Comment réduire les risques de sécurité liés aux extensions et plugins d'un site web ?

La grande majorité des piratages de sites sous CMS passe par une extension ou un plugin vulnérable ou obsolète. Pour réduire ce risque : n'installez que des extensions maintenues et issues de sources fiables, tenez-les à jour sans délai, supprimez celles que vous n'utilisez plus, et surveillez les alertes de sécurité (CVE) qui les concernent.

Quelques réflexes limitent fortement la surface d'attaque :

  • Choisir avec soin : privilégier les extensions activement maintenues, bien notées et régulièrement mises à jour ;
  • Mettre à jour vite : appliquer les correctifs de sécurité rapidement, car les failles publiées sont exploitées en quelques jours ;
  • Désinstaller l'inutile : une extension désactivée mais toujours présente reste une porte d'entrée potentielle ;
  • Surveiller les vulnérabilités : suivre les annonces de failles concernant les composants installés.

Sur un site rarement modifié, ces vérifications passent facilement à la trappe — c'est précisément là que le risque grimpe. Un contrat de maintenance assure cette veille et ces mises à jour en continu, sans dépendre de la vigilance ponctuelle de l'équipe.