Tout ce que vous devez savoir sur la maintenance de site internet

Qu’est-ce que la maintenance ? Que faut-il mettre à jour sur WordPress ? Pourquoi ? Mieux vaut prévenir que guérir. Ne restez pas sans protection !

Les avantages de travailler en ligne

Je travaille essentiellement avec des outils en ligne, et je trouve ça franchement génial. Ne plus avoir besoin d’installer un programme sur mon ordinateur me procure plusieurs avantages :

  • Je n’ai pas de licence coûteuse à payer (mais je peux avoir à recourir à des services en forme d’abonnements à la place)
  • J’ai accès à mes outils en cas de panne de mon matériel, sans aucune complication
  • J’ai accès à mes outils où que je sois (en famille, dans le Poitou, dans les Contrées du Milieu …)

Seul impératif, j’ai besoin d’un accès Internet ! Et si le wifi n’est pas encore présent partout, il progresse néanmoins à pas de géant.

Un outil de gestion du contenu comme WordPress fait partie de ces outils qui fonctionnent en ligne. WordPress est un outil :

Chiffres W3Techs de décembre 2014
WordPress fait tourner 23,3 % des sites internet dans le monde, et 61 % des sites utilisant un système de gestion du contenu (W3Techs, décembre 2014).
  • open-source, gratuit pour l’installation de base
  • accessible en ligne à partir d’un navigateur internet
  • qui possède une interface d’administration simple à utiliser
  • qui permet d’écrire et publier son contenu via un éditeur de texte
  • qui permet de gérer un site internet à plusieurs

Mais chaque solution possède ses inconvénients. Même une solution comme WordPress, qui fait tourner un site sur cinq sur la planète (source W3Techs). Dans notre cas, il faudra faire attention à la sécurité.

La maintenance de site internet

Si vous avez un ordinateur, vous savez qu’un outil très répandu est un outil qui a des besoins en sécurité. On constate en effet davantage de failles de sécurité découvertes et corrigées :

  • sous Windows que sous iOS (sytèmes d’exploitation pour ordinateur)
  • sous Internet Explorer que sous Opera (navigateurs internet)
  • sous WordPress que sous Dotclear (outils de gestion de contenu)

Conséquence de tout cela, un ordinateur pourra recourir à des logiciels de sécurité (antivirus, anti spywares, parefeu …) et sera mis à jour régulièrement (mises à jour Windows), parfois de manière transparente pour vous, lors de l’extinction de votre machine. Votre navigateur sera également mis à jour (changement de versions).

Un site internet lié à une base de données court des risques semblables.

  • l’hébergement du site internet peut être piraté (ce qui peut entraîner l’effacement de votre site, l’envoi massif de spams …)
  • votre installation WordPress peut être infectée (ce qui peut entraîner la distribution de programmes malicieux à vos internautes, le bannissement de votre site par Google …)
  • votre interface d’administration peut être piratée (ce qui peut entraîner la suppression de votre compte utilisateur, l’ajout ou la suppression de contenus …)

Vous l’aurez deviné, WordPress est du coup mis à jour régulièrement ! Depuis peu, un composant de WordPress permet même l’installation automatique des mises à jour de WordPress, mais cet outil ne fonctionne pas très bien encore et vous pouvez vous retrouver avec plusieurs versions de retard, exposés notamment aux dangers ci-dessus.

La mise à jour doit donc être manuelle, pour plus de fiabilité.

 Que faut-il mettre à jour ?

On distingue plusieurs composants sur un site internet WordPress :

  • Les fichiers de base, permettant l’installation de WordPress

Ces fichiers sont comparables à votre système d’exploitation. Ils sont mis à jour toutes les quatre à six semaines environ par Automaticc, la société qui a créé WordPress. A peu près deux fois sur trois, la mise à jour concerne des failles de sécurité. La troisième fois, celle-ci concerne une amélioration de l’outil (design, fonctionnalités …) destinée à améliorer ses performances.

Il existe un bouton dans l’interface d’administration, permettant de mettre à jour WordPress en un clic. Mais ce bouton fait souvent planter votre site, en raison notamment de vos extensions. Comme pour la mise à jour automatique, ce bouton n’est pas fiable et la meilleure solution est d’effectuer la mise à jour soi-même, par client FTP.

Mise à jour automatique de WordPress
Il existe un bouton pour mettre à jour WordPress, mais il n’est pas fiable.
  • Les thèmes

Le thème constitue l’habillage graphique de votre site internet. Bien que l’on parle de graphisme, un thème est composé de fichiers de programmation (PHP, Javascript, jQuery …) et de mises en forme (HTML / CSS). Parfois, une faille de sécurité ne peut pas être corrigée directement dans WordPress, car elle utilise une fonction utilisée par votre thème, ou un script extérieur à votre site.

Par exemple, TimThumb est un script permettant d’agrandir des photos au milieu de la page, en cliquant dessus. Couramment utilisé au début de la décennie, une faille impliquant TimThumb a infecté des millions de sites internet. De nombreux sites de sécurité ont signalé la faille, et publié par la suite un correctif permettant de patcher manuellement les thèmes concernés.

Il est rare de devoir mettre un thème à jour, mais parfois le danger est critique et il faut soit modifier soi-même celui-ci, soit appliquer la mise à jour mise en place par le développeur du thème (dans le cas où votre thème de départ a été acheté et bénéficie toujours de mises à jour et de support utilisateur).

Il faudra prendre garde à mettre à jour le thème sans perdre les personnalisations apportées au graphisme du site.

  • Les extensions

Si votre installation WordPress vous permet de publier du contenu, de nombreuses fonctionnalités de votre site sont comprises dans ce que l’on appelle les extensions. Il s’agit de plugins qui sont ajoutés à votre site pour remplir une fonction bien précise (générer des formulaires de contact, proposer une boutique en ligne, ajouter des boutons de partage …). Certaines de ses extensions sont même dédiées à la sécurité (antivirus, parefeu, outil masquant certaines informations de WordPress …) et ne sont pas visibles sur le site internet.

Les extensions sont conçues et entretenues par des développeurs indépendants, amateurs ou professionnels (des entreprises proposent des extensions gratuites et payantes). Celles-ci peuvent être mises à jour n’importe quand, et peuvent concerner autant des problèmes de sécurité que des améliorations de l’extension.

Extensions sous WordPress
Quand la nouvelle version d’une extension est disponible, vous recevez une notification.

Partie probablement la plus sensible, vos extensions se doivent d’être compatibles avec votre version de WordPress. Parfois certaines extensions sont laissées à l’abandon ou ne sont pas mises à jour rapidement, et perdent leur compatibilité avec votre installation WordPress. L’extension entraîne alors des dysfonctionnements sur votre site, pouvant même ne plus l’afficher du tout !

Le nombre d’extensions d’un site internet dépend de la complexité de celui-ci. Mais de manière générale, il ne se passe pas une semaine sur un site WordPress sans qu’il y ait une ou plusieurs extensions à mettre à jour. Parfois mineures et parfois critiques, elles nécessitent l’intervention d’une personne qualifiée pour :

  • installer la nouvelle version d’une extension sans retirer les personnalisations apportées sur le site
  • vérifier la compatibilité avec le site internet, sur le site de dépôt et en réel sur le site
  • rétrograder la version de l’extension en cas de problème
  • paramétrer à nouveau l’extension, en cas de mise à jour majeure (pour un module e-commerce par exemple)

Certaines extensions peuvent être mises à jour rapidement et sans réel danger. Mais d’autres sont beaucoup plus complexes et peuvent être délicates à maintenir.

Tenir une veille technologique

La plupart des mises à jour vous sont notifiées directement au sein de votre interface d’administration. C’est le cas des mises à jour de WordPress et de celles des extensions. Concernant votre thème, il est possible que le développeur du thème vous envoie une notification ou un e-mail pour vous prévenir. Mais ce ne sera le cas que si lui a détecté un problème…

Notification WordPress pour la mise à jour
WordPress vous notifie lorsqu’une mise à jour est disponible.

La meilleure façon de garder un site internet en sécurité est de tenir une veille technologique à ce sujet, c’est à dire s’informer régulièrement de ce qui se dit autour de la sphère de WordPress. Il existe de nombreux acteurs autour de la sphère WordPress qui sont entièrement dédiés à la sécurité (en français, Secupress par exemple). La plupart publient en langue anglaise uniquement.

Cette veille technologique est indispensable pour être averti des failles importantes, des infections massives et autres dangers, que WordPress ne résoudra pas pour vous par magie ! L’utilisation de modules de sécurité (Wordfence, par exemple) vous permettra une relative sécurité. Mais la sécurité parfaite n’existe pas. Votre site internet est stocké sur un ordinateur, fonctionne à l’aide de programmes, et les ordinateurs comme les programmes sont vulnérables. C’est pourquoi la maintenance de sites internet est très importante.

Mieux vaut prévenir que guérir. Il sera beaucoup plus simple de sécuriser votre site que de retirer une infection. En cas de problème, le rétablissement de votre site prendra plusieurs jours et si vous le sous-traitez, il vous sera facturé comme tel. Si vous manquez de compétences ou de temps pour mettre à jour vous-même votre site internet WordPress, je vous recommande donc de passer par un professionnel. Ne négligez pas la sécurité de votre site internet !



Un commentaire

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.