Comment mettre à jour WordPress, les plugins et les thèmes correctement ? Voici comment jouer la sécurité.

Johannes Mairhofer Dernière mise à jour 08.07.2021
7 Min.
stratégie de mise à jour de wordpress
Dernière mise à jour 08.07.2021

Pour de nombreux·ses utilisateur·rice·s, les nouvelles mises à jour de WordPress arrivent de façon inattendue. Après tout, très peu d'entre elles suivent le calendrier des sorties, comme c'est le cas actuellement pour WordPress 5.8. Les mises à jour disponibles pour les plugins et les thèmes sont également souvent source d'incertitude. Johannes Mairhofer te montre aujourd'hui comment tu peux maintenir ton système WordPress à jour, et quelle stratégie de mise à jour a fait ses preuves. 

Sécurité de WordPress

WordPress est le système de gestion de contenu (CMS) le plus utilisé dans le monde. Selon w3techs, WordPress est désormais utilisé par 41 % de tous les sites web, et la tendance est à la hausse. Il est tout à fait réaliste de penser que, d'ici 2025, la moitié des sites web seront basés sur WordPress. En raison de cette forte prévalence, WordPress devient également intéressant pour les cyberpirates potentiels, puisqu'il est extrêmement rare que tu sois personnellement attaqué·e par quelqu'un. Cela se produit généralement par le biais de réseaux de robots automatisés qui recherchent sur l'ensemble de l'internet les vulnérabilités et les failles de sécurité connues et les exploitent.

Pour sécuriser ton site WordPress et ton activité, il existe bien sûr de nombreux outils et conseils que tu trouveras également ici dans le magazine. En outre, il est également important de maintenir l'ensemble de ton système à jour et d'effectuer des mises à jour régulières. Je te montre comment faire dans cet article.

Mises à jour sur le tableau de bord WordPress

Comment mettre à jour WordPress, les plugins et les thèmes correctement ? Voici comment jouer la sécurité.

Tu peux voir si tu as des mises à jour en attente sur ton tableau de bord d'administrateur·rice WordPress, directement après t'être connecté·e, via la double flèche transformée en cercle en haut de la barre d'état. Si tu cliques sur cette icône, tu verras les mises à jour en attente dans la vue d'ensemble et tu pourras facilement les effectuer en une seule fois ou individuellement.

Dans ma stratégie de mise à jour préférée, je fais une distinction entre les mises à jour de plugins et de thèmes et les mises à jour de WordPress lui-même. Je t'explique pourquoi je te recommande cette stratégie dans ce qui suit.

Thèmes de WordPress

Comment mettre à jour WordPress, les plugins et les thèmes correctement ? Voici comment jouer la sécurité.

D'une manière générale, pour les thèmes, moins c'est plus.

En plus du thème actif, tu devrais au mieux n'avoir qu'un seul autre thème par défaut installé, utilisé comme "solution de rechange". De cette façon, le système peut automatiquement basculer vers ce thème par défaut si le thème que tu utilises actuellement provoque des erreurs.

Dans mon exemple d'installation, tu peux voir que j'ai activé et utilisé le thème "Neve". De plus, je n'ai installé que la version actuelle par défaut du thème de WordPress "Twenty Twenty-One". Si des erreurs se produisent avec mon véritable thème "Neve", WordPress peut automatiquement passer à "Twenty Twenty-One". 

Mises à jour de thèmes

Avec les thèmes WordPress, je te recommande d'effectuer directement les mises à jour en attente. Le risque qu'une mise à jour entraîne ici des dommages graves est très faible et peut être amorti par le thème standard en cas de problème. Tu devrais néanmoins faire une sauvegarde de ton site web avant chaque mise à jour, juste au cas où il y aurait des problèmes.

Important : si tu personnalises ton thème et ne veux pas qu'il soit perdu lors d'une mise à jour, tu dois absolument utiliser un thème enfant. En effet, lorsque tu mets à jour ton thème WordPress, tous les fichiers de thème, y compris tes personnalisations, seront écrasés.

plugins de WordPress

Comment mettre à jour WordPress, les plugins et les thèmes correctement ? Voici comment jouer la sécurité.

WordPress s'est considérablement développé ces dernières années et est généralement livré avec presque tout ce dont tu as besoin. Cependant, il peut arriver que tu aies besoin d'étendre une fonction souhaitée avec un plugin. 

Comme pour les thèmes de WordPress, il en va de même pour les plugins : n'installe que ce dont tu as réellement besoin et que tu ne peux pas résoudre autrement. Chaque plugin ouvre en effet une porte aux cyberpirates potentiels. De plus, bien sûr, chaque plugin est en fin de compte du code supplémentaire, ce qui rend le site un peu plus lent.

Ce que beaucoup ne prennent pas en compte est qu'outre les deux points de sécurité et de performance cités précédemment, qui plaident contre un trop grand nombre de plugins, il existe depuis quelques années un autre argument. De nombreux plugins populaires, tels que le formulaire de contact, sont pertinents pour la protection des données et doivent être inclus dans la politique de confidentialité. Lorsque tu utilises ce type de plugins, je te recommande vivement de faire des recherches approfondies, voire de contacter un avocat. 

L'installation de plugins

Malheureusement, les plugins sont souvent installés très rapidement, puis oubliés. C'est pourquoi j'aimerais discuter brièvement ici du moment où il est recommandé d'installer des plugins et de ce à quoi tu dois faire attention :

Tu ne devrais installer de plugins que si ...

  • ... tu ne peux pas te passer de cette fonction,
  • ... la fonction ne peut pas être mise en œuvre "en interne" via le système WordPress ou ton hébergeur,
  • ... tu es conscient·e des conséquences en termes de protection des données,
  • ... tu es prêt·e à t'occuper des mises à jour régulières.

Si ces points s'appliquent à ton cas d'utilisation, tu peux en installer de nouveaux via ton tableau de bord WordPress dans la section PluginsAjouter.

Comment mettre à jour WordPress, les plugins et les thèmes correctement ? Voici comment jouer la sécurité.

Après avoir accédé à cette page, tu verras une vue d'ensemble de tous les plugins disponibles. En utilisant la fonction de filtre ci-dessus, tu peux trouver par exemple les plugins populaires, nouveaux ou recommandés du répertoire officiel de plugins de WordPress. Si tu n'es pas sûr·e qu'un plugin soit sûr, voici quatre facteurs qui peuvent te guider. Je vais te les montrer en utilisant l'exemple du formulaire de contact ci-dessus.

Exemple du formulaire de contact

Pour ce faire, saisis "Formulaire de contact" dans la recherche. Tu arrives alors sur la page de résultats qui a trouvé plus de 5 000 plugins correspondants. Examinons de plus près Contact Form 7 - l'un des plugins WordPress pour formulaires de contact les plus populaires. 

Comment mettre à jour WordPress, les plugins et les thèmes correctement ? Voici comment jouer la sécurité.

Quatre facteurs t'aideront à décider d'installer ou non le plugin :

  1. Les étoiles sont les évaluations des autres utilisateur·rice·s. Comme dans les boutiques en ligne ou dans la boutique d'applications du système d'exploitation de ton smartphone, tu peux voir ici comment les autres ont évalué le plugin.
  2. Le nombre d'installations t'indique combien de fois le plugin a déjà été installé. Plusieurs millions sont un très bon signe d'une utilisation généralisée. 
  3. "Dernière mise à jour" t'indique quand la dernière mise à jour du plugin a été fournie. Plus celle-ci est récente, mieux c'est, mais je ne vois pas de problème si elle date d'il y a jusqu'à six mois si tous les autres points sont positifs, si le plugin est riche, par exemple, de nombreuses installations et de bonnes évaluations.
  4. Tu peux voir dans le dernier point si le plugin est compatible avec ta version de WordPress. Si tu ne sais pas exactement ce que tu fais, je te recommande vivement de ne pas installer le plugin qui n'est pas compatible ici, ou de demander à l'éditeur·rice du plugin.

Ces quatre facteurs te permettent de voir si une installation est raisonnable et recommandée. Néanmoins, je ne me contenterais pas de désactiver, mais de supprimer également tous les plugins inutiles. Si tu en as la possibilité, il est préférable de d'abord tester le nouveau plugin dans un environnement de staging avant de l'activer sur ton site web réel.

Plugins WordPress, l'embarras du choix

Pour une explication détaillée de la manière dont tu peux évaluer la qualité du plugin WordPress, je te recommande l'article "13 astuces pour sélectionner le bon plugin" de Torsten Landsiedel.

Mises à jour des plugins

Comme pour les thèmes ci-dessus, je te recommande de mettre à jour les plugins en temps voulu. Là encore, la probabilité d'une erreur grave est très faible. Si cela se produit, il suffit généralement de supprimer le plugin du dossier des plugins pour que ton site fonctionne à nouveau. Cependant, tu devrais toujours faire une sauvegarde de ton site web avant de le mettre à jour !

Comment mettre à jour WordPress, les plugins et les thèmes correctement ? Voici comment jouer la sécurité.

Depuis quelque temps, WordPress propose même l'option d'installation automatique des mises à jour pour de nombreux plugins. Dans d'autres cas, ton hébergeur propose l'hébergement WordPress infogéré et s'occupe de toutes les mises à jour et sauvegardes pour toi.

Pour les plugins à forte distribution et avec de bonnes évaluations, les mises à jour automatisées ne posent généralement pas de problème. Pour les plugins dont tu n'es pas sûr·e, tu peux effectuer les mises à jour manuellement. En effet, bien que la probabilité soit faible, il arrive que des erreurs se produisent lors de la mise à jour du plugin. Avec une mise à jour manuelle, tu le remarques immédiatement, alors qu'avec les mises à jour automatiques, tu ne le remarques que plus tard. 

Outre le gain de temps, les mises à jour automatiques offrent le grand avantage que tes plugins fonctionnent toujours avec la dernière version en cas de failles de sécurité connues, de sorte que les failles ne restent jamais ouvertes longtemps. Si tu mets à jour tes plugins manuellement et attends la mise à jour, ton site web est exposé au risque d'une attaque plus longtemps qu'avec les mises à jour automatiques des plugins.

Mises à jour du noyau de WordPress

Cela nous amène à la partie la plus importante. Alors que les mises à jour des thèmes et des plugins peuvent ne te concerner que dans une certaine mesure, parce que tu n'en as peut-être installé aucun ou seulement quelques-uns, les mises à jour du système WordPress à proprement parler, les "Core Updates", concernent tou·te·s les utilisateur·rice·s.

En ce qui concerne les mises à jour de WordPress, il existe une distinction importante entre les mises à jour mineures (trois chiffres, par exemple WordPress 5.7.1) et les mises à jour majeures (deux chiffres, par exemple WordPress 5.8). Les mises à jour mineures peuvent généralement être effectuées sans problème car elles ne font que corriger des bugs mineurs ou apporter de petits ajustements aux fonctionnalités existantes. Les mises à jour majeures, quant à elles, apportent des ajustements plus importants et de nouvelles fonctionnalités au noyau de WordPress.

Cela peut te surprendre, mais, surtout pour les mises à jour majeures de WordPress, je te recommande d'attendre au moins dix jours avant d'effectuer une mise à jour, parce que les mises à jour majeures sont plus susceptibles d'entrer en conflit avec des plugins ou des thèmes, provoquant ainsi des bugs massifs. Un exemple de ces problèmes de compatibilité causés par une mise à jour a été le saut vers WordPress 5.0, car cette version a introduit le nouvel éditeur Gutenberg auquel de nombreux plugins et thèmes n'étaient pas préparés à l'époque. Entre-temps, les créateur·rice·s de plugins et de thèmes ont suivi le mouvement, et la compatibilité avec l'éditeur de blocs est désormais standard. 

Mon conseil : après la sortie d'une mise à jour majeure, observe ce qui se passe dans la communauté WordPress ou demande une évaluation de la part de ton hébergeur. De cette façon, tu apprendras assez rapidement si une mise à jour de WordPress provoque des erreurs. Ce n'est que si tu ne lis aucune indication concernant des mises à jour défectueuses de WordPress après 10 à 14 jours que tu devrais mettre à jour ton système. Comme toujours, le conseil le plus important s'applique ici : fais d'abord une sauvegarde, puis mets à jour !

Conclusion

Malgré toutes les précautions et la mitigation des risques, il peut bien sûr arriver que quelque chose se passe mal. Par ailleurs, il est également compréhensible que tu n'aies pas l'envie ou le temps de t'occuper toi-même de ces questions. Dans ce cas, il existe des hébergeurs WordPress infogérés spécialisés comme RAIDBOXES qui t'aident à gérer tes sites web. Les risques peuvent par exemple être atténués par des sauvegardes automatisées, des mises à jour gérées et la sauvegarde des plugins. 

Au plus tard à partir du moment où ton site web dépasse le stade du passe-temps et doit toujours fonctionner, une stratégie de mise à jour est fortement recommandée. L'hébergement premium avec des sauvegardes gérées et des mises à jour côté hébergeur permet d'éviter les dangers et de rester détendu·e. Tu peux ainsi te concentrer sur la partie la plus importante de ton site web : son contenu.

D'autres questions ?

As-tu d'autres questions ou commentaires sur les mises à jour de WordPress ? Nous serions ravi·e·s de lire tes commentaires ! Tu es intéressé·e par WordPress, le webdesign, le commerce en ligne et bien d'autres choses encore ? Suis alors RAIDBOXES sur Twitter, Facebook, LinkedIn ou via notre newsletter.

Johannes est très curieux et a déjà atteint plusieurs étapes dans sa carrière. D'informaticien de formation à photographe indépendant, il fait son chemin en toute polyvalence et peut donc porter les différentes "lunettes" de ses client·e·s. Aujourd'hui, il travaille en tant que photographe indépendant et consultant pour WordPress et la photographie. [Photo : Dennis Weißmantel]

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.