Qu’est-ce que la maintenance ? Que faut-il mettre à jour sur WordPress ? Pourquoi ? Mieux vaut prévenir que guérir. Ne restez pas sans protection !
Les avantages de travailler en ligne
Jusqu’en 2015, Internet était essentiellement présent sur nos ordinateurs. Prendre des notes, traiter des photos ou réaliser un montage vidéo, vous le faisiez avec un logiciel. Il existait évidemment des outils en ligne (WordPress existe depuis 2003 !) mais les usages étaient encore très partagés.
De nos jours, Internet est majoritairement utilisé sur smartphones. Les modes de consommation ont considérablement changé, portés par le succès d’outils comme Canva, Notion ou ChatGPT. Et par les réseaux sociaux bien sûr.
L’intérêt des outils en ligne ?
- Pas de licence coûteuse à payer (il faut parfois souscrire des abonnements à la place)
- L’accès à nos outils en cas de panne de matériel, sans aucune complication
- L’accès à nos outils où que nous soyons (en famille, dans le Poitou, dans les Contrées du Milieu …)
Seul impératif, le besoin d’un accès Internet ! La démocratisation de la 4G (et parfois de la 5G) ont joué un grand rôle dans ces évolutions.
Les avantages de travailler avec WordPress
Un outil de gestion du contenu comme WordPress fait partie de ces outils qui fonctionnent en ligne. WordPress est un outil :
- open-source, gratuit pour l’installation de base
- accessible en ligne à partir d’un navigateur internet
- qui possède une interface d’administration simple à utiliser
- qui permet d’écrire et publier son contenu via un éditeur de texte
- qui permet de gérer un site internet à plusieurs
- …
Mais chaque solution possède ses inconvénients. Même une solution comme WordPress, qui fait tourner presque un site sur deux sur la planète (source W3Techs). Dans notre cas, il faudra faire attention à la sécurité.
La maintenance de site internet
Plus un outil est populaire, plus il est attaqué. On constate davantage de failles de sécurité découvertes et corrigées sous Windows que sous iOS, pour citer un exemple.
Un site internet WordPress court plusieurs types de risques.
- l’hébergement du site internet peut être piraté (ce qui peut entraîner l’effacement de votre site, l’envoi massif de spams …)
- votre installation WordPress peut être infectée (ce qui peut entraîner la distribution de programmes malicieux à vos internautes, le bannissement de votre site par Google …)
- votre interface d’administration peut être piratée (ce qui peut entraîner la suppression de votre compte utilisateur, l’ajout ou la suppression de contenus …)
Vous l’aurez deviné, WordPress a besoin de mises à jour régulières !
Que faut-il mettre à jour ?
On distingue plusieurs composants sur un site internet WordPress :
- Les fichiers de base, permettant l’installation de WordPress
Ces fichiers sont comparables à votre système d’exploitation. Ils sont mis à jour toutes les quatre à six semaines environ. A peu près deux fois sur trois, la mise à jour concerne des failles de sécurité.
Les mises à jour mineures de WordPress (souvent liées à la sécurité) sont généralement déployées automatiquement.
Sinon, il existe un bouton dans l’interface d’administration, permettant de mettre à jour WordPress en un clic. Mais cliquer sur ce bouton peut parfois faire planter votre site, en raison notamment de vos extensions. Je l’ai constaté à plusieurs reprises ! Il est recommandé d’effectuer une sauvegarde complète de votre site avant d’appuyer.
- Les thèmes
Le thème constitue l’habillage graphique de votre site internet. Bien que l’on parle de graphisme, un thème est composé de fichiers de programmation (PHP, Javascript, jQuery …) et de mises en forme (HTML / CSS). Parfois, une faille de sécurité ne peut pas être corrigée directement dans WordPress car elle utilise une fonction utilisée par votre thème, ou un script extérieur à votre site.
Par exemple, TimThumb est un script permettant d’agrandir des photos au milieu de la page, en cliquant dessus. Couramment utilisé durant les années 2010, une faille impliquant TimThumb a infecté des millions de sites internet. De nombreux sites de sécurité ont signalé la faille, et publié par la suite un correctif permettant de patcher manuellement les thèmes concernés.
Il est rare de devoir mettre un thème à jour, mais parfois le danger est critique et il faut soit modifier soi-même celui-ci, soit appliquer la mise à jour mise en place par le développeur du thème.
Il faudra alors prendre garde à mettre à jour le thème sans perdre les personnalisations apportées au graphisme du site. Dans le doute, pensez à bien sauvegarder votre site avant de mettre à jour votre thème.
- Les extensions
De nombreuses fonctionnalités de votre site sont comprises dans ce que l’on appelle les extensions : générer des formulaires de contact, proposer une boutique en ligne, ajouter des boutons de partage … Certaines de ses extensions sont même dédiées à la sécurité (antivirus, parefeu, outil masquant certaines informations de WordPress …) et ne sont pas visibles sur le site internet.
Les extensions sont conçues et entretenues par des développeurs indépendants, amateurs ou professionnels (des entreprises proposent des extensions gratuites et payantes). Celles-ci peuvent être mises à jour n’importe quand, et peuvent concerner autant des problèmes de sécurité que des améliorations de l’extension.
Partie probablement la plus sensible, vos extensions se doivent d’être compatibles avec votre version de WordPress. Parfois certaines extensions sont laissées à l’abandon ou ne sont pas mises à jour rapidement, et perdent leur compatibilité avec votre installation WordPress. L’extension entraîne alors des dysfonctionnements sur votre site, pouvant même ne plus l’afficher du tout !
De manière générale, il ne se passe pas une semaine sur un site WordPress sans qu’il y ait une ou plusieurs extensions à mettre à jour. Parfois mineures et parfois critiques, elles nécessitent l’intervention d’une personne qualifiée pour :
- installer la nouvelle version d’une extension, en prenant garde à ne pas retirer les personnalisations apportées sur le site
- tester votre site, vérifier la compatibilité avec le site internet, avec les autres composants
- rétrograder la version de l’extension en cas de problème
- reparamétrer l’extension, en cas de mise à jour majeure (pour un module e-commerce par exemple)
Beaucoup d’extensions peuvent être mises à jour rapidement et sans réel danger. Mais d’autres sont plus sensibles et peuvent être délicates à maintenir.
Entretenir l’hébergement
Votre hébergement comporte un certain nombre de caractéristiques et de réglages qui doivent être vérifiés régulièrement.
Par exemple, PHP est un langage de programmation pour lequel une version périme tous les ans et une nouvelle version sort tous les ans. Afin de protéger votre site, il est recommandé de mettre à jour sa version de PHP, de manière régulière. Mais c’est une intervention sensible, dès lors qu’elle fait parfois casser votre site.
Pour le reste, votre hébergeur vous fournit un espace de disque dur, sans aucune sécurisation. Si vous ne sécurisez pas correctement votre espace d’hébergement, au moyen d’un fichier .htaccess notamment, vous faîtes courir de gros risque à votre site web.
Chaque hébergeur proposant des services qui lui sont spécifiques, il est recommandé de passer par un professionnel pour surveiller votre hébergement.
Tenir une veille technologique
La plupart des mises à jour de WordPress vous sont notifiées directement au sein de votre interface d’administration. C’est le cas des mises à jour de WordPress et de celles des extensions. Concernant votre thème, il est possible que le développeur du thème vous envoie une notification ou un e-mail pour vous prévenir. Mais ce ne sera le cas que si lui a détecté un problème…
La meilleure façon de garder un site internet en sécurité est de tenir une veille technologique à ce sujet, c’est à dire de s’informer régulièrement de ce qui se dit autour de la sphère de WordPress. Il existe de nombreux acteurs autour de la sphère WordPress qui sont entièrement dédiés à la sécurité (en français, Secupress par exemple). La plupart publient en langue anglaise uniquement.
Cette veille technologique est indispensable pour être averti des failles importantes, des infections massives et autres dangers, que WordPress ne résoudra pas pour vous par magie ! L’utilisation de modules de sécurité vous permettra une relative sécurité. Mais la sécurité parfaite n’existe pas. Votre site internet est stocké sur un ordinateur (un hébergement), fonctionne à l’aide de programmes (des extensions), et les ordinateurs comme les programmes sont vulnérables. C’est pourquoi la maintenance de sites internet est très importante.
Mieux vaut prévenir que guérir. Il sera beaucoup plus simple de sécuriser votre site que de retirer une infection. En cas de problème, le rétablissement de votre site prendra plusieurs jours et si vous le sous-traitez, il vous sera facturé comme tel.
Si vous manquez de compétences ou de temps pour mettre à jour vous-même votre site internet WordPress, je vous recommande donc de passer par un professionnel. Ne négligez pas la sécurité de votre site internet !
Article publié le 8 janvier 2015, mis à jour le 10 mars 2023