Pourquoi et comment assurer la maintenance de son site WordPress ?

La maintenance est un concept qui touche tous les métiers. Vous ne monteriez pas dans un grand huit si aucun technicien n’est là pour veiller à sa sûreté. Vous ne devriez donc pas acheter des produits sur un site e-commerce si personne n’est là pour s’assurer que vos numéros de carte bleue ne finiront pas dans la nature.

Les usages, technologies et infrastructures sont en perpétuelles évolution depuis la naissance du Web. De manière générale, les experts en sécurité et les hackers jouent au chat et à la souris depuis près de 60 ans.

La maintenance “préventive” d’un site vise avant tout à le sécuriser par la mise à jour technique (infrastructure serveur, CMS, plugins, développement sur mesure). C’est loin d’être suffisant, mais c’est un prérequis. Une maintenance régulière et bien effectuée doit permettre de réduire les failles de sécurité. Il n’est pas question de mettre en place des mesures de sécurité drastiques à un instant T, puis de les laisser devenir obsolètes au fur et à mesure de la vie du site.

Et en pratique ?

La maintenance d’un site doit être prise en compte dès sa conception. Les fonctionnalités et les technos choisies auront un impact sur la maintenance (au même titre que sur le temps de chargement d’une page, sur l’ergonomie, la compatibilité avec les différents navigateurs, etc.). Tout doit donc être réfléchi en amont et maîtrisé.

Que ce soit dans le cadre d’un développement d’un site sur-mesure ou réalisé à partir d’un thème, il est important d’appréhender cette dette technique. Les plateformes de templates regorgent souvent de thèmes WordPress proposant de très nombreuses fonctionnalités, accompagnés de dizaines de plugins. Mais un besoin (présenter son activité, générer des leads, vendre des produits) peut être réalisé de diverses manières. Par exemple, un simple slider peut être réalisé via des dizaines d’outils différents. Un système d’abonnement à la newsletter peut être facilement mis en place sans utiliser de plug-in.

De manière générale, moins il y aura de plugins, plus la maintenance sera facilitée. Mais il n’est pas non plus nécessaire de réinventer la roue à chaque fois et un développement spécifique peut aussi être plus compliqué à maintenir qu’un plugin connu et supporté par toute une communauté ou par un éditeur reconnu. C’est un équilibre qui ne sera jamais parfait mais qui doit toujours être recherché.

A noter que s’il faut passer par un développement spécifique, il est alors nécessaire de suivre le respect des standards de WordPress et du développement Web. On ne peut pas juste copier-coller un code trouvé sur codepen ou stackoverflow…

(visuel : https://www.monkeyuser.com/)

Ca y est, votre site est prêt à sortir. Vous en êtes fier, vous y avez mis tout votre coeur et vous espérez qu’il aura une longue et belle vie… C’est le moment de vérifier un certain nombre de mesures de sécurité avant de l’abandonner dans son futur environnement hostile.

WordPress intègre un certain nombre de mesures de sécurité mais cela ne suffit pas. Il faut avoir un mot de passe fort (pour éviter les difficultés de mémorisation, utiliser un gestionnaire de mot de passe), désactiver les commentaires si vous n’en n’avez pas vraiment l’utilité, cacher la version de WordPress… Il vaut toujours mieux prévenir que guérir. On conseille fortement de mettre en place et configurer un plugin de sécurité (gratuit ou payant), qui en fera beaucoup plus :

• SecuPress
• Sucuri
• Wordfence

(visuel : http://www.commitstrip.com/)

Une fois son site en ligne, la première étape d’une maintenance est d’être informé en cas de non disponibilité du site ou autre “bug”. Allez régulièrement sur votre site et vérifiez que tout fonctionne bien. Vous pouvez gagner du temps en mettant en place des outils de monitoring comme Uptime Robot vous permettant de réagir au plus vite. N’oubliez pas de vérifier aussi sa présence dans les moteurs de recherche. Plus vous réagirez vite en cas de problème, plus l’incendie sera simple à éteindre.

(visuel : https://xkcd.com/)

Tout ce qui peut avoir un impact sur un site (modification de contenus, mise à jour de plugins, attaque extérieure) peut nuire à l’intégrité des données (articles, commandes clients, contacts). C’est pourquoi il est nécessaire de réaliser des sauvegardes régulières !

La plupart des hébergeurs en proposent automatiquement, mais il est aussi possible d’en créer manuellement, via leur interface ou via certains outils (script, gestionnaire de bdd, ftp). Il est également possible de passer par un plugin qui pourra réaliser automatiquement des sauvegardes régulières et qui facilitera leur restauration :

• UpdraftPlus
• BackWPup

WordPress et ses extensions indiquent automatiquement les nouvelles versions disponibles. Ces mises à jour peuvent apporter de nouvelles fonctionnalités et corriger les bugs et les failles de sécurité qui ont été découverts depuis les versions précédentes. Il est donc nécessaire de garder un oeil sur les nouvelles mises à jour de manière régulière (1 fois par mois) tout en restant à l’affût en cas de mauvaise surprise (découverte d’une grosse faille, correction d’un bug bloquant…).

Avant de se lancer, il est nécessaire de vérifier plusieurs points pour ne rien casser :

• Il faut se renseigner sur les mises à jour, en lisant les notes de version et/ou en suivant les éditeurs sur leur blog/newsletter/réseaux sociaux (qu’est-ce que cette mise à jour apporte ? qu’est-ce qui peut créer un conflit avec le site ? est-ce une version mineure ou majeure ?). Une très bonne connaissance du site est nécessaire pour avoir une vision globale des conséquences potentielles des mises à jours.
• Il faut ensuite tester ces mises à jour, de préférence sur un autre site (préproduction ou staging). Il faut toujours mettre à jour le core WordPress avant les extensions pour éviter les conflits.
• Si tout est ok, il est temps de lancer une sauvegarde manuelle de son site, via l’hébergeur et/ou un plugin dédié.
• On peut maintenant lancer les mises à jour.

Mais attention, même si tout se passe bien, cela risque d’interrompre la navigation des utilisateurs pendant quelques secondes : il vaut donc mieux éviter de faire coïncider tout ça avec le lancement d’une newsletter ou d’un nouveau produit.

Si vous vous occupez de plusieurs sites WordPress, certains hébergeurs spécialisés proposent un panel de gestion permettant de centraliser leur gestion. Il existe des outils de management qui permettent de gérer cela de manière centralisée, tel que :

• ManageWP
• InfiniteWP
• MainWP

(visuel : https://loadingartist.com/)

Suivre ces recommandations permet de réduire les risques de dysfonctionnement et les failles de sécurité. Malgré tout, le risque 0 n’existe pas et n’oubliez pas la faille de sécurité énorme que constitue “l’interface chaise-clavier”.

(visuel : https://dilbert.com/)