Juste un court article en réaction au dernier billet de Thierry Roget, où il mentionne les plugins WordPress installés sur son blog. Pour ma part, j’aurais plutôt tendance à conseiller de ne pas communiquer à ce sujet. Pourtant, en tant que développeur de plugins, je dois bien vous l’avouer, j’apprécie quand un blogueur évoque un de mes bébés.
Alors pourquoi ce conseil qui va à l’encontre de mes intérêts ? Simplement pour que votre site ne soit pas piraté. Si WordPress corrige régulièrement ses failles, ce n’est pas forcément le cas de tous les développeurs de plugins. Nombre d’entre eux codent en dépit du bon sens et une bonne partie n’effectue plus de mise à jour depuis des années. Communiquer sur les plugins installés sur votre blog, c’est dire haut et fort à tous les hackers de la Terre : « vous voyez ce plugin plein de trous de sécurité ? Je l’ai installé, alors faites-vous plaisir surtout ! »
Voilà qui est dit.
mmm… cela rappelle la « sécurité par l’obscurité » est me semble une approche douteuse. Un hacker testera la présence des plugins (il est généralement possible d’automatiser cela via des scripts). en les cachant, le gestionnaire du site ne gagnera qu’une fausse impression de sécurité.
Mon conseil serait plutôt: ne jamais utiliser sur un site public des plugins de qualité non prouvée, et qui ne sont pas mis à jour régulièrement.
@emmv
Évidemment, mon conseil ne règle pas le problème des failles éventuelles, mais il diminue le risque de se faire pirater par un hacker, disons, moins bien organisé que d’autres.
Nous sommes d’accord, mieux vaut s’assurer au préalable de la qualité des plugins installés. Cependant la plupart des utilisateurs de WordPress n’en a ni les compétences, ni le temps.
En même temps… si le visiteur est vraiment capable de pirater WordPress il reconnaîtra sans trop de mal les plugins installés sur le blog.