10 conseils pour sécuriser son site sous WordPress 2. Installer des plugins avec parcimonie

Les plugins de WordPress sont sa force, ce sont aussi sa grande faiblesse d'un point de vue de la sécurité. Parmi les nombreuses attaques réalisées via une faille de sécurité d'un plugin WordPress, figure celle qui a vu des milliers de sites WordPress rediriger leurs visiteurs vers le site 203koko.eu.

Tous les sites infectés par le malware avaient un point commun : ils utilisaient le plugin "Fancybox for WordPress", une extension qui permettait d'afficher les images dans une vignette simplement en cliquant sur elles. Un plugin purement cosmétique et a priori inoffensif, qui pourtant comportait une faille exploitée par des pirates.

N'installer que des plugins indispensables

Face à ce danger, le mieux est de n'installer que les plugins réellement nécessaires à votre site. "Moins on installe de plugins, moins on a de mises à jour à gérer et plus on réduit sa surface d'attaque", explique Joaquim Dos Santos, directeur de projet d'Ikoula. "On doit toujours se poser la question : est-ce que je peux faire sans tel ou tel plugin ? Il faut vraiment privilégier, dans la mesure du possible, les plugins qui ont pignon sur rue, dont les éditeurs ou les auteurs sont reconnus dans la communauté WordPress."

Là encore, le tableau de bord WordPress prévient le webmaster de la disponibilité d'une nouvelle version de chacun des plugins installés sur le site. Le mieux est donc d'installer ces mises à jour au plus vite lorsque c'est possible.