Il y a quelques années, j’ai découvert un matin que wpformation.com affichait un message qui n’avait rien à voir avec WordPress. Mon site avait été compromis. Le coupable : Slider Revolution, un plugin de slider fourni avec un thème premium acheté sur ThemeForest. Le problème : ce plugin était "bundlé", c’est-à-dire intégré au thème sans licence directe. Résultat : aucune mise à jour possible. Pendant des mois, Rev Slider avait fonctionné sans broncher sur mon site… mais il accumulait des failles que personne ne corrigeait.

Double peine : après avoir viré le plugin, j’ai dû vérifier l’intégralité du site pour m’assurer qu’aucun autre malware ne traînait dans un coin. Autant dire que la journée a été longue…

C’était autant la faute de Rev Slider que de ThemeForest, que la mienne. Mais cette expérience m’a appris une chose : un plugin qui fonctionne n’est pas forcément un plugin sûr. Et des milliers de sites WordPress embarquent aujourd’hui des extensions abandonnées sans que personne ne s’en rende compte…

En 2025, Patchstack a recensé 11 334 vulnérabilités dans l’écosystème WordPress. Parmi elles, 46 % n’avaient aucun correctif disponible au moment de leur divulgation publique. Les plugins abandonnés sont l’un des principaux responsables de ce chiffre.

Qu’est-ce qu’un plugin WordPress abandonné ?

Un plugin WordPress abandonné est une extension dont le développeur n’a publié aucune mise à jour depuis plus de deux ans. Le répertoire WordPress.org ne le signale pas toujours clairement, mais l’absence de maintenance signifie qu’aucun correctif de sécurité ne sera appliqué en cas de découverte de faille. C’est une bombe à retardement silencieuse. Contrairement à un plugin fermé (retiré du répertoire officiel), un plugin abandonné reste installé, actif et fonctionnel sur votre site. Personne ne vous prévient.

Cycle de vie d'un plugin WordPress : actif, maintenance, abandonné, fermé — Les quatre stades de vie d’un plugin WordPress : du développement actif à la fermeture définitive

Il faut distinguer plusieurs stades dans la vie d’un plugin. Un plugin actif reçoit des mises à jour régulières, son développeur répond au support et le code évolue avec les nouvelles versions de WordPress et de PHP. Un plugin en maintenance reçoit encore des correctifs de sécurité, mais plus de nouvelles fonctionnalités. Et puis il y a le stade suivant : l’abandon pur et simple. Pas de notification, pas d’alerte. Le plugin reste là, il tourne… mais qui veille encore sur son code ?

Un exemple concret ? Easy Google Fonts. Ce plugin cumule plus de 100 000 installations actives… et n’a pas reçu de mise à jour depuis 5 ans. Sa dernière version (2.0.4) date de juillet 2021, et il n’est testé que jusqu’à WordPress 5.8. WordPress.org affiche d’ailleurs le bandeau d’alerte : "This plugin hasn’t been tested with the latest 3 major releases of WordPress". Malgré cela, 100 000 sites l’utilisent encore.

Easy Google Fonts - plugin WordPress abandonné depuis 5 ans avec 100 000 installations actives

Easy Google Fonts – v2.0.4 – ⭐ 4.6/5 (218 avis) – 100 000+ installations – par Sunny Johal

WordPress.org distingue aussi la fermeture officielle : quand un plugin est retiré du répertoire pour raison de sécurité, de violation des guidelines ou à la demande du développeur. En 2024, 1 614 plugins ont été fermés pour des raisons de sécurité (source : Patchstack). Mais la fermeture ne désinstalle pas le plugin de votre site. Il reste actif, vulnérable, invisible.

Pourquoi un plugin est-il abandonné ?

On l’oublie trop souvent, mais derrière chaque plugin WordPress, il y a un être humain. Parfois un seul. Et les raisons de l’abandon sont rarement techniques.

La première, c’est l’épuisement. Un développeur solo qui maintient un plugin gratuit utilisé par 50 000 sites ne gagne souvent rien. Zéro. Les tickets de support s’accumulent, les demandes de compatibilité avec la dernière version de WordPress aussi… et un jour, il décroche. Pas de message, pas d’annonce : le plugin s’arrête, tout simplement. C’est à la fois compréhensible et dramatique pour les utilisateurs qui en dépendent.

Deuxième raison : le modèle économique. Un plugin freemium dont la version premium ne se vend pas finit par être abandonné. Pourquoi maintenir un produit qui ne rapporte rien ? L’open source, c’est formidable, mais ça ne paie pas les factures.

Troisième cas : le rachat ou le pivot. Une entreprise rachète un plugin populaire pour son portefeuille, puis change de stratégie. Le plugin devient un "actif dormant" que personne ne maintient. On a vu ça avec des dizaines d’extensions populaires ces dernières années.

Et puis il y a l’incompatibilité structurelle. WordPress évolue, PHP aussi. Un plugin conçu pour PHP 5.6 et WordPress 4.x peut devenir si coûteux à mettre à jour que le développeur préfère jeter l’éponge. Le code est trop vieux, la réécriture trop lourde.

Le résultat est toujours le même : un plugin qui tourne, des utilisateurs qui ne savent pas, et des failles qui s’ouvrent en silence.

Les chiffres qui font froid dans le dos

Le rapport "State of WordPress Security 2026" de Patchstack, qui couvre l’année 2025, dresse un constat sans appel. L’écosystème WordPress a enregistré 11 334 nouvelles vulnérabilités en 2025, soit une augmentation de 42 % par rapport à 2024. Parmi elles, 91 % se trouvaient dans les plugins, pas dans le core WordPress ni dans les thèmes. Plus alarmant encore : 1 966 vulnérabilités avaient un score de sévérité élevé, susceptibles d’être exploitées dans des attaques automatisées à grande échelle. C’est plus que les deux années précédentes réunies.

Le chiffre le plus inquiétant : 46 % de ces vulnérabilités n’avaient aucun correctif disponible au moment de leur divulgation publique. Autrement dit, près d’une faille sur deux est rendue publique alors que le plugin concerné reste vulnérable. Et la médiane d’exploitation ? Cinq heures. La moitié des failles critiques sont attaquées dans les 5 heures suivant leur publication.

Combien de ces 60 000 plugins du répertoire WordPress.org sont réellement maintenus ? Personne ne le sait avec certitude. Mais quand on sait que Patchstack a fait fermer 1 614 plugins pour des raisons de sécurité en une seule année (2024), on mesure l’ampleur du problème. Et ces chiffres ne concernent que les vulnérabilités découvertes et signalées. Les failles dans les plugins abandonnés que personne n’audite… elles, restent dans l’ombre.

Comment détecter un plugin abandonné ?

Info : le Vérificateur de Plugins WPFormation analyse automatiquement le statut de maintenance de chaque extension WordPress. Il est gratuit et accessible à tous.

Les signaux d’alerte sur WordPress.org

Date de dernière mise à jour : si elle dépasse 2 ans, c'est un signal fort.

Avant d’utiliser un outil, vous pouvez déjà repérer les signes vous-même sur la page WordPress.org du plugin :

Date de dernière mise à jour : si elle dépasse 2 ans, c’est un signal fort. Au-delà d’un an sans mise à jour, soyez déjà vigilant
"Tested up to" : si le plugin indique une compatibilité avec WordPress 5.x alors que vous êtes en 6.9, il y a un problème
Forum de support : des tickets ouverts depuis des mois sans réponse du développeur ? Mauvais signe
Nombre de résolutions : WordPress.org affiche le taux de résolution des problèmes de support. Un 0 sur 6 parle de lui-même

Mais tous les plugins abandonnés ne sont pas sur WordPress.org. Mon expérience avec Rev Slider l’illustre bien : c’était un plugin premium, distribué via ThemeForest, sans aucune présence sur le répertoire officiel. Aucun des signaux ci-dessus n’était visible. Si tu utilises des plugins premium achetés sur des marketplaces tierces, la vigilance doit être encore plus grande.

Le Vérificateur de Plugins WPFormation

J’ai développé le Vérificateur de Plugins justement pour automatiser cette détection. L’outil analyse 13 critères répartis en 4 catégories (Sécurité, Maintenance, Communauté, Support) et attribue un score de confiance sur 100. Pour la détection des plugins abandonnés, le Vérificateur applique une règle stricte : tout plugin dont la dernière mise à jour remonte à plus de 2 ans est automatiquement marqué "abandonné" avec un red flag, et son score est plafonné à 35/100, quels que soient ses autres résultats. C’est un couperet, et c’est volontaire.

Vérificateur de Plugins WPFormation affichant Easy Google Fonts avec un score de 35/100 (plugin abandonné depuis 5 ans) — Easy Google Fonts analysé par le Vérificateur de Plugins: score plafonné à 35/100, dernière mise à jour il y a 5 ans

Pour approfondir le sujet des failles de plugins, consultez notre guide sur les failles de sécurité des plugins WordPress.

Quels sont les risques concrets ?

Un plugin WordPress abandonné présente trois risques principaux. Premier risque : des failles de sécurité jamais corrigées que les attaquants exploitent activement, parfois en quelques heures. Deuxième risque : une incompatibilité progressive avec les nouvelles versions de WordPress et de PHP, qui peut provoquer des erreurs fatales du jour au lendemain. Troisième risque : des conflits avec d’autres extensions mises à jour régulièrement. Le danger est invisible parce que le plugin continue de fonctionner normalement en apparence.

Attention : un plugin abandonné avec une faille connue est une porte ouverte permanente. Pas de correctif signifie pas de protection possible, même avec un pare-feu applicatif comme Wordfence.

Le cas Rev Slider est un cas d’école. En 2014, la vulnérabilité CVE-2014-9734 permettait de télécharger n’importe quel fichier du serveur, y compris le wp-config.php qui contient vos identifiants de base de données (source : Sucuri). L’exploit était trivial : une seule requête HTTP non authentifiée suffisait. Des centaines de milliers de sites WordPress ont été compromis en quelques jours. Et pour tous ceux qui utilisaient Rev Slider en version bundlée comme moi : impossible de mettre à jour. On était piégés.

Au-delà des failles, l’incompatibilité technique est un risque bien réel. PHP évolue, WordPress évolue. Un plugin écrit pour PHP 7.2 peut provoquer des erreurs fatales sur PHP 8.1 ou 8.2. Et quand WordPress passe de la version 6.x à la 7.0, les plugins non maintenus sont les premiers à casser.

Et après ? Les conflits entre plugins. Un plugin abandonné qui modifie le même hook qu’un plugin récemment mis à jour, ça peut donner un écran blanc sans explication. Bon courage pour le diagnostic…

Que faire quand on découvre un plugin abandonné ?

Conseil : avant toute opération de migration, sauvegardez votre site. Pas de backup, pas de filet. C’est non négociable.

Pas de panique. Découvrir un plugin abandonné ne signifie pas que ton site est compromis. Mais il faut agir, et dans le bon ordre.

Le plugin gère-t-il une fonction sensible ou une fonction cosmétique ? C’est la première question à te poser. Un slider abandonné, c’est ennuyeux. Un plugin de sécurité ou de paiement abandonné, c’est critique. Adapte la priorité en conséquence.

Étape 1 : Évaluer la criticité. Liste les fonctionnalités que le plugin fournit. Sont-elles vitales pour ton site ? Existe-t-il un contournement natif dans WordPress ?

Étape 2 : Chercher une alternative. Passe le plugin alternatif au Vérificateur de Plugins avant de l’installer. Un score au-dessus de 70/100, c’est un bon indicateur. En dessous de 50, cherche ailleurs.

Étape 3 : Préparer la migration. Installe l’alternative sur un environnement de staging, jamais en production directe. Teste les fonctionnalités critiques. Vérifie qu’il n’y a pas de conflit avec tes autres plugins.

Étape 4 : Nettoyer. Quand tu désactives et supprimes un plugin, il laisse souvent des tables, des options et des fichiers orphelins dans ta base de données. C’est là qu’intervient le nettoyage.

WPS Cleaner - extension de nettoyage et optimisation de base de données WordPress

WPS Cleaner – v1.6.10.2 – ⭐ 4.3/5 (99 avis) – 20 000+ installations – par NicolasKulka

WPS Cleaner nettoie les tables orphelines, les options obsolètes, les transients et les fichiers non natifs de WordPress. C’est le genre d’outil que j’utilise systématiquement après avoir viré un plugin, pour ne rien laisser derrière.

Le cas des plugins à usage unique

Au-delà des plugins abandonnés, il y a un autre piège que je vois en permanence chez mes stagiaires : les plugins à usage unique qu’on oublie de supprimer. L’exemple typique, c’est Duplicator. C’est un excellent plugin de migration, très bien maintenu. Mais sa vocation est précise : déplacer ou déménager un site WordPress. Une fois la migration terminée, Duplicator n’a plus aucune raison de rester installé sur votre site.

Et pourtant, on le retrouve actif sur des dizaines de sites en production, des mois après la migration. Un plugin de migration laissé en place, c’est une surface d’attaque supplémentaire inutile. Même si Duplicator est sûr et régulièrement mis à jour, le principe reste le même : si tu n’en as plus besoin, vire-le. Moins de plugins actifs, moins de risques. Point.

Et si aucune alternative n’existe ?

Trois options s’offrent à vous :

Développer un mu-plugin maison qui reproduit la fonctionnalité minimale dont vous avez besoin
Faire appel à un développeur pour forker et maintenir le code existant
Vérifier si WordPress n’a pas intégré cette fonctionnalité nativement dans ses dernières versions : blocs Gutenberg, hooks natifs, API REST. C’est plus fréquent qu’on le croit

Comment éviter le piège à l’avenir ?

Pour éviter d’installer un plugin WordPress abandonné, vérifiez trois critères avant toute installation : la date de dernière mise à jour (moins de 12 mois idéalement), la compatibilité avec la version actuelle de WordPress, et le taux de résolution des tickets de support. Le Vérificateur de Plugins WPFormation analyse automatiquement ces critères et attribue un score de confiance sur 100.

Avez-vous vérifié la date de dernière mise à jour de vos plugins récemment ? Voici ma routine, forgée en plus de 14 ans de WordPress :

Avant d’installer : je passe le plugin au Vérificateur. Si le score est inférieur à 50/100, je ne l’installe pas. Point.
Après l’installation : je note la date. Au bout de 12 mois sans mise à jour, j’investigue.
À chaque mise à jour WordPress : je vérifie que tous mes plugins sont compatibles avec la nouvelle version. Si l’un d’eux n’a pas bougé depuis plus d’un an, je cherche une alternative.

Et surtout : limitez le nombre de plugins installés. Sur wpformation.com, je n’utilise que 3 plugins actifs. Moins de plugins, moins de surface d’attaque, moins de risques d’abandon silencieux. À minima, faites un audit trimestriel de vos extensions.

Pour aller plus loin, consultez le guide complet pour sécuriser votre site WordPress et pensez à activer la double authentification sur votre administration.

Un plugin abandonné, ce n’est pas spectaculaire. Ça ne fait pas la une des blogs tech. Ça ne provoque pas de panique immédiate. C’est justement ce qui le rend dangereux : il est invisible, silencieux, et il attend.

J’ai appris cette leçon à mes dépens avec Rev Slider. Depuis, j’applique une règle simple : si un plugin n’est plus maintenu, il n’a plus sa place sur mon site. C’est radical, mais en matière de sécurité WordPress, la demi-mesure n’existe pas.

Le prochain article de cette série abordera un sujet encore plus préoccupant : quand un plugin parfaitement maintenu est lui-même compromis dans sa chaîne de distribution. Bref, ce n’est que le début…

Questions fréquentes

Comment savoir si un plugin WordPress est abandonné ?

Vérifiez la date de dernière mise à jour sur sa page WordPress.org : au-delà de deux ans, le plugin est considéré comme abandonné. Regardez aussi la version "tested up to", le forum de support et le taux de résolution des tickets. Le Vérificateur de Plugins WPFormation automatise cette vérification et signale tout plugin non mis à jour depuis plus de deux ans avec un red flag.

Un plugin WordPress abandonné est-il forcément dangereux ?

Pas immédiatement, mais le risque augmente avec le temps. Chaque nouvelle vulnérabilité découverte dans un plugin abandonné ne sera jamais corrigée. Plus le temps passe, plus la probabilité qu’une faille soit exploitée augmente. La question n’est pas "si", mais "quand".

WordPress.org supprime-t-il les plugins abandonnés automatiquement ?

Non. WordPress.org ne ferme un plugin que lorsqu’une faille de sécurité est signalée, que le développeur le demande, ou qu’une violation des guidelines est constatée. Des milliers de plugins restent référencés malgré des années sans mise à jour. En 2024, Patchstack a fait fermer 1 614 plugins pour des raisons de sécurité (source : rapport Patchstack 2025).

Que faire si un plugin abandonné n’a aucune alternative ?

Trois options : développer un mu-plugin maison qui reproduit la fonctionnalité minimale, engager un développeur pour forker et maintenir le code existant, ou vérifier si WordPress n’a pas intégré cette fonctionnalité nativement via les blocs Gutenberg, les hooks natifs ou l’API REST. C’est plus fréquent qu’on le croit, surtout depuis WordPress 6.x.

Le Vérificateur de Plugins WPFormation détecte-t-il les plugins abandonnés ?

Oui. Le Vérificateur analyse 13 critères en 4 catégories et détecte automatiquement tout plugin non mis à jour depuis plus de deux ans. Il le marque comme "abandonné" avec un red flag et plafonne son score à 35/100, quel que soit le résultat des autres critères. Le diagnostic est gratuit et immédiat.

Combien de plugins WordPress sont abandonnés sur le répertoire officiel ?

Il n’existe pas de comptage officiel, mais le répertoire WordPress.org héberge plus de 60 000 plugins gratuits, et une part significative n’a pas reçu de mise à jour depuis des années. Patchstack a rapporté que 46 % des vulnérabilités divulguées en 2025 n’avaient aucun correctif disponible, ce qui inclut largement les plugins abandonnés dont plus personne ne s’occupe.