mise-a-jour-wordpress-en-securite

Comment sécuriser votre Blog WordPress

Il n’est pas possible de parler des mises à jour de WordPress sans d’abord aborder les raisons pour lesquelles nous en avons besoin. Dans ce billet, je n’aborderai pas  les questions liées á l’installation initiale de WordPress,  si besoin vous pouvez vous reporter à mon article : comment installer wordpress 

La Sécurité

Comme vous pouvez l’imaginer, la sécurité de ce système de gestion de contenu suscite beaucoup d’inquiétude, tant du point de vue des entreprises qui font des affaires par l’entremise des sites Web WordPress que de celui des consommateurs qui font affaire avec eux. Maintenant, ce n’est pas comme si WordPress était mal construit ou mal géré. En effet, WordPress dispose d’une équipe strictement dédiée à la surveillance de la plate-forme et à la mise à jour du logiciel dès que des vulnérabilités sont détectées.

Cependant, WordPress est le CMS le plus populaire au monde, ce qui en fait une cible de choix pour les pirates. En raison de cette plus grande exposition, les sites Web WordPress reçoivent régulièrement environ les trois quarts de toutes les tentatives de piratage.

 

Bien qu’il y ait beaucoup de choses à faire pour sécuriser un site Web WordPress – comme utiliser un certificat SSL, sécuriser votre PHP et effectuer des audits de sécurité réguliers – vous devez absolument mettre à jour WordPress en priorité. Si vous utilisez des plugins et des thèmes, vous devez également les mettre à jour. Si vous ne le faites pas, vous risquez de compromettre à la fois la vitesse et la sécurité globale de votre site. 

je vous fournis une liste de contrôle de mise à jour WordPress et vous explique tout ce que vous devez savoir sur cet élément essentiel de la stratégie de sécurité de votre site WordPress.

Liste de contrôle pour la mise à jour de WordPress

Lorsqu’il s’agit de rejeter la responsabilité de cette surabondance d’atteintes à la sécurité de WordPress, il n’est pas juste de pointer du doigt les développeurs qui ont créé ou maintiennent maintenant WordPress ou ses intégrations tierces. En fait, la plupart des violations de WordPress peuvent être attribuées à une erreur de l’utilisateur.

Saviez-vous que plus de 70% des installations de WordPress ne fonctionnent pas actuellement sur la version la plus récente et sécurisée de la plate-forme ? 

Ces mises à jour WordPress sont publiées pour une raison : WordPress automatise maintenant même, les mises à jour de sécurité mineures afin de s’assurer que les sites des utilisateurs sont protégés contre ces vulnérabilités connues.

Ensuite, il y a la question des plugins et des thèmes. 54% de toutes les vulnérabilités de WordPress peuvent être attribuées à des plugins et 14% à des thèmes. À moins qu’un grave problème de sécurité ne soit détecté dans l’un d’entre eux, WordPress ne forcera pas une mise à jour automatique pour tous les utilisateurs. Ils comptent plutôt sur les développeurs pour créer un correctif et envoyer une notification de mise à jour.

En fin de compte, il s’agit pour vous de rester au courant de ce qui se passe chez WordPress, de surveiller les mises à jour dès qu’elles deviennent disponibles, puis de les mettre en œuvre immédiatement. C’est la seule façon de garder WordPress aussi sécurisé que possible.

Il y a plusieurs façons de le faire : par l’automatisation ou par des mises à jour manuelles. Ma liste de contrôle suivante couvre les deux méthodes.

 

Comment mettre à jour WordPress avec un plugin d’automatisation

En 2013, WordPress a créé le système des mises à jour automatiques. Celles-ci ne sont cependant pas universellement appliquées. Toutes les versions majeures et autres mises à jour de plugins et de thèmes doivent encore être traitées par vous-même !

Si vous voulez vous épargner la responsabilité de le faire, sans compromettre la sécurité de votre site, vous pouvez automatiser ces mises à jour. Voici ce que vous devrez faire :

Planifier les sauvegardes

Même si vous ne traitez pas manuellement chaque mise à jour, il est toujours important d’avoir des sauvegardes régulières de votre site. Vous pouvez le faire en utilisant un plugin de sauvegarde et de restauration. Cela vous assurera d’avoir quelque chose sur quoi revenir en cas de problème lors d’une de ces mises à jour automatisées.

Automatiser avec un Plugin

Bien que vous puissiez vous connecter à WordPress chaque jour et surveiller la petite notification en haut du tableau de bord qui indique que vous avez des mises à jour en attente, vous pouvez plutôt utiliser un plugin pour gérer le travail pour vous. Easy Updates Manager est un plugin gratuit que vous pouvez utiliser soit sur un seul site WordPress, soit pour un réseau Multisite complet. Une fois le plugin installé, vous devrez configurer ses paramètres.

Le tableau de bord (illustré ci-dessus) vous permettra d’activer/désactiver facilement l’accès à l’automatisation des mises à jour de base, des plugins et des thèmes pour votre site.

easy-update-manager-plugin

Portez également une attention particulière à l’onglet Paramètres généraux. Bien que la partie supérieure de la page vous donne la possibilité de définir des contrôles universels sur ce qui est automatisé et ce qui ne l’est pas, la partie inférieure (Notifications et Divers) pourrait également vous être particulièrement utile.

wordpress-mise-a-jour

 

Et n’oubliez pas de consulter la section Paramètres avancés avant de sauvegarder et de fermer la page de configuration. Si vous avez plusieurs utilisateurs qui ont accès à votre site, mais que vous ne voulez pas qu’ils aient le contrôle de ces paramètres, vous pouvez y ajuster les niveaux d’accès.

Automatisez votre flux de travail

Plutôt que de compter sur un plugin pour gérer les sauvegardes et un plugin pour gérer les mises à jour, pourquoi ne pas utiliser un seul outil qui consolide toutes ces automatisations en une seule ? 

ManageWP est une option fantastique pour cela car elle vous permet de le faire :

  • Gérez toutes les mises à jour du site Web – pour autant de sites Web que vous le souhaitez – à partir d’un seul tableau de bord.
  • Planifiez des sauvegardes quotidiennes et enregistrez-les à votre destination hors site préférée. (C’est en fait ma fonctionnalité préférée !)

ManageWP est également doté de nombreuses fonctions de sécurité pour vous aider à mieux préserver la santé et la sécurité générales de votre site Web sans avoir à vous soucier de rien.

En version premium, ce plugin permet de vérifier :

  1. Votre classement SEO et en particulier de faire le point sur les mots-clés utilisés qui fonctionnent bien ou non.
  2. La marque blanche : vos concurrents ne sauront pas quelle technologie vous utilisez ; ce qui n’est pas négligeable !

Comment mettre à jour WordPress manuellement

Il y a deux façons de mettre à jour manuellement votre site WordPress.

mettre-à-jour-wordpress-manuellement

Lorsque vous savez que vous avez des mises à jour en attente de traitement, vous pouvez cliquer sur la notification et les mettre à jour en un seul clic. Cependant, en les traitant de cette façon, il n’y a pas beaucoup de différence entre les mises à jour automatisées et le traitement manuel de celles-ci. Le but de cette prise en charge est de s’assurer que les mises à jour sont gérées avec soin et qu’elles ne mettent pas votre site en danger. Voici comment procéder.

Mettre à jour le WordPress Core ou noeud (image ci-dessous)

Sauvegardez votre site

Dès que vous voyez qu’une mise à jour est prête, capturez une sauvegarde de votre site (si vous n’êtes pas satisfait en utilisant la sauvegarde quotidienne ou hebdomadaire de votre plugin ou service de maintenance enregistré). Un plugin de sauvegarde et de restauration vous permettra de le faire manuellement. Vous pouvez ensuite sauvegarder à distance une copie zippée du fichier de sauvegarde au cas où vous auriez à le restaurer ultérieurement.

Désactivez vos plugins

WordPress vous recommande de toujours désactiver vos plugins avant de mettre à jour manuellement le noyau. Vous pouvez le faire en allant dans la liste des plugins installés dans WordPress, en cochant toutes les cases et en appliquant l’action Désactiver l’ensemble.

Récupérer les fichiers

WordPress stocke toujours la dernière version de base ici. Sur réception d’un avis qu’une mise à jour est disponible, visitez cette page Web et téléchargez les fichiers. Extrayez le paquet localement sur votre ordinateur.

Mise à jour de la racine

Connectez-vous à votre répertoire racine en utilisant SFTP ou SSH dans votre panneau de contrôle. Supprimez les fichiers wp-admin et wp-includes. Vous devrez ensuite télécharger les nouvelles versions de vos fichiers de base extraits.

Mise à jour du contenu Worpress

Il n’est pas nécessaire de supprimer wp-content. Au lieu de cela, ce que vous devez faire est de faire une copie de tous les fichiers dans votre nouveau répertoire wp-content. Puis placez-les dans l’ancien répertoire wp-content.

Mise à jour de “tout le reste”

Vos nouveaux fichiers racine doivent également être copiés dans votre répertoire. Ce n’est pas grave s’ils écrasent ce qu’il y avait dedans avant (ils sont censés le faire).

Revoir wp-config

Dans vos nouveaux fichiers de base, vous aurez quelque chose appelé wp-config-sample.php. Examinez celui-ci pour décider si l’un des nouveaux paramètres vaut la peine d’être sauvegardé dans votre wp-config.

Mise à jour de la base de données

Une fois vos fichiers mis à jour, reconnectez-vous à l’administrateur WordPress. Si WordPress a besoin de mettre à jour votre base de données, il vous enverra à /wp-admin/upgrade.php. Cliquez sur le lien et suivez les étapes nécessaires à la mise à jour de votre base de données.

Réactivez vos plugins

Revenez à la liste des Plugins. Vérifiez à nouveau tous les plugins désactivés, puis sélectionnez l’action Activer l’action en masse.

Afin de voir toutes les mises à jour effectuées et de terminer le processus de mise à niveau de base de WordPress, videz la mémoire cache de votre navigateur.

Mise à jour des plugins et des thèmes

Le processus de mise à jour manuelle de vos plugins et thèmes est similaire à celui du noyau, juste un peu moins exigeant en main d’œuvre.

Sauvegardez votre site

Récupérer les fichiers

Récupérez une copie des fichiers zippés pour votre nouveau plugin ou thème depuis le référentiel ou le développeur. Téléchargez et décompressez-les sur votre machine locale.

Supprimer les anciens fichiers

En utilisant SFTP via votre panneau de contrôle, localisez vos anciens fichiers. Vous les trouverez sous wp-content. Supprimez les anciens fichiers de thème ou de plugin.

Ajouter les nouveaux fichiers

Ajoutez les nouveaux fichiers dans le répertoire wp-content. Le répertoire du plugin devrait ressembler à ceci : wp-content/plugin/plugin/plugin-name/. Le répertoire du thème ressemblera à ceci : wp-content/theme/theme/theme-name/.

Examiner les changements

Retournez à WordPress et visitez votre liste de Plugins ou de Thèmes. Il vous indiquera si vous avez réussi ou non la mise à jour. Bien sûr, assurez-vous de passer en revue votre site en ce moment pour vous assurer qu’il n’y a rien de cassé dans le processus.

Conclusion

Si ces opérations vous apparaissent trop fastidieuses ou trop complexes, il y a une autre option disponible : celle d’engager une société de maintenance WordPress .Mais n’oubliez pas que cette option à un prix mensuel pouvant varier de 65 à 160 €. Si votre budget est limité, vous devrez vous obliger à vous plonger dans certains aspects techniques. Ne vous inquiétez pas, cela finit par se maitriser.

A bientôt, Sandra

 

Laisser un commentaire

Voir les autres articles
Inscrivez-vous à ma newsletter
Fermer le menu
error: Content is protected !!