Pourquoi faire les mises à jour WordPress, thème et plugins ?
Faites vos mises à jour WordPress pour la sécurité et la pérennité de votre site.
Les mises à jour thèmes, plugins ou core WordPress ne font pas qu’apporter des nouveautés et des changements, elles maintiennent la sécurité et le bon fonctionnement (correctifs et fix) de chacun, améliorent le fonctionnement de chaque élément et assurent la compatibilité de l’ensemble.
La majorité des sites piratés le sont car le thème, un plugins ou même le noyau WordPress n’a pas été mis à jour alors qu’une faille de sécurité est connue et exploitée. Si vous bloquez les mises à jour, un jour ou l’autre votre sécurité sera compromise.
Nota: il s’agit toujours d’une course entre pirates et systèmes de sécurité; il faut être conscient que, même en étant à jour, vous avez un petit risque de piratage. Le risque devient énorme lorsque vous n’êtes pas à jour. Les failles révélées sont exploitées via des bots qui systématisent la recherche. Lorsque vous surveillez votre site vous pouvez voir des bots tester en masse des failles anciennes (et pour certaines très anciennes).
Les différentes mises à jour WordPress.
Les équipes de développeurs WordPress, core, thèmes et plugins catégorisent les mises à jour afin de bien identifier les urgences (problème de sécurité).
4 types de mises à jour sont identifiées sur WordPress :
- Mises à jour Core/Noyau (concerne WordPress uniquement)
- Mises à jour des plugins
- Mises à jour du thème
- Mises à jour des fichiers de traductions
En théorie, les mises à jour de traduction se font en automatiques, en théorie car j’ai constatée que certaines doivent se faire en manuelle.
Par défaut, les mises à jour de thème ne sont pas en automatique, vous devez les pousser à la main. Vous avez aussi la possibilité d’activer les mises à jour automatiques pour TOUS les thèmes via un filtre php.
Les mises à jour de plugins sont, eux, paramétrables via le menu des extensions, soit poussées à la main soit automatiques, définissable un par un (sauf si le plugins l’interdit).
Pour les mises à jour de WordPress proprement dit vous avez 3 états possibles : uniquement mineures et sécurité, toutes, aucune.
Passer de mineures à toutes se fait dans la page des mises à jour
Par contre, pour désactiver complètement les mises à jour du noyau il vous faudra passer par une insertion de ligne dans le fichier wp-config.php :
define( 'WP_AUTO_UPDATE_CORE', false );
WP_AUTO_UPDATE_CORE supporte trois valeurs au comportement différent :
- Valeur true – Les mises à jour de développement, mineures et majeures sont toutes activées
- Valeur false – Les mises à jour de développement, mineures et majeures sont toutes désactivées
- Valeur ‘minor’ – Les mises à jour mineures et sécurité sont activées, les Les mises à jour de développement et majeures sont désactivées.
Une ligne permet de tout désactiver sécurité comme majeur, thème, traduction, plugins, core :
define( 'AUTOMATIC_UPDATER_DISABLED', true );
Pour en savoir plus sur la configuration des mises à jour et les possibilités d’activation et de filtres se reporter au codex WordPress
Dans quel ordre faire les mises à jour WordPress, thème et plugins ?
Parce que les uns et les autres sont liés, il faut comprendre lesquels sont dépendants d’un autre. Les dépendants (add-ons) sont à mettre à jour avant le plugins ou le thème dont ils dépendent.
C’est le cas des plugins qui ne fonctionnent qu’avec un autre plugins (add-ons d’Elementor par exemple, les plugins compagnons des thèmes, les add-ons à Woocommerce…). D’ailleurs en parlant de Woocommerce, mettez le à jour après tous les autres, même après ceux qui ne dépendent pas de lui.
De fait les éléments de WordPress doivent être mise à jour dans cet ordre :
- Add-ons
- Plugins
- WooCommerce
- Thème
- WordPress
Quand et comment faire les mises à jour WordPress, thème et plugins ?
Quand faire les mises à jour WordPress, thème et plugins ?
Les mises à jour contenant des correctifs de sécurité sont à faire immédiatement. Alors il faut savoir que les mises à jours de sécurité devraient être clairement annoncées dans la présentation de la mise à jour. L’équipe du noyau WordPress le fait, certains développeurs thème ou plugins le font (et il faut les saluer), mais beaucoup planquent l’énoncé du correctif au fin fond du log. C’est un problème de mentalité qui a du mal a évolué. Donc n’hésitez pas à aller lire les log de mises à jour, abonnez-vous aussi au news des systèmes de surveillance comme Wordfence ou itheme secury, ils donnent régulièrement la liste des failles détectées, corrigées ou pas.
Pour les plugins et les thèmes, s’il n’y a aucune urgence de sécurité, attendez une bonne semaine, vérifiez que les add-ons sont eux aussi mis à jour, qu’il n’y a pas de séries de problèmes remontés sur les forums des développeurs.
Pour le noyau WordPress (sauf correctifs de sécurité), attendez une bonne semaine et, au moins pour les versions majeures, assurez vous que plugins et thèmes ont été mis à jour, en général les développeurs modifient l’inscription de compatibilité à la dernière version WordPress.
Comment faire les mises à jour WordPress, thème et plugins ?
Le mieux étant bien sur de pouvoir tester les mises à jour sur un clone de votre site avant de les faire sur le site en production.
Quoiqu’il en soit, avant tout, faites une sauvegarde globale : base de donnée et fichiers, éventuellement doublez par une sauvegarde manuelle via votre hébergeur (mieux vaut la ceinture et les bretelles…)
Ne sélectionnez pas tous les plugins en une seule fois, faites les mises à jour un par un en respectant l’ordre des dépendances. Si vous faites la mise à jour d’un plugins important, vérifiez que tout est en ordre avant de continuer.
Certaines mises à jour de plugins demanderont des mises à jour de base de données, attendez qu’elle soit terminer avant de continuer.
Une fois plugins et thème à jour videz bien vos caches serveur et pc, et vérifiez que tout fonctionne avant de faire la mise à jour WordPress.
N’hésitez pas à aller lire les logs des mises à jour pour voir les modifications qui ont été apportées, avant de paniquer parce que quelque chose n’est plus à sa place.
Vous hésitez à faire vous-même vos mises à jour ?
Vous êtes anxieux à l’idée de faire les mises à jour de votre site. Venez en discuter, je peux vous proposer un contrat de maintenance ou du coaching de maintenance pour sécuriser l’opération.
