S’il y a bien un phénomène notable dans le numérique, c’est l’évolutivité constante des technologies, poussée par la curiosité humaine et la concurrence. WordPress ne réchappe pas à ce schéma : s’il n’avait pas évolué depuis sa création en 2003, il serait tombé dans l’oubli.
De fait, même si vous ne l’alimentez pas, votre site WordPress n’est pas statique. Il a besoin de recevoir des mises à jour pour perdurer dans le temps, une tâche qu’on appelle la maintenance technique. Mais la maintenance technique n’est pas seulement l’affaire des mises à jour.
Nous allons voir dans cet article ce qu’est une bonne maintenance technique et en quoi elle est cruciale pour votre site WordPress.
Comprendre les mises à jour du Core WordPress
WordPress constitue à la fois le rendu final de votre site, accessible à vos visiteurs, et le panel d’administration depuis lequel vous gérez vos pages, vos articles, vos commentaires, etc. Le Core de WordPress, c’est son moteur. Comme celui d’une voiture, il est constitué de composants spécifiques (JavaScript et PHP) qui ont besoin d’être entretenus. Sinon, ça tombe en panne. Ou pire : comme nous l’évoquions dans l’article à propos de la sécurité WordPress, votre site finit piraté.
Ces deux langages ont subi beaucoup d’évolutions au fil des années. Quand j’ai commencé le métier en 2015, nous étions au tout début de la version 7 (et beaucoup de serveurs étaient encore configurés sur la 5.7). Aujourd’hui, nous sommes à la 8.3. Ces évolutions permettent d’améliorer les performances et la sécurité en plus d’offrir de nouvelles fonctionnalités. Le CMS WordPress s’y adapte, et les plugins suivent.
Alors, bien sûr, des mises à jour de version de langage n’arrivent pas tous les jours. La révélation de failles de sécurité, elles, si. Aucun système n’est infaillible, car pour une nouvelle technologie présentée, des milliers de hackers, éthiques ou non, se donnent pour challenge de percer les défenses.
C’est un défi quotidien d’un mastodonte tel que WordPress, lequel couvre plus de 60% de part du marché aujourd’hui.
Une faible visibilité nous fait passer entre les mailles du filet ? Une croyance dramatique
Beaucoup d’entrepreneurs et de PME sous-estiment l’importance de la sécurité de leur site, pensant que leur faible visibilité les protège du piratage. C’est une grave erreur. Dès lors que vous possédez un site Internet, vous courez le risque du piratage ou du malware. La majorité des piratages sont automatisés et lancés massivement par des bots, comme ceux qu’utilisent les moteurs de recherches pour indexer votre site. Si ces derniers sont inoffensifs, d’autres sont profondément nuisibles.
Sans aller jusqu’au piratage, le spam est l’un des fléaux que peut subir un site WordPress sans une maintenance technique adéquate. Il n’y a pas besoin d’avoir un gros site. La force des nuisibles du Web, c’est leur nombre et leur capacité à se répandre. C’est ce que la maintenance active d’un site WordPress vise à contrer.
Sans cette maintenance, un site avec quelques formulaires de contact ou zones de commentaires serait pollué en un temps record. L’impact sur l’expérience utilisateur serait dramatique. Pour pallier à ça, se tenir à jour des dernières mesures de protection aux normes est fondamental. Par exemple, le système CAPTCHA, de plus en plus contournable grâce aux évolutions technologiques, est souvent remplacé par la double authentification (2FA) pour les formulaires de connexion.
La pratique de la double authentification n’est pas uniquement réservée aux grands sites et il est tout à fait possible de la mettre en place sur votre site WordPress.
Il existe des extensions WordPress que l’on peut installer comme Two Factor Authentication développée par les auteurs d’Updraft, une extension très réputée pour ses sauvegardes de sécurité et migration de site WordPress.
Prévenir toute perte ou vol de données
Mais que recherchent les pirates lorsqu’ils s’en prennent à votre site Internet ? A l’ère de l’information, vos données sont précieuses. Si vous gérez un espace membre, il est de votre responsabilité de protéger ces informations sensibles. Même un site plus simple expose vos données personnelles (nom, email, adresse IP) aux risques.
Même un géant comme Facebook n’y réchappe pas. En Avril 2021, 533 millions d’utilisateurs avaient vu leurs données privées (nom, prénom, genre, statut marital, jusqu’au numéro de portable) leaker sur des forums pirates très fréquentés. Vous vous en doutez, ces données peuvent aussi être utilisées à des fins beaucoup plus nocives que du spam…
Protéger ces informations passe par des mesures simples comme des mots de passe renforcés, des scans de sécurité réguliers et, si nécessaire, des extensions de surveillance comme All In One WP.
Préserver l’intégrité de votre serveur et de vos autres sites
Parlant d’hébergeur, veiller à la bonne santé de votre site WordPress, c’est aussi veiller à la bonne santé du serveur sur lequel peut être hébergé d’autres sites Internet vous appartenant.
Un virus à l’intérieur de l’un de vos sites, c’est comme une épidémie : il peut très vite se répandre à toutes vos autres données par la brèche ouverte.
Les scans anti malwares de votre hébergeur peuvent vous aider à identifier des fichiers qui ne devraient pas être là ou les injections de code malveillants dans vos fichiers WordPress. Ce sont des problèmes que l’on retrouve le plus souvent et qui peuvent saboter votre référencement naturel, ces derniers servant souvent à générer des liens de spams.
Au début de ma carrière en agence, nous devions vérifier manuellement chaque fichier pour débusquer les infiltrations, un travail fastidieux et souvent faillible. Aujourd’hui, les outils automatisés rendent cette tâche bien plus efficace.
Quand ce genre de souci arrive, il reste important de changer les accès à votre base de données et à votre serveur FTP (l’accès qui permet de consulter les fichiers internes à votre site WordPress) au cas où les mots de passe auraient été compromis.
Sans ça, le problème risque de revenir.
La prévention, la clé d’un site sécurisé
Vous l’avez compris, la maintenance technique, ce n’est pas seulement appuyer sur le bouton des mises à jour, d’autant que cela peut être automatisé aujourd’hui. Il s’agit avant tout de bonnes pratiques et de prévention.
Si vous souhaitez assurer votre maintenance technique vous-mêmes, voici mes 10 recommandations :
- Sécuriser d’emblée vos accès administrateurs avec des mots de passe renforcé et une double authentification.
- Ne stockez pas vos mots de passe administrateur sur votre navigateur.
- Installer des plugins de sécurité si des outils ne sont pas déjà présents sur votre serveur.
- Opter pour un hébergeur spécialisé WordPress comme Hostinger, lequel vous facilitera beaucoup la tâche.
- Performer régulièrement des scans de sécurité.
- Changer vos accès à votre base de données SQL et votre serveur FTP en cas de suspicion de compromission.
- Gardez une bonne hygiène web sur le PC que vous utilisez pour gérer vos serveurs et votre site Internet.
- Faites une veille technique sur les extensions et les thèmes que vous utilisez : les failles de sécurité peuvent venir de là aussi.
- Faites vos mises à jour régulièrement.
- Programmez des sauvegardes très régulières, idéalement sur deux emplacements différents.
Avec ces bonnes pratiques, vous devriez vous prémunir du gros des problèmes. En cas de piratage ou de crash, vos sauvegardes peuvent sauver littéralement vos données. C’est une excellente pratique à mettre en place à la fois pour vos données web, mais aussi personnelles et professionnelles enregistrées sur votre ordinateur.
Et si vous craignez que vos données aient leaké quelque part sur le web, je vous recommande l’excellent site have i been pwned? qui recense les failles de sécurité et vous permet d’analyser votre adresse e-mail.