Sécuriser Wordpress - Les mises à jour

Publié initialement à : https://korben.info/securiser-wordpress-les-mises-jour.html

S'il y a un aspect à ne pas négliger lorsque vous utilisez Wordpress, ce sont les mises à jour.

Bien faire les mises à jour de son Wordpress est la règle de sécurité N°1 !

En effet, dès qu'une faille est détectée dans le CMS, les développeurs de Wordpress la colmatent et publient une nouvelle version. Faire la mise à jour de Wordpress, c'est s'assurer que cette faille ne sera plus présente dans votre installation. D'ailleurs, plus votre Wordpress est ancien, plus vous prenez de gros risques donc n'hésitez pas.

Si vous craignez qu'en mettant à jour Wordpress, votre site "casse", je vous recommande vivement d'appliquer la procédure suivante avant une mise à jour.

  • Sauvegardez l'ensemble des fichiers de votre site
  • Sauvegardez la base de données
  • Désactivez l'ensemble des plugins
  • Mettez à jour Wordpress
  • Testez votre site pour voir si la mise à jour a fonctionné
  • Réactivez les plugins un par un en testant votre site entre chaque réactivation.

Ainsi en cas de pépin, vous saurez quel plugin pose problème ou vous serez capable de restaurer rapidement une sauvegarde de votre site et/ou de votre base de données.

Je vous rassure, en général, ça se passe toujours très bien et quand il y a un souci, ça vient d'un plugin dans 90% des cas, mais ce n'est pas une excuse suffisante : Faites une sauvegarde avant chaque mise à jour !

Notez aussi que depuis la version 3.7 de Wordpress, la mise à jour manuelle n'est plus nécessaire. En effet, Wordpress se mettra à jour tout seul. Si cela vous inquiète et que vous souhaitez désactiver cette mise à jour automatique pour réaliser uniquement des mises à jour mineures ou des mises à jour manuelles, voici comment faire :

Éditez le fichier wp-config.php situé à la racine de votre installation, et ajoutez l'une des lignes suivantes en fonction de ce que vous voulez faire :

Autoriser TOUTES les mises à jour automatiques (majeures et mineures) :

define( 'WP_AUTO_UPDATE_CORE', true );

Autoriser uniquement les mises à jour mineures en automatiques

define( 'WP_AUTO_UPDATE_CORE', 'minor' );

Interdire toute mise à jour automatique

define( 'WP_AUTO_UPDATE_CORE', false );

wpconfigupdatefalse

À la limite, c'est tout ce que vous avez besoin de savoir si vous débutez. Mais si vous êtes joueur, sachez qu'il est possible aussi, via la mise en place de filtres dans le fichier function.php de votre thème, d'autoriser uniquement la mise à jour automatique des plugins ou des thèmes.

Je ne vous recommande pas de le faire. Il vaut mieux vous fassiez vos mises à jour manuellement. Toutefois, pour votre culture générale et pour les gens qui sont tête en l'air, voici comment désactiver les mises à jour du noyau Wordpress et activer uniquement les mises à jour automatiques des plugins et des thèmes.

Pour désactiver toutes les mises à jour (majeures, mineures, plugins, thèmes, traduction), ajoutez le filtre suivant. Ça a le même effet que le paramètre WP_AUTO_UPDATE_CORE à "false" comme expliqué ci-dessus :

add_filter( 'automatic_updater_disabled', '__return_true' );

Les mises à jour majeures automatiques ne sont pas activées par défaut (ouf !), mais si vous voulez les activer, ajoutez le filtre suivant :

add_filter( 'allow_major_auto_core_updates', '__return_true' );

Par contre, les mises à jour mineures automatiques sont quand à elles, activées par défaut. Pour les désactiver, utilisez le filtre suivant :

add_filter( 'allow_minor_auto_core_updates', '__return_false' );

Par défaut, les mises à jour automatiques des plugins et des thèmes sont désactivées. Pour activer les mises à jour automatiques des plugins, utilisez le filtre :

add_filter( 'auto_update_plugin', '__return_true' );

Pour activer les mises à jour automatiques pour les thèmes, utilisez le filtre :

add_filter( 'auto_update_theme', '__return_true' );

Pour les fichiers de traduction, la mise à jour est automatique par défaut donc vous n'avez pas besoin de l'ajouter. Mais si vous voulez la désactiver, ajouter le filtre suivant :

add_filter( 'auto_update_translation', '__return_false' );

Vous l'aurez compris, ce système de filtre a été pensé pour embrouiller les débutants ;-) Mais il est très puissant pour faire de la mise à jour "à la carte".

Je vous recommande encore une fois de pratiquer des mises manuelles et fréquentes de vos plugins, thèmes et noyau Wordpress, de faire des backups et de désactiver toute mise à jour automatique pour éviter les mauvaises surprises. Après si vraiment vous êtes toujours en retard dans vos mises à jour, il vaut mieux automatiser celles-ci et se reposer sur des backups fréquents en cas de pépin, que de laisser l'opportunité à des pirates de vandaliser votre site ou votre serveur. À vous de voir.

Comme pour le noyau Wordpress, la mise à jour des thèmes et des plugins est indispensable. Pensez donc bien à surveiller les mises à jour proposées et faites-les le plus rapidement possible.

Si vous craignez qu'un plugin se casse suite à une mise à jour de Wordpress, surveillez son taux de compatibilité remonté par la communauté. Pour cela, rendez-vous sur la page Wordpress de l'extension et regardez la zone "Compatibilité" dans la colonne de droite. Si c'est vert, vous pouvez y aller les yeux fermés ! Si ce n'est pas vert, mais jaune, c'est sans garantie. Et si c'est rouge, vous rencontrerez des problèmes à coup sûr !

wpplugin

Dans la série, Sécuriser WordPress: