Mettre à jour WordPress : quel intérêt?

Publié le 11 juillet 2011 Développement WordPress

Et voici encore une mise à jour de notre CMS préféré: WordPress 3.2 est en effet sorti en début de semaine dernière !

Après WordPress 3.1, une nouvelle mouture vient donc de voir le jour et les webmasters sont invités à l’installer au plus vite. Tout en étant un véritable atout, ces nouvelles moutures commencent à devenir lassantes auprès d’une partie de la communauté…

Des mises à jour rapprochées

Parfois, on a l’impression de faire cela tous les jours. Les mises à jour de WordPress se suivent et se ressemblent, à tel point que certaines sont très proches les une des autres. Quelques chiffres pour mieux s’en rendre compte :

  • Déjà 8 mises à jour en 2011, soit plus d’une par mois.
  • 5 mises à jour dans les 3 derniers mois.
  • 2 Mises à jour majeures (WordPress 3.1 et 3.2) en moins de 5 mois.

Autrement dit, cela va vite, très vite. C’est d’ailleurs beaucoup plus rapide qu’avant : il est loin le temps où il n’y avait que 8 mises à jour par an (comme en 2010), comme le montre cette petite infographie :

Historique des versions de WordPress
L’historique des versions de WordPress

Souhaitées ou non, les nouvelles versions de WordPress s’enchainent les unes après les autres pour notre plus grand bonheur et notre plus grand malheur à la fois…

De nouvelles fonctionnalités pour WordPress

Chaque grande version apporte son lot de nouveautés. WordPress 3.1 avait ajouté la barre d’administration, les Custom Post Type ainsi que les formats d’articles. La version 3.0 avait permis d’ajouter la gestion des menus et du multi-site. Et ainsi de suite… Chaque version majeure a donc pour but d’améliorer l’outil pour qu’il soit plus complet, plus ergonomique et plus rapide. Autrement dit, chaque webmaster a intérêt à faire la mise à jour pour profiter d’un WordPress plus puissant et performant.

Et les versions mineurs se succèdent également à grands pas. L’unique différence, c’est que les petits mises à jour (par exemple WordPress 3.0.5 ou WordPress 3.1.1) servent en général à corriger des bugs bloquants ou à améliorer la sécurité. Ces mises à jour semblent presque à chaque fois « obligatoires » pour celui qui gère le site, sous peine de prendre le risque de perdre des données et de se faire pirater !

Au passage, je tiens à saluer les développeurs qui ont (enfin) eut l’idée de ne remplacer que les fichiers mis à jour par la version la plus récente. Car avant, un upgrade remplaçait l’intégralité des fichiers de l’installation, même si certains n’avaient pas été modifiés dans la mise à jour…

Un agacement de la communauté

Là où le bât blesse, c’est que trop de mises à jour tuent les mises à jour.

Mettre à jour un blog WordPress est certes une chose facile à faire et rapide (surtout avec les dernières versions), mais cela devient très vite contraignant quand on fait beaucoup de mises à jour à réaliser en peu de temps : je me rappelle que mon record avait été de 3 mises à jour du CMS en moins de 3 semaines…

Pire encore, le CMS WordPress est souvent utilisé par les professionnels, qui doivent parfois mettre à jour des dizaines et des dizaines de sites à la fois, ce qui représente une perte de temps considérable…

Et au delà des versions majeures, la plupart des petites mises à jour doivent être faites pour éviter tout piratage, ce qui souligne par ailleurs le risque encouru d’utiliser un CMS open source. J’en avais d’ailleurs parlé rapidement sur Presse Citron il y a quelques temps de cela (cf. WordPress est-il un danger pour la sécurité).

Si la mise à jour n’est pas faite, le risque (faible) est qu’un pirate utilise la faille qui aura été expliquée en détail sur le site officiel… Il pourra alors hacker tous les sites qui n’auraient pas encore fait la mise à jour. Les nouvelles versions qui sortent deviennent donc une véritable contrainte en temps, et en perte d’argent…

Faut-il mettre à jour WordPress ?

La question vient donc tout naturellement à la fin : faut-il mettre à jour WordPress quand une nouvelle version vient de sortir ? Ma réponse est double : Oui, et non…

Oui, car les nouvelles versions sont (théoriquement) plus sûr. Elles sont également plus complètes, plus ergonomiques et plus rapides. La communauté de WordPress fait en général en sorte que chaque upgrade ait un réel intérêt pour l’utilisation du CMS. Par exemple, la dernière version 3.2 a considérablement amélioré l’administration de WordPress, la rendant plus fluide et facile à utiliser. Et la réponse est encore oui pour les mises à jours mineurs, car cela protégera votre blog contre certains types d’attaques.

Non, car bien souvent c’est une perte de temps. Je m’explique : si votre site fonctionne parfaitement tel qu’il est, les versions majeures ne vous apporteront rien. Pire même, elles peuvent planter votre site en fonction des incompatibilités avec certaines plugins. Il faut donc faire attention lors de chaque mise à jour. De même, une mise à jour de sécurité est parfois inutile. Par exemple, les derniers correctifs corrigeaient des failles concernant des utilisateurs « Auteur ». Mais bien souvent, il n’y a qu’un utilisateur sur un blog WordPress (l’administrateur), donc le risque est nul de la part de failles sur les auteurs…

Oui et Non sont donc deux réponses qui se valent : à vous de voir si cela vaut le coup ou non, ou s’il ne vaut pas mieux attendre pour effectuer plusieurs updates en même temps.

Et vous ? Que pensez-vous de ces mises à jours fréquentes de WordPress?

Daniel Roch

Fondateur, conférencier, auteur, consultant et expert SEO WordPress

42 Commentaires

Johan Le 11 juillet 2011 à 9h39
Je trouve que le rythme de mise à jour n'est pas forcément très régulier et 8 mises à jours par an ne me semble pas excessif d'autant plus qu'un mise à jour, cela signifie cliquer sur un bouton.
Du coup pour moi ces mises à jours sont obligatoires, mais je n'ai que 2 serveurs à mettre à jours et très peu de plugins qui peuvent causer des soucis.
Si il y a un problème avec un plugin, je le désactive le temps d'un correctif qui est généralement rapide à venir.

Pour ceux qui ne veulent pas s’embêter à mettre à jour tous leurs sites, pourquoi pas mais il est préférable de cacher la version de WordPress pour tenter de faire illusion... Ce n'est pas une bonne solution, mais c'est mieux que rien !
Vincent Le 11 juillet 2011 à 10h25
Je te remercie pour cet article qui ne m'aide pas dans ma réflexion mais souligne oh combien il est tentant de réaliser les mises à jour pour bénéficier de la dernière version! Mais aussi oh combien il est risqué de le faire, comme tu le dis si bien au risque: "d'incompatibilités avec certains plugins". Bref, je reste perplexe quant aux m.a.j. systématiques et attends de mon coté un réel chamboulement pour faire la prochaine.
Cristophe Le 11 juillet 2011 à 10h35
Je trouve les mises à jour fréquentes de wordpress rassurantes : elles montrent une certaine vivacité de la part de ses développeurs.
Je pense qu'il faut toujours faire les mises à jour car même un petit blog perso (comme le mien) peut être cible de hackeurs (sans pour autant tomber dans la paranoïa).
Quant à savoir si une mise à jour de sécurité est inutile dans son cas ou non, il faut se renseigner sur la teneur de la mise à jour et en comprendre la portée...Est-ce toujours le cas ?
Nicolas Le 11 juillet 2011 à 10h37
Ne pas mettre son WP à jour, c'est la garantie de se retrouver avec un site piraté sous quelques semaines.
chamomor Le 11 juillet 2011 à 11h18
Salut
Effectivement, en tant que professionnelle, cela devient difficile pour moi. Il va falloir que je modifie mes prix de maintenance à la hausse. Il faut s'ajuster comme ça plutôt que ne pas mettre à jour.
C.BENOIT Le 11 juillet 2011 à 11h53
En accord avec Daniel, je subis les mises à jour de Wp même si je les apprécie beaucoup.
Tous les hébergeurs ne permettent pas la fameuse installation depuis le back office en 1 clic et pour les install clients, il faut être prudent : sauv FTP, sauv BDD, vérification compatibilité des plugins, install mise à jour, test de l'ensemble, information au client des diiférences...

Si tout se passe bien tant mieux. Si pas de bol, le thème utilise une fonction qui n'est plus supportée (par exemple), on y passe un peu plus de temps. Et si les modifs du back office sont trop importantes, certains clients préféreraient rester avec la version antérieure.

Même si le process est optimisé, on perd vite un temps certain quand on gère plusieurs dizaines de sites WP.
Pierre Le 11 juillet 2011 à 11h56
Sujet tout à fait d'actualité étant donné la place prise par WP et la fréquence des mises à jour.

Je ne partage pas l'idée que le risque est faible de se faire pirater si la version comporte des failles. Nous avons déjà relevé des dizaines de sites clients injectés car non mis à jour. Les traces de scanners cherchant à exploiter les failles WP sont relevées en général sous 24h max quand un souci est annoncé publiquement.

Nous avons clairement pris le parti de mises à jour le plus rapides possibles des sites WP que nous gérons. Plusieurs centaines de sites professionnels, mais nous avons créé des outils sur-mesure qui surveillent et interviennent justement pour cela. C'est notre vraie valeur ajoutée en tant qu'agence Web: l'hébergement ne vaut plus rien, mais avoir un service compétent qui surveille et met à jour votre site CMS est une grande valeur étant données les conséquences possibles.

Nous allons d'ailleurs lancer un service de création de sites vitrines pour PME qui est axé sur ce contrat: on crée pour vous, puis on gère tout. Trop de professionnels ont signé avec ces agences douteuses qui les abandonnent dès le montant indécent du contrat encaissé.

Pour info masquer la version de WordPress est impossible.

Pierre, NetAgence.com, Rennes.
alex Le 11 juillet 2011 à 13h26
"Et au delà des versions majeures, la plupart des petites mises à jour doivent être faites pour éviter tout piratage, ce qui souligne par ailleurs le risque encouru d'utiliser un CMS open source"


Les risques sont les mêmes ou peut-être il y en a plus lorsque l'on utilise des CMS (ou logiciels) "closed source".

"De même, une mise à jour de sécurité est parfois inutile. Par exemple, les derniers correctifs corrigeaient des failles concernant des utilisateurs "Auteur". Mais bien souvent, il n'y a qu'un utilisateur sur un blog WordPress (l'administrateur), donc le risque est nul de la part de failles sur les auteurs..."


Les deux dernières versions corrigent beaucoup plus de problèmes de sécurité (importants) que ceux qui ont été mentionnés dans les annonces des mises à jour. L'on n'a pas publié plus de détails pour éviter attirer l'attention des "script kiddies".

Pour pouvoir affirmer "qu'une mise à jour de sécurité est parfois inutile", vous devriez vraiment être capable de déterminer les conséquences des modifications faites dans une nouvelle version (en regardant le code). L'on ne peut pas se baser sur un article pour dire qu'une mise à jour ne sert pas à grand chose.

Enfin bref, ce que j'ai envie de dire est que l'on devrait toujours mettre à jour nos sites.
Djolhan Le 11 juillet 2011 à 13h47
Personnellement, je met systématiquement à jour mes wordpress et n'ai pour le moment jamais eu de soucis particuliers.

Par contre, effectivement, la ou cela devient problématique (et ce n'est pas mon cas) c'est pour les webmasters qui utilisent beaucoup de modules et qui ne sont pas forcément suivis par leurs auteurs.
Mélanie Le 11 juillet 2011 à 13h50
C'est la base même de l'administration système. Quand je mets pas les sites à jours, c'est que je suis flemmarde.

Et la procrastination ne paie pas, car upgrader de 4 versions d'un coup, c'est 4 fois plus de chance d'avoir des erreurs...

Quand à l'upgrade multisite, alors il vaut mieux avoir un système pour tout upgrader d'un coup.

La mise à jour par SVN est adaptée, là aussi.
Strategio Le 11 juillet 2011 à 14h02
J'essaie de suivre les mises à jour en prévoyant à chaque fois du temps devant moi au cas où... C'est vrai que parfois, la mise à jour montre des incompatibilités et plante le site.

Globalement, je trouve que les mises à jours sont un peu trop fréquentes. On a même plus le temps d’apprécier les nouvelles fonctionnalités (et de s'habituer) qu'il faut déjà en utiliser de nouvelles. Résultat, les thèmes devraient être re-codés tous les 6 mois.

On constate le même phénomène d'accélération des mises à jour sur d'autres CMS comme PrestaShop par exemple.

C'est la course à la technologie, difficile de suivre !
LaurentB Le 11 juillet 2011 à 14h27
Il fût un temps où je possédais plusieurs dizaines de sites (tous vendus) et la plupart étaient sous WP.
Si je devais suivre le rythme de maj, ça aurait été l'enfer.
Maintenant, pour 1 ou 2 blogs, c'est tout de même parfaitement faisable. Même si j'avoue que ce rythme effréné est surprenant.
Benoit Le 11 juillet 2011 à 14h37
C'est un grand débat, qui me rappel également un autre open source: firefox. On est passé de la version 3 à la version 5 en très peu de temps. A peine nous prenons le temps de faire les corrections dues aux mises à jour qu'une nouvelle pointe le bout de son nez...
Djolhan Le 11 juillet 2011 à 14h47
@Strategio : Tu ne crois pas si bien dire, mon agence développe des modules prestashop et leurs mises à jour invalident les modules tellement rapidement qu'il faut les refondrent presque totalement à chaque fois... Difficile donc de faire un réel suivi de nos modules sans devoir dépenser des sommes monstrueuse en développement et conserver des prix abordables.

Ne parlons même pas de l'intégration des thèmes.
Olivier Clemence Le 11 juillet 2011 à 15h26
Complètement d'accord avec cet article. Je pense que les dev de wordpress devrait limiter les maj du cms quitte a ne pas rendre publique les failles dans un premier temps.
Cédric G. Le 11 juillet 2011 à 15h41
Bonjour

Pour ma part j'avoue que depuis plus de 10 ans, sauf GROS risque (ce qui n'est jamais arrivé) je ne procède pas à une mise à jour qui risque de plomber un site en production.

Ici on parle de Wordpress, mais quand vous avez typiquement une boutique en ligne avec 4 salariés derrière et +1000 produits, je suis désolé mais une mise à jour ne PEUT PAS être appliquée tous les 4 matins (d'autant que sur de nombreux CMS les risques de compatibilité sont parfois énormes...)

En ce qui concerne Wordpress, là où cela se complique fortement c'est lorsque l'on utilise un template (fut-il codé maison ou pas) et des plugins (idem) qui n'ont pas forcément une bonne rétro-compatibilité. Ce fut mon cas lors du passage de la v2.9.2 à la v3.0 (catastrophique sur l'un de mes sites).

Je préfère donc blinder au maximum la sécurité des sites quand c'est possible, avec un certain nombre de bonnes pratiques, et procéder à des sauvegardes quotidiennes, que de perdre des heures chaque mois dans des mises à jour qui n'apporteront concrètement... rien.

C'est un risque mesuré, mais que j'assume parfaitement. Entre perdre des fonctionnalités (ou du CA dans le cas d'un site commercial) à cause d'une MAJ hasardeuse et courir un risque réel mais infime de hacking, je préfère le second.
Le Juge Le 11 juillet 2011 à 17h01
Salut Daniel,

J'avoue que je suis un poil frustré sur le coup ... par rapport a la version 3.2. Car comme ils disent sur twitter c'est un peu uen réponse de normand tout ca.

A ton avis la 3.2 ca vaut le coup ou pas?
NetAgence Le 11 juillet 2011 à 17h05
quitte a ne pas rendre publique les failles dans un premier temps

Sauf que l'on parle de découvertes par des tiers, heureusement parfois bien intentionnés. Le monde des développeurs et admins serait beau si seul le concepteur d'un produit pouvait révéler ses failles ;-)
C'est vrai que c'est inextricable pour un prestataire: passer à une nouvelle version nécessaire peut demander un travail en plus, assez incontournable - alors qui le supporte ? Là encore les contrats clients doivent etre clairs sur qui fait quoi, pour quelle durée etc. Preuve aussi q'un hébergement seul à quelques euros par an c'est bien beau mais incensé pour un site moderne.
Je maintiens qu'il n'y a pas un risque infime de se faire pirater un site s'il a des failles connues. Les outils d'analyse que nous avons pourraient etre utilisés par des scripts kiddies et faire très mal.

A mon avis les soucis avec WordPress n'ont rien à voir en nombre et ampleur avec effectivement ce qu'implique une évolution par exemple de Prestashop, où on a intéret à avoir de bonnes méthodes et outils de versionnement...

Des mises à jour fréquentes soulignent aussi un projet élaboré et actif, vu les nombreuses et puissantes fonctions de WordPress et Prestashop quand on y pense, de telles applications sont forcément complexes, mais leurs avantages énormes en contrepartie.

Et juste pour dire aussi qu'on ne peut pratiquement pas masquer sa version de WordPress, enlever la ligne qui affiche la version en en-tete ne donne qu'un faux sens de protection, ce qui en sécurité est pire que pas de protection du tout ;-)
Stéphane Le 11 juillet 2011 à 19h34
Je rejoins le commentaire de @Cedric G.

La problématique d'un site qui fonctionne bien et qui risque d'avoir des soucis de compatibilité avec une nouvelle version, ce n'est pas une vue de l'esprit.

Alors, oui, on peut partir dans la psychose du piratage, c'est un argument vendeur. Soit.

Bon, maintenant, si on parle piratage, on peut parler aussi du serveur, et ainsi de suite. Le risque zéro en informatique, c'est juste une chimère.

A mon sens, la vraie soluce, c'est un bon backup des familles qui se fait en fonction de l'activité du site.

Car on peut chercher à tout blinder, mais si vous tombez face à un génie, bon courage.

Un bon backup, et en quoi ? 10 à 15 minutes votre wp est sur pied.

En ce qui me concerne, je commence à ne plus en pouvoir de toutes ces mises à jour. Je me demande d'ailleurs si les petits gars qui font du plugins vont pouvoir suivre.

Cette politique risque de porter préjudice à WordPress. Je préférerais largement un cycle plus long mais avec de vraies évolutions et une bonne intégration de ces dernières. Parce que les Custom Post Types, là, les gars ont fait la moitié du boulot à mon avis.

Je crois, pour finir, que chacun doit adapter sa politique de MAJ en fonction de ses besoins.
Thomas Le 12 juillet 2011 à 0h01
Bonjour et merci pour cet article intéressant qui soulève des problématiques d'actualités.

Pour ma part, je dois dire que nous avons énormément de sites qui fonctionnent sous Wordpress et la mise à jour de ceux-ci nécessitent effectivement une assiduité et un suivi très régulier.

Considérez comme une perte de temps par certains, nous pourrions être tenter de passer outre la mise à jour, mais s'assurer de la veille technologique lorsqu'on est une web agency c'est aussi remplir le contrat qui nous engage avec le client.

On pourrait être tenté de se dire par exemple: "ce patch ne corrige qu'une faille de sécurité mineure qui ne me concerne pas", mais en étant propulsé par une version obsolète, d'autres failles finissent par faire leur apparition.

Légalement, c'est donc un engagement qualité que pour ma part, nous avons fait: le choix de garantir un service durable dans le cadre d'un partenariat qui s'inscrit sur le long terme. La réponse est oui, et est systématique.

En revanche et avant d'installer les mises à jour sur nos sites, nous attendons toujours quelques jours avant de la déployer afin de s'assurer de sa stabilité.

Quant aux problèmes des plugins, je dirais que c'est se qu'on appelle le revers de la médaille. En travaillant avec de l'open-source c'est le genre de défis technique qu'on est appelé à résoudre; défis qui sont somme toute dérisoire s'il avait fallu développer un équivalent propriétaire. ;)

Après c'est mon avis, et je suis aussi complètement d'accord: "Il y a trop de mises à jour, Au Secours! ;)"
Nicolas Le 12 juillet 2011 à 3h34
C'est vrai que les mises à jour s'enchainent assez vite. Mais d'un point de vue sécurité c'est rassurant ;-)
Par contre en ce qui concerne les compatibilité avec les plugins cela devient vite un casse tête :-(
Gilles Le 12 juillet 2011 à 7h49
Heu merci pour vos sites pas à jour, j'irais faire un tour à la prochaine mise à jour histoire de voir si je peux pas faire mumuse...
Non sans déc : l'excuse de "site trop gros avec des salariés" ne tiens pas : si on vit grâce à un site web, on assume les mises à jour où on ne pleure pas si on se fait hacker...
Nicolas Le 12 juillet 2011 à 8h34
L'intérêt des mises à jour repose sur la sécurité.

Une possibilité d´injection SQL vise WordPress 3.1.3. Mise à jour obligatoire. K. Gudinavicius, membre du SEC Consult Vulnerability Lab, vient de mettre à jour une injection SQL visant les sites tournant sous WordPress 3.1.3.

http://www.zataz.com/news/21434/isql--injection-sql--wordpress.html
Daniel Roch Le 12 juillet 2011 à 8h54
A ce que je vois, les avis divergent sur la question de la mise à jour de WordPress.

@Le Juge : elle vaut le coup, surtout pour l'admin plus rapide et ergonomique. Mais on peut également très bien s'en passer. ;)
Alexandre Le 12 juillet 2011 à 9h11
Le rythme des mises à jour est véritablement trop grand. Impossible d'être en temps et en heure sur la totalité des sites Internet.

8 mises à jour en 2011... faudrait arrêter cette course. Derrière, il y a l'ensemble des problème de sécurité qui sont traité et j'en suis conscient. Il faudrait imaginer un nouveau système moins prise de tête et plus souple.
Stéphane Le 12 juillet 2011 à 11h19
Je ne sais pas si c'est rassurant en ce qui concerne la sécurité.

N'étant pas un expert dans ce domaine, je me demande tout de même s'il ne serait pas bon de se pencher sur la question en amont.

De plus, la sécurité du core, je veux bien, mais quand on sait que la plupart des plugins sont des passoires, y'a de quoi se demander si cet aspect sécurité est vraiment utile non ???

Sécuriser le core, ok. Mais si c'est pour laisser des plugins truffés de failles, moi je veux bien, mais même si le core est à jour, la faille est toujours présente...
Sébastien Le 12 juillet 2011 à 11h35
Le rythme des mises à jour de Wordpress est vraiment un problème surtout pour les sites / blogs qui ont beaucoup de contenus et beaucoup de plugins installés. Sans compter les incompatibilités avec les thèmes maison qu'il faut customiser quasiment à chaque fois pour conserver un bon fonctionnement.

Mais bon en même temps c'est vrai que si on veut conserver un certain niveau de sécurité, il n'y a pas cinquante solutions : il faut faire des backups régulièrement et installer toutes les mises à jour pour colmater les failles de securité.

Le juge : la dernière mise à jour de WP (3.2) vaut le coup. Au niveau esthétique, l'admin est beaucoup plus agréable.
Scitec nutrition Le 12 juillet 2011 à 14h34
La mise à jour des wordpress est un vrai casse tête.
Lorsque l'on doit gérer son forum, blog et ses communiquer on galère à trouver le temps pour la mise à jour !

Autrement il faut faire une pause sur le site. Ce qui n'est pas vraiment très bon !
Jimmy Le 12 juillet 2011 à 20h55
Personnellement, je préfère faire les mises à jours à chaque fois pour être à jour des nouvelles fonctionnalité. Bien sur il y a des mises à jour qui n'apporte rien, juste des corrections de bug mineur dont 99% des webmaster ignorait l’existence.Mais même celle ce je les fait car j'ai toujours peur de tout saboter en passant directement d'un version 1.2 à 10.2 !
Nicolas Le 13 juillet 2011 à 3h55
Juste pour vous faire rire !!!

WordPress 3.2.1 vient de sortir ... Pas encore en français, mais cela ne va certainement pas tarder.
Thomas CORDONNIER Le 13 juillet 2011 à 9h03
Effectivement en ce moment c'est un peu le grand n'importe quoi.
Quelques remarques supplémentaires.

D'abord la procédure "clic sur un bouton" ne marche pas à tous les coups. Déjà il faut avoir les bons droits partout mais surtout à la moindre erreur le site peut très bien ne plus redémarrer du tout. Perso je préfère ne pas l'utiliser, quand je veux mettre à jour je sauvegarde tout, je réinstalle et je restaure le wp-content.

Autre chose: je gère des blogs dans plusieurs langues et une chose qui n'est pas mentionnée ici, c'est que toutes les communautés Wordpress ne sont pas aussi réactives que la version française. Actuellement je préfère rester à la 3.1 plutôt que de mettre la 3.2 pour certaines langues et pas pour d'autres (interface comprise). Et j'ai installé la 3.1 partout à peine quelques jours avant la sortie de la 3.2 ___ rageant!
Johan Le 13 juillet 2011 à 9h44
En lisant tous vos commentaires, je me rends compte que le principal soucis est le temps que cela prend pour mettre à jour WordPress. Pourquoi ne pas développer un script Selenium qui mettrai à jour les sites les un après les autres de manière automatique ?
Ca pourrait se tenter rapidement... Après en cas de problème je reconnais que c'est réparation à la main, mais ca peut valoir le coup...

Sinon pour minimiser les problèmes lors des MAJ limitez le nombre de plugins :)

@Thomas CORDONNIER :
Ton argument sur les communautés qui ne sont pas aussi réactives est vraiment pertinent.
Laurent Le 15 juillet 2011 à 10h34
Compte tenu de la difficulté de mise à jours des plugins non contrôlable lors des mises à jour majeures de WP et des fois de la réécriture partielle du thème pour que des fonctions persos restent valides, ma stratégie est que je fais des mises à jours par grosse étape majeure.

Actuellement je suis en 3.0.4 (la 3.0.5 étant sortie bien trop tardivement), je vais faire la MAJ avec la dernière version la plus affûtée de la 3.1.4 (que j'ai téléchargé quand elle est apparue) en attendant que la 3.2 se fasse déboguer correctement et que les développeurs de plugin s'adaptent.

De cette manière, je bénéficie du meilleur "garanti et fiable" pour avoir le moins d'emmerdes possibles. De plus, cela permet aussi d'éviter la parution des nouvelles failles sur le codex pour cette version parce que tout simplement les développeurs sont à l'oeuvre sur la nouvelle version...

A la vitesse des parutions "majeures", je réduit ainsi considérablement un maximum de risque et le temps de travail associé tout en bénéficiant d'un WP qui tient la route et dont le "client" ne peut dire que je traine la patte...

Avancer lentement et sûrement (le fameux Hâtes-toi lentement) prend alors toute sa signification !
Pierre Rigal Le 22 juillet 2011 à 7h09
Assez d'accord avec les derniers commentaires. Une mise à jour à chaque version majeure c'est le plus pratique surtout pour un petit site.

Cela évite de bidouiller pour les plugins qui n'ont pas encore été mis à jour... (et cela est d'autant plus vrai pour les vieux blogs dont certains plugins ne sont plus maintenus et pour lesquels il faut souvent trouver des alternatives !)
BoiteaWeb Le 22 juillet 2011 à 22h11
Bonjour, j'apporte ma pierre à l'édifice.

J'ai plusieurs sites à gérer sous WP (seuls 2 des miens sont connus de tous, les autres sont des clients) et il est vrai que c'est parfois long.
Cependant vous pouvez aussi télécharger le zip des fichiers modifiés via le trac, voici un exemple :
http://core.trac.wordpress.org/changeset?format=zip&new_path=%2Ftags%2F3.2.1&old_path=%2Ftags%2F3.2
Avec ce lien, vous téléchargez le zip des fichiers touchés par les modifications apportées entre la 3.2 (variable d'adresse old_path) et la 3.2.1 (variable d'adresse new_path)
Le fichier fait 200ko au lieu de 4300ko !
Là vous gagnez du temps avec ça non ?

J'en viens à répondre à la question :
Oui, mettez à jour votre version de WordPress dès que possible, des vilains pas beaux hackers font tourner des scripts qui testent des failles récentes sur tout blog sous WordPress. Vous pensez que votre blog sur les poney blancs du skilanka ne sera pas la cible ? FAUX ! Si la faille est exploitable, il sera hacké, point.

Je rejoins ensuite Stephane de 4h18.com et en vient donc à parler d'une de mes activités : la sécurité des plugins.
Mettez AUSSI à jour vos plugins et essayer de les faire vérifier par une source sûre (autre que le développeur même). Ce serait dommage d'avoir un code WP à jour, et se faire pirater à cause d'un plugin (voir http://www.paulds.fr/2011/05/je-me-suis-fait-pirater-lol/ )

J'ai créé le plugin "BAW WPSC" afin que tout le monde puisse savoir si tel ou tel plugin est vulnérable ou non. L'intérêt du plugin n'est valable que si les audits sont réalisés, c'est pour cela que j'ai décidé il y a peu de temps de réaliser l'audit des 10 plugins les plus demandés via WPSC (voir http://4h18.com/2011/05/plugins-et-securite/). Et ils ont été audités (contact form 7, all in one seo, google xml maps) puis d'autres gros plugins m'ont commandé des audits de code (WPML, WPTouch) afin de s'assurer de leur sécurité (#teaser : aïe).

Etant développeur de plugin aussi, je peux vous assurer que WordPress a bien fait les choses pour que les plugins soient sécurisés, encore reste-t-il à utiliser ces fonctions ;)

Je me tiens à votre dispo sur twitter pour répondre à vos questions sur la sécu wordpress et ses plugins ou sur mes sites.
thierry Le 26 juillet 2011 à 15h45
c'est vrai que des mises a jour frequentes peuvent etre une galére , surtout si ces mises a jour ne se déroulent pas bien.
Au sujet de le securité dans wordpress,
il est important de modifier l'identifiant standard "admin" par un autre dans sa base de données ou dans le BOffice .
Thibaut Le 15 septembre 2011 à 10h54
En dehors des MAJ importantes de sécurité, je n'utilise pour les sites pros des clients que des versions M-2 ou -3, parfois même des versions plus anciennes. La stabilité prime largement sur les quelques améliorations que peuvent apporter une MAJ. Le déploiement immédiat de nouvelles versions est une aberration dans le monde pro.
JMS Le 30 septembre 2011 à 5h08
La mise à jour, pour moi, c'est toujours la roulette russe.
Ce qu'il faudrait de la part de la socité qui gère WP (Authentics me semble-t-il) c'est un classement des plugin par catégorie de version. On est toujours obligé de vérifier et c'est usant, quand on en cherche un. De plus, si on oublie de désactiver un plugin avant une MAJ, c'est la cata (All-in-SEO pour 3.2.1 avant la mise à jour du plugin, par exemple).

De même, les thèmes. Il va arriver à un moment, la même chose qu'à Microsoft, car des entreprises sont sur WP et ne veulent pas upgrader la totale, tout simplement parce que ça marche bien ainsi. Il va donc arriver un moment ou une équipe va continuer à développer verticalement pour une version antérieure.

J'ai attendu plusieurs versions avant de passer à la 3.2, justement parce qu'il y a toujours un possible plantage et que je ne pouvais me le permettre. Dans mon métier je fais tout, et je n'ai pas le temps parfois de venir faire tout ce travail.

Il faudrait justement, au lieu de faire des MAJ de MAJ de MAJ, attendre et faire une bonne grosse MAJ en ayant blindé toutes les failles. On s'en fout qu'il y ait toujours plus de fonctionnalités. Ce qu'on souhaite, c'est un truc solide, qui tourne et qui soit blindé. Point.

Mais les développeurs ont sans doute (mais c'est aussi leur job) la démangeaison du "toujours plus". Cette fuite en avant n'est pas forcément bénéfique.

XP en est le parfait exemple. On est arrivé à une maturité, de l'OS et des machines, et ça suffit pour faire la majorité des choses. Je suis passé à Seven et je ne compte pas passer à Win8.
De même, avant que je ne change récemment, mon portable a bien duré 5 ans.

A un moment, il faut s'arrêter, réfléchir, solidifier avant de passer à la recherche de fonctionnalités supplémentaires. Je ne suis pas contre le progrès, mais pour prendre le temps de bien assimiler les choses.
le comptoir web Le 17 octobre 2011 à 22h22
Alors oui en effet il y a de plus en plus de maj. Oui c'est effectivement barbant, notamment sur un grand nombre de site.
Mais la sécurité prime, enfin c'est mon avis ;) Et puis comme vous le soulignez, les maj ne sont pas longues et compliquées.
Après en effet le soucis d'incompatibilité des extensions est un problème, qui devrait être atténué et espérons le résolu, grâce à la mise à jour de la base de données officiel des extensions.
Donc oui et non, mais avec plus de oui pour moi ^^
Après des maj plus centralisées, je ne cracherai pas dessus ;) WP team si vous nous entendez ^^
Fab Le 24 novembre 2011 à 10h07
Salut Daniel, tout d'abord bravo pour la qualité de tes articles.

Une problematique relative aux MAJ...
Si tu ne mets pas à jour un blog WP tu t'exposes à certains risques. Si tu mets à jour, tu peux perdre l'ensemble du site pour des raisons d'incompatibilté entre par exemple le thème et le CMS. Soit. Ma question est si l'on ne souhaite pas faire de MAJ de wordpress parce que tout fonctionne correctement, ne penses-tu pas qu'il faut s'orienter vers un plugin firewall ?

De cette manière tu protéges ton site de toute attaque. Qu'en penses-tu ? Vois-tu d'autres solutions ?

Merci de ta réponse.
Daniel Roch Le 24 novembre 2011 à 12h23
@Fab : un site Internet ne sera jamais 100% sécurisé, d'autant que certains plugins WordPress de sécurité contiennent eux-même des failles. Là, il vaut mieux opter pour un backup régulier de son FTP et de sa base de donnée afin de se prémunir au mieux de tout type d'attaque.
Fab - Olabonga Le 24 novembre 2011 à 14h22
Ok, je te remercie pour le conseil.

J'effectuais déjà des sauvegardes régulières. Je vais persévérer dans cette voie.

Encore merci. Fabien

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *