Comment mettre à jour un site Web WordPress en toute sécurité (manuellement et automatiquement)

Publié: 2017-11-20

Noom_Studio / stock.adobe.com

Il n’est pas possible de parler des mises à jour de WordPress sans d’abord expliquer pourquoi nous en avons besoin en premier lieu :

Sécurité.

Comme vous pouvez l'imaginer, la sécurité de ce système de gestion de contenu suscite de nombreuses inquiétudes, du point de vue des entreprises qui exercent leurs activités via des sites Web WordPress ainsi que des consommateurs qui interagissent avec eux. Ce n’est pas comme si WordPress était mal construit ou mal géré. En effet, WordPress dispose d'une équipe strictement dédiée à la surveillance de la plateforme et à la mise à jour du logiciel dès que des vulnérabilités sont détectées.

Cependant, WordPress est le CMS le plus populaire au monde, ce qui en fait une cible privilégiée pour les pirates. En raison de cette plus grande exposition, les sites Web WordPress reçoivent régulièrement environ les trois quarts de toutes les tentatives de piratage.

Bien que la sécurisation d’un site Web WordPress nécessite beaucoup de choses – comme l’utilisation d’un certificat SSL, la sécurisation de votre PHP et la réalisation d’audits de sécurité réguliers – vous devez absolument donner la priorité à la mise à jour de WordPress. Si vous utilisez des plugins et des thèmes, vous devez également les mettre à jour. Ne pas le faire pourrait compromettre à la fois la vitesse de votre site et sa sécurité globale. La liste de contrôle de mise à jour WordPress suivante vous fournira tout ce que vous devez savoir sur cet élément essentiel de la stratégie de sécurité de votre site WordPress.

Notre équipe chez WP Buffs aide les propriétaires de sites Web, les agences partenaires et les partenaires indépendants à mettre à jour leurs sites WordPress. Que vous ayez besoin de nous pour gérer 1 site Web ou prendre en charge 1 000 sites clients, nous sommes à vos côtés.

La liste de contrôle ultime de mise à jour WordPress

Lorsqu’il s’agit de rejeter la « responsabilité » de cette surabondance de failles de sécurité dans WordPress, il n’est pas juste de pointer du doigt les développeurs qui ont construit ou maintiennent désormais WordPress ou ses intégrations tierces. En fait, la plupart des violations de WordPress peuvent être attribuées à une erreur de l’utilisateur.

Saviez-vous que plus de 70 % des installations WordPress ne fonctionnent actuellement pas sur la version la plus récente et la plus sécurisée de la plateforme ? Ces mises à jour WordPress sont publiées pour une raison : WordPress automatise même désormais les mises à niveau de sécurité mineures afin de garantir que les sites des utilisateurs sont à l'abri de ces vulnérabilités connues.

Ensuite, il y a la question des plugins et des thèmes. 54 % de toutes les vulnérabilités WordPress peuvent être attribuées aux plugins et 14 % aux thèmes. Sauf si un problème de sécurité sérieux est détecté dans l’un d’entre eux, WordPress ne forcera pas une mise à jour automatique pour tous les utilisateurs. Ils compteront plutôt sur les développeurs pour créer un correctif et envoyer une notification de mise à jour.

En fin de compte, il s’agit de rester conscient de votre site Web WordPress, de surveiller les mises à jour dès qu’elles sont disponibles, puis de les mettre en œuvre immédiatement. C’est le seul moyen de garder WordPress aussi sûr que possible.

Vous pouvez procéder de plusieurs manières : via l'automatisation ou des mises à jour manuelles. La liste de contrôle suivante couvrira les deux méthodes.

Comment mettre à jour WordPress avec l'automatisation

En 2013, WordPress a eu la gentillesse de nous offrir des mises à jour automatisées. Cependant, celles-ci ne sont pas appliquées universellement et ne se produiront qu’avec des versions mineures et des mises à jour peu fréquentes de plugins ou de thèmes qui doivent être publiées de toute urgence. Toutes les versions majeures et autres mises à jour de plugins et de thèmes doivent toujours être traitées par vous.

Si vous souhaitez vous épargner cette responsabilité, sans compromettre la sécurité de votre site, vous pouvez automatiser ces mises à jour. Voici ce que vous devrez faire :

1. Planifier des sauvegardes

Même si vous ne traitez pas manuellement chaque mise à jour, il est toujours important d'enregistrer régulièrement des sauvegardes de votre site. Vous pouvez le faire en utilisant un plugin de sauvegarde et de restauration. Cela garantira que vous disposez de quelque chose sur lequel revenir en cas de problème lors de l'une de ces mises à jour automatiques.

2. Automatisez avec un plugin

Bien que vous puissiez vous connecter à WordPress chaque jour et surveiller la petite notification en haut du tableau de bord indiquant que des mises à jour sont en attente, vous pouvez à la place utiliser un plugin pour gérer le travail à votre place. Easy Updates Manager est un plugin gratuit que vous pouvez utiliser soit sur un seul site Web WordPress, soit pour un réseau multisite complet.

Gestionnaire de mises à jour faciles

Une fois le plugin installé, vous devrez en configurer les paramètres.

Le tableau de bord (photo ci-dessus) vous permettra d'activer/désactiver facilement l'automatisation des mises à jour principales, des plugins et des thèmes de votre site.

Portez également une attention particulière à l'onglet Paramètres généraux. Alors que la partie supérieure de la page vous donne la possibilité de définir des contrôles universels sur ce qui est automatisé et ce qui ne l'est pas, la partie inférieure (Notifications et Divers) pourrait également vous être particulièrement utile.

Et n'oubliez pas de consulter les paramètres avancés avant d'enregistrer et de fermer la page de configuration. Si plusieurs utilisateurs ont accès à votre site, mais que vous ne souhaitez pas qu'ils contrôlent ces paramètres, vous pouvez y ajuster les niveaux d'accès.

3. Ou automatisez votre flux de travail

Plutôt que de compter sur un seul plugin pour gérer les sauvegardes et un seul plugin pour gérer les mises à jour, pourquoi ne pas utiliser un seul outil qui consolide toute cette automatisation en un seul ? ManageWP est une option fantastique pour cela car elle vous permet de :

  • Gérez toutes les mises à jour de sites Web, pour autant de sites Web que vous le souhaitez, à partir d'un seul tableau de bord.
  • Planifiez des sauvegardes quotidiennes et enregistrez-les sur votre destination hors site préférée. (C'est en fait notre fonctionnalité préférée !)

ManageWP est également doté de nombreuses fonctionnalités de sécurité pour vous aider à mieux maintenir la santé et la sécurité globales de votre site Web sans transpirer.

En tant que fournisseur de services de maintenance WordPress, nous avons trouvé que la solution ManageWP était incroyablement précieuse pour nos opérations et notre flux de travail. Grâce à la visibilité, à la commodité et au contrôle améliorés dont nous disposons désormais sur les performances, la sécurité et les mises à jour en attente de notre site Web, nous avons pu nous concentrer sur la croissance de notre activité (de 39 %, en fait) plutôt que d'essayer de suivre de tout ce que nous devons faire pour chacun de nos clients actuels.

Comment mettre à jour WordPress manuellement

Il existe deux manières de mettre à jour manuellement votre site WordPress.

Lorsque vous savez que vous avez des mises à jour en attente de traitement, vous pouvez cliquer sur la notification et les mettre à jour en un seul clic. Cependant, en les traitant de cette manière, il n'y a pas beaucoup de différence entre les mises à jour automatisées et leur traitement manuel. L’intérêt de s’enapproprier est de garantir que les mises à jour sont traitées avec soin et ne mettent pas votre site en danger. Voici comment procéder.

Mettre à jour le noyau WordPress

1. Sauvegardez votre site
Dès que vous voyez qu'une mise à jour est prête, effectuez une sauvegarde de votre site (si vous n'êtes pas satisfait d'utiliser la sauvegarde quotidienne ou hebdomadaire, votre plugin ou votre service de maintenance est enregistré). Un plugin de sauvegarde et de restauration vous permettra de le faire manuellement. Vous pouvez ensuite enregistrer à distance une copie compressée du fichier de sauvegarde au cas où vous deviez le restaurer ultérieurement.

2. Désactivez vos plugins

WordPress vous recommande de toujours désactiver vos plugins avant de mettre à jour manuellement le noyau. Vous pouvez le faire en accédant à votre liste de plugins installés dans WordPress, en cochant toutes les cases et en appliquant l'action groupée Désactiver.

3. Récupérer les fichiers

WordPress stocke toujours la dernière version principale ici. Dès réception d'une notification indiquant qu'une mise à jour est disponible, visitez cette page Web et téléchargez les fichiers. Extrayez le package localement sur votre ordinateur.

4. Mettez à jour la racine

Connectez-vous à votre répertoire racine en utilisant SFTP ou SSH dans votre panneau de contrôle. Supprimez les fichiers wp-admin et wp-includes. Vous devrez ensuite télécharger les nouvelles versions à partir de vos fichiers principaux extraits.

5. Mettre à jour le contenu wp

Il n'est pas nécessaire de supprimer wp-content. Au lieu de cela, vous devez faire une copie de tous les fichiers de votre nouveau répertoire wp-content. Placez-les ensuite dans l'ancien répertoire wp-content.

6. Mettez à jour tout le reste

Vos nouveaux fichiers racine principaux doivent également être copiés dans votre répertoire. Ce n'est pas grave s'ils écrasent ce qui s'y trouvait auparavant (ils sont censés le faire).

7. Vérifiez wp-config

Dans vos nouveaux fichiers principaux, vous aurez quelque chose appelé wp-config-sample.php. Examinez ceci pour décider si l'un des nouveaux paramètres mérite d'être enregistré dans votre wp-config.

8. Mettre à jour la base de données

Une fois vos fichiers mis à jour, reconnectez-vous à l'administrateur WordPress. Si WordPress doit mettre à niveau votre base de données, il vous enverra vers /wp-admin/upgrade.php. Accédez au lien puis effectuez les étapes nécessaires pour mettre à jour votre base de données.

9. Réactivez vos plugins

Revenez à la liste des plugins. Revérifiez tous les plugins désactivés, puis sélectionnez l'action groupée Activer.

Afin de voir toutes les mises à jour effectuées et de terminer le processus de mise à niveau principale de WordPress, videz le cache de votre navigateur.

Mettre à jour les plugins et les thèmes

Le processus de mise à jour manuelle de vos plugins et thèmes est similaire au noyau, juste un peu moins laborieux.

1. Sauvegardez votre site

Voir les notes ci-dessus.

2. Récupérer les fichiers

Récupérez une copie des fichiers compressés pour votre nouveau plugin ou thème auprès du référentiel ou du développeur. Téléchargez-les et décompressez-les sur votre ordinateur local.

3. Supprimez les anciens fichiers

En utilisant SFTP via votre panneau de contrôle, localisez vos anciens fichiers. Vous les trouverez sous wp-content. Supprimez les anciens fichiers de thème ou de plugin.

4. Ajouter les nouveaux fichiers

Ajoutez les nouveaux fichiers au répertoire wp-content. Le répertoire du plugin devrait ressembler à ceci : wp-content/plugin/plugin-name/. Le répertoire du thème ressemblera à ceci : wp-content/theme/theme-name/.

5. Examinez les modifications

Revenez sur WordPress et visitez votre liste de plugins ou de thèmes. Il vous dira si vous avez réussi ou non la mise à jour. Bien sûr, examinez votre site à ce moment-là pour vous assurer que rien ne se brise pendant le processus.

Un petit rappel…

Il existe une autre option disponible : embaucher une société de maintenance WordPress comme WP Buffs. En plus des responsabilités de maintenance régulière, cet élément de sécurité et de mise à jour figure en bonne place dans nos services. Si vous aimez l’idée d’un expert gérant les sauvegardes WordPress quotidiennes et traitant les mises à jour des thèmes et des plugins en votre nom, n’oubliez pas que cette option existe également.

Et si vous avez besoin d’une autre ressource de sécurité, lisez cet article sur BloggingWand.

Vous souhaitez donner votre avis ou participer à la conversation ?Ajoutez vos commentaires sur Twitter.