WordPress a annoncé une proposition visant à adopter une approche plus proactive envers les plugins tiers afin d’améliorer la sécurité et les performances du site.
Ce qui est en cours de discussion est un vérificateur de plugin qui s’assurera que les plugins suivent les meilleures pratiques.
Les plugins tiers sont une source majeure de vulnérabilités de sécurité et de goulots d’étranglement des performances du site Web. La proposition décrit trois façons d’aborder un vérificateur de plugin et sollicite des commentaires sur l’idée.
La proposition WordPress a défini le problème :
«Bien qu’il y ait moins d’exigences d’infrastructure pour les plugins que pour les thèmes, il y a certainement certaines exigences qui valent la peine d’être vérifiées, et dans tous les cas, vérifier les meilleures pratiques de sécurité et de performance dans les plugins serait tout aussi essentiel que dans les thèmes.
Cependant, à ce jour, il n’y a pas de vérificateur de plug-in correspondant.
Vulnérabilités WordPress et performances médiocres
La plateforme de publication WordPress a la réputation d’être vulnérable aux pirates et d’être lente.
Il peut donc être surprenant d’apprendre que le noyau WordPress lui-même est une plate-forme hautement sécurisée.
La majorité des vulnérabilités affectant la plateforme WordPress sont dues à des plugins tiers.
Même si WordPress lui-même est raisonnablement sûr, les plugins tiers ont fait de WordPress pratiquement synonyme de sites piratés.
Il existe également un problème similaire en ce qui concerne les performances du site WordPress. Une équipe de performance WordPress travaille activement à l’amélioration des performances du noyau WordPress lui-même.
Mais cet effort peut être compromis par des plugins tiers qui chargent JavaScript et CSS sur des pages où ils ne sont pas nécessaires ou ne chargent pas les images paresseusement, ce qui finit par ralentir les performances du site Web.
Vérificateur de plugins
WordPress produit déjà un vérificateur de thème qui permet aux développeurs de thèmes de vérifier leur travail pour les meilleures pratiques et la sécurité. Le même vérificateur de thème est également utilisé sur le référentiel de thèmes WordPress officiel.
Alors maintenant, ils veulent explorer la même chose pour les plugins.
C’est ainsi que l’objectif du vérificateur de plugin proposé a été défini :
“Il devrait y avoir un outil de vérification des plugins WordPress qui analyse un plugin WordPress donné et signale toute violation des meilleures pratiques de développement de plugins avec des erreurs ou des avertissements, avec un accent particulier sur la sécurité et les performances.”
La proposition énumère trois approches possibles :
- A. Analyse statique
C’est ainsi que les thèmes sont vérifiés, mais il existe des limitations, telles que l’impossibilité d’exécuter le code. - B. Analyse côté serveur
Cette méthode permet au code du plugin de s’exécuter et une analyse statique peut également être effectuée. - C. Analyse côté client
Cela charge un navigateur sans tête (essentiellement un bot qui émule un navigateur), puis teste le plugin pour les problèmes qui ne peuvent pas nécessairement être détectés avec une solution côté serveur. Le document note certains défis à cette approche, mais énumère également des moyens de les contourner.
La proposition comporte un graphique avec des colonnes pour les approches A, B et C et des lignes correspondant aux notes attribuées à chaque approche pour les problèmes de sécurité et de performances.
L’évaluation conclut que l’analyse côté serveur peut être l’approche optimale.
Meilleures pratiques pour les plugins
L’équipe de performance de WordPress ne s’engage pas à créer un vérificateur de plugin, ce n’est qu’une proposition. Ce n’est que le point de départ.
Néanmoins, vérifier les plugins tiers pour les meilleures pratiques de sécurité et de performance est une bonne idée car cela profitera aux utilisateurs de WordPress et aux visiteurs du site.
Citations
Résumé de la réunion de l’équipe de performance avec lien vers la proposition
Résumé de la réunion de l’équipe de performance WordPress
Lire la proposition de vérificateur de plugin
Proposition : Vérificateur de plugin WordPress (Google Docs)
Image en vedette : Mr.Exen/Shutterstock
— to www.searchenginejournal.com