Beaucoup ont tendance à penser, à tort, que de ne pas mettre les extensions WordPress à jour n’est pas un problème. Et qu’attendre une semaine ou deux, voire plusieurs mois, c’est sans risque. Tout comme d’autres oublient de faire ces mises à jour. Alors que certain(e)s ignorent simplement que mettre à jour des plugins sur un site web WordPress, c’est plus qu’une recommandation. C’est très important.
Il y a aussi le fait que beaucoup ont un site WordPress sur lequel tout se passe bien depuis longtemps. Pas de gros plantages. Pas de piratage. Bref. Ce qui laisse à penser qu’on peut sans doute laisser couler certaines mises à jour à faire sans que ce soit risqué. Aussi, on pourrait finir par croire ainsi que laisser des mises à jour attendre sans les passer, ça ne change rien !
Alors la question qui se pose, c’est est-ce qu’on peut vraiment se faire pirater un site WordPress parce qu’un ou plusieurs plugins ne sont pas à jour ?
Voici un début de réponse !
Oui un plugin pas à jour peut ouvrir une porte à un piratage WordPress
Je le sais parce que je suis sollicitée régulièrement pour confirmer ou non des piratages WordPress. Et pour nettoyer des sites WordPress piratés.
Et vous savez quoi ? Ces piratages entrent parce qu’un ou plusieurs plugins n’étaient pas à jour. Alors oui, dans une majorité de cas, ces mises à jour de plugins attendaient depuis des semaines voire des mois. Et oui, plus le temps passe et plus les risques de piratages augmentent. Mais c’est un fait, ne pas mettre des extensions à jour, ça ouvre des portes à des potentiels piratages. Et plus on attend pour les faire, plus on augmente aussi le risque de faciliter ces piratages.
Il suffit aussi de faire de la veille sur le web pour voir que même des poids lourds des plugins free et premium peuvent être la cible de piratages parce qu’une de leur version a une faille. Et même si cette faille peut être palliée en 48h, il demeure que divers sites web WordPress ne bénéficieront pas forcément de mises à jour de ces plugins rapidement après la livraison d’une mise à jour corrective. Et c’est bien là le problème !
Exemples de plugins qui ont eu des failles en 2024 sur WordPress
Citons des exemples de plugins qui ont fait l’objet de problèmes en 2024 :
- Litespeed
- Really Simple SSL
- Elementor
Ces 3 extensions techniques et/ou de webdesign ont fait l’objet de failles assez conséquentes. Comme il s’agit de poids lourds dans l’écosystème WordPress avec des grosses équipes derrière, heureusement, cela a vite été corrigé. Mais pour qu’un mise à jour corrective fasse effet, il faut que les propriétaires de sites WordPress ou d’usines à sites WordPress lancent les mises à jour ! Et c’est donc bien cette action de mise à jour qui fait parfois défaut. Défaut si longtemps que les piratages surviennent.
Exemple d’un piratage WordPress via extension non à jour
Cas d’école ou Usecase. Je suis contactée pour un site WordPress planté. Plus rien de visible en frontal. Quand on tente de voir le site sans se connecter au WordPress comme un(e) internaute lambda, on ne voit pas le site mais soit l’antivirus bloque l’ouverture de la page web, soit l’ouverture d’un pop up en indiquant que cela présente un risque.
Déjà, ça ne sent pas bon.
On essaie de se connecter via iPhone. Là, on a un pop up qui s’ouvre sur le navigateur avec un truc tout nase qui dit de cliquer pour gagner un téléphone. Bref, ça sent l’arnaque à plein nez. On referme.
Concernant la partie purement WordPress, impossible de se connecter au tableau de bord. Quelle que soit l’adresse : wp-admin ou wp-login.php
On va sur le serveur d’hébergement via FTP et là, on ne voit pas de fichiers WordPress. En revanche on voit plusieurs milliers de fichiers dont les noms sont numériques seulement.
Oui, sans pousser plus loin un diagnostic, un piratage se confirme doucement mais sûrement.
On envoie un nouveau package de fichiers WordPress à jour sur l’hébergement web. Là, les anciens fichiers WP apparaissent enfin. Avec le très important fichier config.php qui porte comme beaucoup le savent, les accès à la base de données.
On change le mot de passe de la base de données via l’hébergeur. Puis dans ce fichier. On se connecte enfin à la BDD. On constate des choses étranges. On change le mot de passe admin dans la base de données (crypté, en mettant le nouveau en MD5). On tente de se connecter au tableau de bord et enfin, on accède au site. Tout n’est pas perdu.
Ensuite on démarre le nettoyage. 9500 articles dans des langues différentes avec des liens et pubs pour des jeux d’argent, des produits pour perdre du poids… Bref, tout sauf ce qui concerne le site web professionnel piraté. Sur l’hébergement web, pas moins de 500 fichiers php d’au moins 9 mo chacun. Au début ils sont légers et toutes les heures, ils grandissent en taille.
Après nettoyage, mise en place d’un plugin de sécurité avec scan inclus pour s’aider, on découvre que c’est bien via un plugin que l’entrée du script malveillant s’est faite. Parce que non, un piratage n’est pas systématiquement fait par de l’humain. Ce sont souvent des robots ou autres scripts qui tournent, trouvent les sites avec une version pas à un jour de tel ou tel plugin. Qui tentent de rentrer. Se prennent des murs. Mais qui finissent inéluctablement par trouver des sites qui ne sont pas sécurisés ni à jour.
Et ce combo de manque de sécurité et manque de mise à jour, c’est comme laisser sa voiture avec la porte ouverte et les clés sur le contact. L’image est volontairement exagérée. Mais l’idée est là.
Un piratage WordPress peut donc bien se faire par le biais d’un plugin qui n’est pas à jour.
Autres entrées de piratages via plugin WordPress
Soyons plus précis. Un plugin WordPress n’est pas forcément à lui seul le problème. Il peut s’agir :
- D’un très bon plugin qui une seule fois va présenter une faille de sécurité dont la nature est de laisser une entrée possible à de la malveillance humaine ou technologique si une MAJ corrective n’est pas passée.
- D’un plugin très bien mais dont les auteurs ne s’occupent plus. D’où l’intérêt de souvent lire les changelogs des produits qu’on achète et utilise (thème et plugin WP)
- D’un plugin très bien mais téléchargé en version craquée, c’est à dire sans payer le prix du produit. Et prendre le risque que le logiciel soit vérolé. Ou modifié. Et souvent non à jour.
Bref, exemples sont nombreux et tous un peu différents. Mais le résultat est hélas souvent similaire :
Il y a une entrée possible. Et qui dit entrée possible, dit potentiellement un piratage.
Alors oui, mettez vos plugins à jour. Vous serez la première personne à qui vous rendrez service. Mais il n’est pas à exclure qu’un piratage puisse nuire à vos visiteurs également. Alors autant ne pas prendre de risque. Tout court.