt inquiétant : c'est qu'il y avait beaucoup d'erreurs de code à corriger...

  5. Li-An dit :

    Assez d'accord avec Marie-​Aude. Un plugin compatible WP2.0>WP3.5 n'a pas besoin de mise à jour parce qu'il fonctionne sur des fonctions basiques de WP – sauf fonctions devenues obsolètes.
    Je ne connaissais pas le plugin Security Checker qui "unclude" des choses intéressantes. Je vais l'installer sur un de mes blogs, tiens... même si j'ai tendance à surveiller les plugins que j'utilise.

  6. Fabrice dit :

    Un excellent rappel et un très bon plugin qui devrait permettre de limiter de nombreux problèmes de sécurité.

    J'avais loupé les sorties entrées puis sorties de certains plugins mais pour moi, si faille de sécurité alors plugin désinstallé et pas seulement désactivé !

  7. Gwaradenn dit :

    Merci pour cette découverte, je vais installer ça sur un de mes WP utilisé régulièrement, ça me permettra de faire de la veille pour les autres. ;)

  8. Augustin dit :

    Merci pour cette piqûre de rappel, wordpress à tellement de plugins que la tentation de vouloir les installer et grande, ce billet à le mérite de nous rappeler la vocation d'un CMS « publier du contenu » !

  9. David dit :

    Merci pour cette présentation claire des risques liés à l'utilisation de plugin peu recommandables ou à utiliser avec précaution. C'est vrai que WP est souvent montré du doigt question sécurité, mais pour moi il s'agit non pas tant du code ou du repo. mais bien du fait que le nombre de sites WordPress installés dans le monde est une mine d'or pour les hackers qui souhaiteraient gagner accès pour constituer leur réseau de zombies. En somme, victime de son succès !

  10. Julio Potier dit :

    "C’est vrai que WP est souvent montré du doigt question sécurité" ha bon ? Il ne me semble pas ça. "souvent montré du doigt" ... non vraiment non.

  11. Julio Potier dit :

    Petite astuce pour tout de même pouvoir télécharger et voir les fichiers d'un plugin supprimé temporairement :
    Exemple :
    https://wordpress.org/plugins/liveoptim/ Si le plugin est supprimé on voit "Whoops ! We couldn't find that plugin. Maybe you were looking for one of these?" suivi du champ de recherche.
    Modifiez alors l'URL en https://wordpress.org/support/view/plugin-reviews/liveoptim vous aurez le bouton de téléchargement.
    Pour voir les fichiers vous avez aussi http://plugins.svn.wordpress.org/liveoptim/ ou https://plugins.trac.wordpress.org/browser/liveoptim/ ou https://github.com/wp-plugins/liveoptim
    Voilà

  12. Herve dit :

    Bonsoir Julio,
    Bon plus que tu passes par là e t que tu ne m'a pas répondu chez toi ;-)

    j’ai le message
    « Plugin Security Checker : Alerte Sécurité !
    Buddypress Verified (dossier « buddypress-​verified ») a été supprimé du repository officiel »

    manifestement il est tjs dans le repository quand j'ai regardé.
    Je ne sais pas si cela suffit pour dire qu’il est relativement sûr ou qu'il l'est redevenu ??
    En tous les cas une maj permettant de masquer les faux positifs serait la bienvenue ou un ptit mot, degré de risque (problabement pas possible mais bon)
    a+

    • Marie-Aude dit :

      Bonsoir, je ne réponds pas pour Julio, mais je viens de chercher l'extension et elle ne s'y trouve pas. Il y a un BuddyVerified mais ce n'est pas le même nom.

  13. Julio Potier dit :

    Bonsoir

    pardon je n'ai pas été vérifier les comms sur secupress :o
    Oui c'est le même plugin, le slug (identifiant) est identique et c'est "buddypress-​verified".
    En fait, quand je mets à jour le plugin, j'embarque une liste (en dur) de plugins vérifiés à un instant T, le temps de la prochaine mise à jour, s'il eest revenu, je le note encore comme disparu ...
    Je vais voir pour faire un test avant de signaler.

    Merci

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.