Guides Sécurité Plugins abandonnés Audit sécurité
Par Yohann LE DU Publié le 15 mai 2026 9 min de lecture

Plugins WordPress abandonnés : comment les repérer avant qu'ils deviennent un problème

Un plugin WordPress que vous n'avez pas touché depuis trois ans tourne peut-être encore sur votre site en ce moment. Son développeur a arrêté de le maintenir. Une faille sera découverte un jour - et personne ne publiera de correctif. C'est le scénario le plus fréquent que nous rencontrons dans les audits, et l'un des plus sous-estimés. Un suivi de maintenance WordPress actif est le seul moyen de repérer ce type de risque avant qu'il se transforme en incident.

Votre site utilise peut-être des plugins abandonnés sans que vous le sachiez. WordPress ne vous prévient pas automatiquement quand un plugin est retiré du répertoire officiel ou quand son développeur cesse toute activité. La vérification est manuelle - ou déléguée à un service de surveillance. Demandez un audit gratuit de votre site →
96 % des failles WordPress affectent les plugins (Patchstack 2025)
34 000+ plugins sans mise à jour depuis plus de 2 ans sur WordPress.org
1 614 plugins retirés de WordPress.org en 2024 pour failles non corrigées
33 % des vulnérabilités divulguées sans correctif disponible
Sommaire
  1. Ce qu'on appelle vraiment un plugin abandonné
  2. Comment les détecter sur votre site
  3. Ce que vous risquez avec un plugin WordPress abandonné
  4. Comment évaluer le danger d’un plugin abandonné
  5. Que faire quand vous trouvez un plugin WordPress abandonné
  6. Checklist rapide de vérification
  7. Questions fréquentes

Ce qu'on appelle vraiment un plugin abandonné

Un plugin abandonné, c'est une extension WordPress dont le développeur a cessé de s'occuper - plus de mises à jour, plus de corrections de bugs, plus de réponses aux tickets de support. Mais "abandonné" couvre des réalités très différentes, et les confondre conduit soit à la panique inutile, soit à sous-estimer un vrai problème.

Abandonné ≠ dangereux par défaut

Un plugin qui n'a pas été mis à jour depuis 18 mois n'est pas forcément un problème immédiat. Si la fonctionnalité qu'il couvre est simple et stable, si aucune vulnérabilité n'est connue, et s'il reste compatible avec votre version de WordPress et de PHP, il peut tourner sans incident. Le risque est là - il n'est pas nul - mais il n'est pas urgent.

La bonne question à se poser n'est pas "ce plugin a-t-il été mis à jour récemment ?" mais "est-ce que quelqu'un corrigerait une faille si on en découvrait une ?" Pour un plugin abandonné, la réponse est non.

Les deux formes d'abandon

Le premier type est le plus visible : le plugin est retiré du répertoire WordPress.org. Cela arrive quand WordPress.org détecte une faille non corrigée, du code malveillant, ou une inactivité prolongée. En 2024, 1 614 extensions ont été retirées pour ces raisons, selon le rapport Patchstack. Les sites qui utilisaient ces plugins ne reçoivent aucune notification - le plugin reste installé, il continue de fonctionner, et personne ne sait qu'il est potentiellement compromis.

Le second type est plus insidieux : le plugin est toujours en ligne sur WordPress.org, mais le développeur a silencieusement cessé toute activité. Pas de réponse aux tickets de support depuis 6 mois, dernière mise à jour datée de 3 ans, aucune compatibility flag avec les versions récentes de WordPress. Techniquement "disponible", concrètement orphelin.

Administration WordPress, page Extensions installées : message d'alerte orange indiquant qu'un plugin n'a pas été testé avec la version actuelle de WordPress
Dans la liste des extensions installées, WordPress signale les plugins non testés avec votre version actuelle. C'est le premier indicateur d'abandon visible sans quitter votre tableau de bord.

Comment détecter les plugins abandonnés sur votre site

La bonne nouvelle : la détection ne nécessite pas de compétences techniques. Trois niveaux de vérification, du plus rapide au plus approfondi.

Niveau 1 : ce que WordPress vous dit déjà

Dans votre tableau de bord, allez dans Extensions > Extensions installées. Chaque plugin affichant "Non testé avec votre version de WordPress" mérite une investigation. Ce message apparaît dès que le développeur n'a pas déclaré de compatibilité avec les 3 dernières versions majeures de WordPress. Ce n'est pas une alerte de sécurité en soi, mais c'est le signal le plus accessible sans quitter votre admin.

Niveau 2 : la page WordPress.org du plugin

Pour chaque plugin suspect, rendez-vous sur wordpress.org/plugins/[nom-du-plugin]. Deux informations sont critiques :

  • Dernière mise à jour : visible dans le bloc de droite. Au-delà de 12 mois, c'est un signal d'alerte. Au-delà de 24 mois, considérez le plugin comme abandonné sauf preuve du contraire.
  • Testé jusqu'à : si la version indiquée est inférieure à la version actuelle de WordPress de deux numéros ou plus, le développeur n'a pas testé son code depuis longtemps.

L'onglet Support est aussi révélateur. Des dizaines de questions sans réponse sur les 6 derniers mois, des tickets marqués "non résolus" qui s'accumulent - c'est la confirmation d'un développeur injoignable.

Page d'un plugin sur WordPress.org affichant la date de dernière mise à jour et la mention Testé jusqu'à, avec les deux indicateurs d'abandon annotés
Sur WordPress.org, la date de dernière mise à jour et la mention « Testé jusqu'à » sont les deux indicateurs à vérifier en premier. Un écart de 2 versions majeures ou plus est un signal sérieux.

Niveau 3 : rechercher des vulnérabilités connues

Si les deux premiers niveaux confirment un abandon, vérifiez si des failles ont été répertoriées sur le plugin. Deux bases de données font référence :

  • WPScan - base de données spécialisée WordPress, recherche par nom de plugin
  • Patchstack Database - couvre les CVE WordPress avec statut de correction

Une faille listée avec la mention "No patch available" ou "Unpatched" sur un plugin que vous utilisez : c'est une urgence. Le plugin doit être désactivé et supprimé immédiatement.

Page WordPress.org d'un plugin fermé affichant le bandeau d'avertissement indiquant que le plugin a été retiré du répertoire officiel
Quand WordPress.org retire un plugin, sa page affiche un bandeau d'avertissement. Les sites qui l'utilisent ne reçoivent aucune notification - le plugin continue de fonctionner, invisible et potentiellement compromis.

Ce que vous risquez concrètement

Les failles de sécurité qui ne seront jamais corrigées

C'est le risque principal. En 2024, 33 % des vulnérabilités WordPress ont été divulguées publiquement sans qu'un correctif soit disponible - souvent parce que le développeur était injoignable ou avait abandonné le projet. Une fois qu'une faille est connue et documentée, les bots d'attaque l'intègrent rapidement à leurs routines de scan. Votre site n'est pas ciblé personnellement : il est simplement scanné automatiquement comme 43 % des autres, sans discrimination.

L'exemple le plus parlant que nous avons documenté récemment : le plugin Quick Page/Post Redirect, dont le développeur avait caché un backdoor dans son propre code pendant 5 ans. Le plugin avait l'air fonctionnel, recevait même des mises à jour - mais ces mises à jour servaient à renforcer la porte dérobée plutôt qu'à protéger les utilisateurs. 70 000 sites en ont été victimes.

Plus récemment, une attaque supply chain sur plus de 20 plugins a montré que même des extensions activement maintenues peuvent être compromises. Quand c'est un plugin abandonné qui est en cause, il n'y a personne pour détecter et corriger l'intrusion.

Comment un plugin abandonné dégrade progressivement votre site

WordPress évolue. PHP évolue. Un plugin qui n'a pas été revu depuis 3 ans a été écrit pour une version antérieure de l'un ou de l'autre. Au début, rien de visible. Puis progressivement : des fonctionnalités qui se comportent bizarrement, des erreurs PHP non fatales qui s'accumulent dans les logs, des incompatibilités avec d'autres plugins mis à jour eux. Jusqu'au jour où une mise à jour de WordPress ou de PHP provoque une erreur critique. C'est souvent à ce moment-là que le propriétaire du site découvre que son plugin est abandonné - après la panne.

Pourquoi un plugin abandonné échappe à toute surveillance

Un plugin abandonné ne fait l'objet d'aucune surveillance active de la part de son créateur. Si du code malveillant est injecté dans une version distribuée via une mise à jour compromise - exactement ce qui s'est passé dans l'attaque supply chain de 2026 - personne ne le détectera côté développeur. Vous êtes seul.

Comment évaluer le niveau de danger

Tous les plugins abandonnés ne présentent pas le même risque. Quatre critères permettent de calibrer l'urgence de la réaction.

Ancienneté sans mise à jour Niveau de risque Action recommandée
Moins de 6 mois Faible Surveillance simple, revérifier dans 3 mois
6 à 12 mois Modéré Vérifier les tickets de support et les failles connues
12 à 24 mois Élevé Planifier le remplacement dans les 30 jours
Plus de 24 mois Critique Remplacer ou désactiver immédiatement

L'ancienneté seule ne suffit pas. Deux autres critères amplifient ou réduisent le risque :

  • La criticité de la fonctionnalité couverte : un plugin de galerie photo présente moins de surface d'attaque qu'un plugin de formulaire de contact ou d'authentification. Plus un plugin interagit avec des données utilisateur ou effectue des requêtes serveur, plus une faille le concernant est exploitable.
  • L'existence de failles répertoriées : vérifiez sur WPScan ou Patchstack. Une vulnérabilité active sans correctif disponible transforme n'importe quel niveau de risque en urgence absolue.
Ce que nous observons en pratique : dans les audits que nous menons sur des sites que nous prenons en charge, nous trouvons en moyenne 2 à 3 plugins abandonnés par installation. La configuration typique : l'extension a été installée 3 ou 4 ans plus tôt pour un besoin ponctuel - un widget, une fonctionnalité spécifique, un outil de migration. Elle a été oubliée. Elle tourne encore. Elle n'affiche aucune erreur visible. C'est silence en fait un angle mort difficile à repérer.

Que faire quand vous trouvez un plugin WordPress abandonné

Étape 1 - Dresser l'inventaire complet

1 - Lister tous vos plugins, actifs et inactifs

Les plugins désactivés présentent le même risque que les plugins actifs du point de vue des fichiers présents sur votre serveur. Un attaquant peut exploiter une faille dans un plugin désactivé si les fichiers sont toujours là. Allez dans Extensions > Extensions installées, affichez tous les plugins, et notez-les tous - y compris les inactifs.

2 - Vérifier chaque plugin selon les critères du niveau 2 et 3

Date de dernière mise à jour sur WordPress.org, tickets de support, failles répertoriées sur WPScan ou Patchstack. Consacrez 5 à 10 minutes par plugin. Pour un site moyen avec 15 à 20 plugins, l'audit complet prend environ 2 heures.

Étape 2 - Traiter par ordre de priorité

3 - Plugins avec faille active non corrigée : action immédiate

Désactivez d'abord, supprimez ensuite. La désactivation seule ne suffit pas - les fichiers restent sur le serveur. Si ce plugin couvre une fonctionnalité critique pour votre site, identifiez une alternative en urgence et installez-la avant de supprimer l'ancien plugin.

4 - Plugins abandonnés sans faille connue : planifier le remplacement

Définissez une date limite (30 jours maximum). Cherchez une alternative sur WordPress.org en filtrant par date de mise à jour récente et nombre d'installations actives. Testez sur un environnement de staging si possible. Une fois l'alternative validée, supprimez complètement l'ancien plugin - y compris les tables en base de données qu'il a pu créer.

Comment choisir une alternative à un plugin abandonné

Quatre critères non sûrs pour juger qu'un plugin de remplacement est fiable :

  • Mise à jour dans les 3 derniers mois : sur WordPress.org, la date est affichée dans le bloc latéral droit
  • Compatible avec la version actuelle de WordPress : la mention "Testé jusqu'à" doit correspondre à votre version ou être supérieure
  • Taux de résolution des tickets de support : visible sur WordPress.org, onglet Support. En dessous de 80 %, interrogez-vous
  • Au moins 1 000 installations actives : un plugin peu utilisé est moins surveillé par la communauté de sécurité
La règle des licences premium. Les plugins distribués hors de WordPress.org (ThemeForest, site de l'éditeur) offrent moins de transparence sur leur maintenance. L'absence de changelog public ou de page de support accessible est un signe d'alerte. Si vous ne pouvez pas vérifier facilement quand le plugin a été mis à jour pour la dernière fois, c'est déjà un problème.

Et si vous n'avez vraiment pas d'alternative ?

Ça arrive. Certaines fonctionnalités très spécifiques sont couvertes par un seul plugin, et les alternatives disponibles ne correspondent pas. Dans ce cas, trois options :

  • Vérifier si WordPress Core a intégré la fonctionnalité nativement depuis la création du plugin. WordPress enrichit régulièrement ses fonctionnalités natives, et certains plugins installés il y a 5 ans couvrent des besoins maintenant intégrés dans le core.
  • Faire développer un micro-plugin sur mesure qui reproduit uniquement la fonctionnalité dont vous avez besoin. Moins de code = moins de surface d'attaque.
  • Accepter temporairement le risque - à condition de surveiller activement les bases de données de vulnérabilités et de vous fixer une date limite pour la sortie.

Checklist rapide : audit plugins abandonnés

Tous les plugins listés, actifs ET inactifs
Plugins avec mention "Non testé" dans l'admin : identifiés
Date de dernière mise à jour vérifiée sur WordPress.org pour chaque plugin
Tickets de support consultés pour les plugins à risque
Recherche WPScan / Patchstack effectuée sur les plugins abandonnés
Plugins avec faille active : désactivés et supprimés
Plugins abandonnés sans faille : date de remplacement fixée
Tables base de données orphelines supprimées après désinstallation

Cette vérification fait partie d’une maintenance WordPress régulière. Une fois par trimestre au minimum, une fois par mois si votre site est critique pour votre activité. Si vous n'avez pas le temps de faire cet audit vous-même, c'est exactement ce que couvre un forfait de maintenance WordPress : surveillance des plugins, détection d'anomalies et réaction rapide quand un plugin est retiré ou compromis.

Sources de référence pour vos vérifications. Deux bases de données font autorité sur les vulnérabilités WordPress : WPScan (maintenu par Automattic) et la base Patchstack. Pour un suivi des retraits du répertoire officiel, WordPress.org publie un fil d'actualités et les fermetures sont documentées sur les pages des plugins concernés.

Questions fréquentes sur les plugins WordPress abandonnés

Combien de temps sans mise à jour avant qu'un plugin soit considéré abandonné ?

Il n'existe pas de seuil officiel. WordPress.org affiche un avertissement dès qu'un plugin n'a pas été testé avec les 3 dernières versions majeures de WordPress. En pratique, 12 mois sans mise à jour mérite une investigation, et 24 mois sans activité constitue un abandon de fait pour la quasi-totalité des cas. La fréquence normale de maintenance d'un plugin actif tourne autour de 2 à 6 mises à jour par an pour les extensions courantes.

Un plugin retiré de WordPress.org est-il forcément dangereux ?

Pas systématiquement, mais le retrait est toujours un signal sérieux. WordPress.org retire les plugins pour plusieurs raisons : failles de sécurité non corrigées, code malveillant détecté, violation des règles de la plateforme ou simple inactivité du développeur. Quelle que soit la raison, un plugin retiré ne recevra plus de mises à jour via votre tableau de bord. Vous ne serez pas averti s'il est compromis, et vous ne pouvez pas non plus télécharger une version corrigée.

WordPress me prévient-il automatiquement si un plugin est abandonné ?

Partiellement. WordPress affiche un message dans l'administration si un plugin n'a pas été testé avec votre version actuelle. En revanche, il ne vous notifie pas si un plugin est retiré du répertoire officiel, s'il n'y a plus d'activité du développeur sur les tickets de support, ou si une vulnérabilité a été découverte sans correctif. Ces informations doivent être vérifiées manuellement ou via un service de surveillance dédié comme Wordfence, Patchstack ou dans le cadre d'une maintenance WordPress professionnelle.

Peut-on garder un plugin abandonné si on n'a pas d'alternative ?

Temporairement, oui - à condition de comprendre le risque et d'agir en conséquence. Si le plugin n'a pas de faille connue, vous avez une fenêtre pour chercher une alternative. En attendant : surveillez activement les bases de données WPScan et Patchstack pour ce plugin spécifique, restreignez les accès à la fonctionnalité concernée si possible, et fixez-vous une date limite réelle pour le remplacement. Garder un plugin abandonné sans plan de sortie, c'est accepter un risque dont vous perdez progressivement le contrôle.

Comment trouver une alternative à un plugin abandonné ?

Commencez par rechercher la fonctionnalité sur WordPress.org en filtrant par "Compatible avec votre version de WordPress" et en triant par popularité. Vérifiez la date de dernière mise à jour, la fréquence des mises à jour passées, le nombre d'installations actives (minimum 1 000 pour les fonctionnalités critiques) et le taux de résolution des tickets de support. Un plugin mis à jour moins d'une fois par an pour une fonctionnalité critique n'est pas une alternative viable. Testez systématiquement sur un environnement de staging avant de déployer en production - une migration de plugin, même "simple", peut casser des configurations existantes.

À propos de l'auteur

Yohann LE DU

Expert WordPress & Sécurité web

Développeur senior depuis plus de 20 ans, spécialiste WordPress et sécurité web. Yohann accompagne les TPE, PME et associations dans la maintenance préventive et la sécurisation de leurs sites WordPress.

Voir le profil complet →
Pour aller plus loin
Sécurité

Quick Redirect : son développeur piratait ses utilisateurs depuis 2020

Un backdoor caché 5 ans dans un plugin de redirection. 70 000 sites WordPress victimes de spam SEO à leur insu - sans jamais le savoir.

Vulnérabilités

20+ plugins WordPress piratés à la source via une attaque supply chain

Des hackers ont racheté un éditeur de plugins pour glisser des backdoors dans leurs mises à jour légitimes. La menace peut venir d'extensions réputées.

Maintenance

7 risques concrets d'un site WordPress sans maintenance

Ce qui se passe réellement quand personne n'entretient un site WordPress : piratage, lenteur, déréférencement et perte de données.

Vous n'avez pas le temps de faire cet audit vous-même ?

Nous vérifions l'état de tous vos plugins, détectons les extensions abandonnées ou vulnérables et vous proposons un plan d'action concret - sous 24h, sans engagement.

Demander un audit gratuit → Guide sécurité des plugins