Un plugin WordPress qui n’a pas reçu de mise à jour depuis plus d’un an est un risque de sécurité que la plupart des entrepreneurs ne perçoivent pas, parce que l’interface d’administration n’affiche aucun avertissement spécifique. Le plugin continue de fonctionner, ne génère aucun message d’erreur, et personne ne signale qu’il faut le remplacer. Pourtant, un plugin abandonné par son développeur ne reçoit plus de correctifs pour les failles découvertes, alors que ces mêmes failles sont scannées par les attaquants sur tous les sites WordPress de la planète. Le répertoire officiel WordPress.org recense plus de 4 000 plugins marqués comme abandonnés ou fermés, dont une partie reste installée sur des millions de sites. Chez Propuls’Lead, l’audit de sécurité que nous réalisons sur chaque site WordPress repris commence par la cartographie des plugins obsolètes, parce que c’est la première porte d’entrée que les attaquants tentent d’exploiter.
Reconnaître les signaux qui trahissent un plugin abandonné
Un plugin WordPress passe par plusieurs stades avant d’être complètement abandonné, et plusieurs signaux permettent de le détecter avant qu’il ne devienne un risque actif. Le premier signal est la date de la dernière mise à jour publiée sur la page du plugin dans le répertoire WordPress.org. Un plugin qui n’a pas été mis à jour depuis plus de 12 mois est officiellement étiqueté par WordPress avec un bandeau d’avertissement visible sur sa page publique, mais ce bandeau n’apparaît pas dans l’interface d’administration du site qui utilise déjà le plugin.
Le deuxième signal est la mention « Closed » sur la page du plugin dans le répertoire officiel. Cette fermeture intervient quand l’équipe WordPress.org décide de retirer un plugin du répertoire suite à une faille de sécurité non corrigée, une violation des règles, ou un abandon manifeste du développeur. Un plugin fermé n’est plus téléchargeable mais reste actif sur les sites qui l’avaient déjà installé, ce qui crée un risque silencieux. Le troisième signal est l’absence de réponse du développeur aux questions posées dans le forum de support du plugin. Un développeur actif répond généralement sous une semaine, alors qu’un développeur ayant abandonné son projet laisse les questions sans réponse pendant des mois. Notre article sur sécuriser son site WordPress avec les 10 actions qui bloquent 99 % des attaques revient sur l’inventaire complet des mesures de durcissement qui complètent la veille sur les plugins.
Mesurer concrètement le risque qu’un plugin obsolète fait peser sur votre site
Tous les plugins obsolètes ne présentent pas le même niveau de risque, et la priorisation du remplacement dépend de plusieurs facteurs concrets. Premier facteur : le périmètre fonctionnel du plugin. Un plugin qui manipule des données sensibles (formulaires de contact, panier e-commerce, gestion d’utilisateurs, paiement) présente un risque bien plus élevé qu’un plugin d’affichage décoratif. Une faille dans un plugin de paiement permet de voler des numéros de carte, alors qu’une faille dans un slider expose au pire une défiguration visuelle.
Deuxième facteur : la popularité du plugin. Un plugin installé sur des centaines de milliers de sites est une cible attractive pour les attaquants qui développent des exploits automatisés. Quand une faille est découverte, des botnets scannent immédiatement tous les sites WordPress pour exploiter la faille avant qu’elle ne soit corrigée. Un plugin obsolète très populaire est un risque qui se matérialise en quelques jours.
Troisième facteur : la présence de la faille dans une base publique comme WPScan Vulnerability Database ou Patchstack. Ces bases recensent les failles connues, avec un score CVSS qui indique la gravité. Une faille de score 9 ou 10 sur un plugin installé sur votre site signifie qu’un attaquant peut prendre le contrôle complet du site. Notre article sur scanner son site WordPress pour détecter les malwares avant qu’il ne soit trop tard revient sur la détection des infections une fois qu’une faille a été exploitée.
Cartographier les plugins obsolètes installés sur un site existant
L’audit d’un site WordPress en production commence par un inventaire complet des plugins avec, pour chacun, le statut de maintenance. Plusieurs méthodes permettent de réaliser cet inventaire selon les outils disponibles. Méthode 1 : audit manuel via l’interface d’administration. Dans Plugins > Installed Plugins, cliquer sur le lien « View details » de chaque plugin pour voir la date de dernière mise à jour, le nombre d’installations actives, et la compatibilité avec la version courante de WordPress. Cette méthode est exhaustive mais chronophage sur les sites avec plus de 20 plugins.
Méthode 2 : utilisation d’un plugin d’audit dédié comme WP Security Audit Log, Plugin Inspector ou No Longer in Directory. Ce dernier alerte spécifiquement sur les plugins qui ont été retirés du répertoire WordPress.org pour cause d’abandon ou de faille non corrigée. Une seule installation et un seul clic suffisent à révéler les plugins à risque immédiat.
Méthode 3 : utilisation d’un scanner externe comme WPScan ou Patchstack. Ces outils interrogent une base de données de failles connues et signalent les plugins obsolètes installés sur le site, classés par gravité. La version gratuite couvre les besoins d’une PME. Le résultat de cet audit est un tableau avec, pour chaque plugin, le nom, la version installée, la date de dernière mise à jour, le statut WordPress.org (actif, abandonné, fermé), et la liste des failles connues. Ce tableau devient la feuille de route du remplacement. Notre article sur WordPress et REST API, sécuriser les endpoints qui exposent vos données revient sur les fuites silencieuses que les plugins obsolètes amplifient quand ils accèdent à des endpoints non protégés.
Remplacer un plugin obsolète sans casser le site en production
Le remplacement d’un plugin abandonné suit une procédure structurée qui réduit le risque de casser une fonctionnalité existante. Étape 1 : identifier la fonctionnalité exacte que le plugin remplit sur le site. Souvent un plugin a été installé il y a plusieurs années pour une raison précise qui n’est plus documentée. Désactiver temporairement le plugin sur un environnement de préproduction permet de voir ce qui cesse de fonctionner et de mesurer si la fonctionnalité est encore utilisée.
Étape 2 : chercher un plugin de remplacement actif, populaire et bien maintenu qui couvre la même fonctionnalité. Le répertoire WordPress.org propose un classement par popularité et la page de chaque plugin affiche la date de dernière mise à jour et la note des utilisateurs. Privilégier un plugin avec plus de 10 000 installations actives, une mise à jour de moins de trois mois, et une note supérieure à 4 étoiles. Étape 3 : tester le remplacement sur un environnement de préproduction qui réplique le site de production. Installer le nouveau plugin, migrer les données si nécessaire (les plugins de formulaires ou de SEO ont souvent un assistant de migration), désactiver l’ancien plugin, et vérifier que la fonctionnalité fonctionne comme avant.
Étape 4 : déploiement sur la production avec sauvegarde préalable. La sauvegarde permet de revenir en arrière en cas de problème non détecté lors du test de préproduction. Étape 5 : surveillance pendant 48 heures après le remplacement pour détecter d’éventuels effets secondaires. Sur les sites e-commerce, cette surveillance porte d’abord sur le tunnel de paiement qui ne tolère aucune régression. Notre article sur WordPress et permissions fichiers, les réglages serveur qui protègent votre site revient sur le verrouillage du système de fichiers qui réduit l’impact d’une faille résiduelle pendant la transition.
Intégrer la veille plugins dans la méthodologie PROPULSE
Dans le cadre de la méthodologie PROPULSE que nous appliquons chez Propuls’Lead, la veille sur les plugins obsolètes fait partie du contrat de maintenance WordPress et suit un cycle mensuel structuré. Cycle 1 : audit automatisé en début de mois. Un script d’audit interroge la base de données Patchstack pour chaque plugin installé et génère un rapport classé par gravité. Les plugins avec une faille critique non corrigée déclenchent une alerte immédiate au consultant en charge du site.
Cycle 2 : revue trimestrielle des plugins maintenus mais sous-utilisés. Un plugin actif mais utilisé pour une fonctionnalité marginale est candidat à la suppression plutôt qu’au remplacement, parce que chaque plugin installé augmente la surface d’attaque. La règle de notre équipe : moins de 15 plugins actifs sur un site WordPress vitrine, moins de 25 sur un site WooCommerce. Cycle 3 : remplacement programmé des plugins abandonnés sans urgence. Les plugins obsolètes sans faille connue mais qui n’ont pas reçu de mise à jour depuis 18 mois sont planifiés pour remplacement dans le trimestre suivant, par ordre de criticité fonctionnelle.
Sur les sites e-commerce que nous accompagnons, ce protocole a évité une dizaine de compromissions en deux ans, en remplaçant des plugins de paiement, de formulaires et de SEO obsolètes. Le coût de cette veille reste marginal face au coût d’une compromission.
Ce qu’il faut retenir sur les plugins WordPress obsolètes
Les plugins abandonnés sont un risque silencieux qui s’accumule année après année sur les sites WordPress. Cinq points clés à retenir : la date de dernière mise à jour et le statut WordPress.org (actif, abandonné, fermé) sont les premiers indicateurs à vérifier, la gravité du risque dépend du périmètre fonctionnel et de la popularité du plugin, l’audit complet via No Longer in Directory ou Patchstack révèle les plugins à risque immédiat, le remplacement suit un cycle test en préproduction, déploiement, surveillance 48 heures, la veille mensuelle et la règle « moins de 15 plugins actifs » réduisent la surface d’attaque sur le long terme. Chez Propuls’Lead, ce travail de veille fait partie intégrante du contrat de maintenance et explique pourquoi les sites que nous accompagnons traversent les années sans incident de sécurité majeur.