Un site web est comme une maison ou une voiture, il ne suffit pas de l’acheter ou de le construire. Il faut l’entretenir régulièrement pour qu’il reste efficace.
WordPress est devenu la plateforme la plus populaire pour créer des blogs et des sites web de présentation parce qu’il est facile à utiliser mais aussi parce qu’il est extrêmement flexible, principalement grâce aux fonctionnalités offertes par les milliers de plugins supplémentaires (la plupart d’entre eux étant gratuits). Malheureusement, cette popularité combinée au fait que les sources de WordPress sont publiques (car il s’agit d’une plateforme à code source ouvert) a fait de WordPress la plateforme la plus attaquée par les pirates informatiques.
Formules de maintenance d’un site WordPress
Les formules sont diverses et varient en fonction de la complexité de chaque site WordPress, mais nous pouvons les diviser en quatre grandes catégories :
- maintenance de base
- maintenance préventive
- maintenance corrective
- maintenance évolutive
Entretien de base
La maintenance de base consiste à effectuer des sauvegardes régulières du site, c’est-à-dire de tous les fichiers qui le composent et de la base de données correspondante. Il est conseillé de conserver une copie de sauvegarde de votre site web lors de son lancement. Cependant, il est recommandé d’effectuer périodiquement des sauvegardes supplémentaires, dont la fréquence est dictée par la fréquence des modifications apportées au site (un site qui change tous les 6 mois ne nécessite que 2 sauvegardes par an, mais un site qui est mis à jour quotidiennement doit être sauvegardé beaucoup plus souvent). Ainsi, en cas de piratage du site, vous pouvez facilement le restaurer à l’aide d’une des sauvegardes disponibles.
Maintenance préventive
La maintenance préventive des sites WordPress fait référence aux opérations de maintenance effectuées à des intervalles prédéterminés. WordPress utilise des extensions, des modules et des plugins, des composants développés et régulièrement mis à jour par la communauté des développeurs de WordPress. Ces mises à jour sont destinées à corriger des erreurs de programmation (bugs) ou à apporter de nouvelles fonctionnalités. Une bonne connaissance des extensions est nécessaire pour prévenir le risque de régression suite à une mise à jour ratée.
La maintenance corrective
La maintenance corrective des sites WordPress consiste à corriger les anomalies constatées sur un site : dysfonctionnements ou bugs, anomalies dans les scripts ou les plugins, anomalies dans le thème utilisé.
Maintenance évolutive
La maintenance évolutive des sites WordPress consiste à ajouter de nouvelles fonctionnalités ou à modifier la conception du thème utilisé. Ce type de maintenance peut également impliquer l’ajout de nouvelles extensions ou de nouveaux thèmes. Tout propriétaire de site doit accepter qu’un site ne sera jamais parfait et qu’il devra évoluer avec le temps.
L’absence de maintenance préventive aboutit souvent à une maintenance corrective, plus laborieuse et donc plus coûteuse.
Problèmes de sécurité liés à WordPress
La méthode la plus courante consiste à découvrir le mot de passe et à télécharger une page espion. En général, le droit d’administration est obtenu par le biais d’un plugin présentant des problèmes de sécurité. Un exemple récent est le plugin revslider (préinstallé dans de nombreux thèmes premium) qui contenait une faille de sécurité :
Restauration d’un site WordPress compromis
Le plus important est de s’informer et d’intervenir le plus rapidement possible après l’événement. Idéalement, nous devrions intervenir pour résoudre le problème le jour même. Plus tôt nous nous en rendons compte, moins le site risque d’être inscrit sur la liste noire.
Comment savoir si mon site web est infecté ?
1. Les attaques les plus courantes contre les sites web sont : l’injection dans le code source de scripts contenant des liens malveillants, des applications malveillantes, etc. Ces virus peuvent corrompre des fichiers et des bases de données, créer des pages de phishing (pages tentant de voler des informations personnelles), installer des scripts de spamming (messages électroniques non sollicités) ou ajouter des contenus malveillants (liens, images, textes).
Si des mesures ne sont pas prises rapidement pour supprimer ces virus et sécuriser le site, les navigateurs restreindront l’accès au site en affichant un message d’alerte du type : « Le site web auquel vous êtes sur le point d’accéder n’est pas sécurisé » : « Le site web auquel vous êtes sur le point d’accéder contient un logiciel malveillant ! »
Une conséquence très grave de ces virus est de restreindre l’accès au site à partir du moteur de recherche Google, puis de supprimer le site des résultats de recherche.
Outils utiles pour l’analyse des sites web :
- https://sitecheck.sucuri.net/
- https://wordpress.org/plugins/antivirus/
- https://wordpress.org/plugins/exploit-scanner/
Une fois le site dévirusé, il est nécessaire de demander une nouvelle analyse à Google Webmaster afin de lever la restriction d’accès au site.
Si le site figure déjà sur la liste des sites infectés, découvrez comment l’en retirer après l’avoir nettoyé :
- https://support.google.com/webmasters/answer/163634?hl=en
- http://www.google.com/safebrowsing/diagnostic?site=http://example.com/
La suppression du site de la liste Google Safe Browsing est une étape importante, mais malheureusement pas la dernière. Elle peut être plus compliquée et prendre plus de temps, car chaque antivirus dispose d’une liste qui contient les sites infectés. Par exemple : l’antivirus ESET, McAfee Site Advisor et d’autres. Allez sur chaque site web qui vous répertorie pour trouver des instructions permettant de supprimer le site de leur liste de sites malveillants.
Cette activité est appelée « whitelisting » (liste blanche). Faites une recherche sur Google avec des termes tels que « whitelisting », « site removal » et « false positive » (faux positif).
2. Examiner le journal d’accès http. En général, un site WordPress est piraté via http et les journaux du serveur restent intacts.
3. Supprimer les fichiers actuels et les restaurer à partir d’une sauvegarde aussi récente que possible.
4. Combler les failles de sécurité qui ont permis l’attaque (détectées au point 2).
5. Modifier le mot de passe pour accéder au site (pour tous les utilisateurs), le mot de passe pour se connecter à la base de données et tout autre mot de passe qui a été exposé sur le site (par exemple, le mot de passe du compte utilisé pour envoyer des courriels via SMTP).
6. il est très important de consulter la page de recommandations de WordPress: http://codex.wordpress.org/FAQ_My_site_was_hacked
7. Il est recommandé de désactiver la page theme-editor.php qui pose problème:
http://codeseekah.com/2012/02/19/the-wordpress-plugin-and-theme-editor-must-go/
Externalisation des services de maintenance web
Toutes les personnes qui ont réussi à installer un WordPress et un thème n’ont pas forcément l’envie et la formation nécessaires pour gérer et entretenir un site. Il est possible qu’au cours d’une mise à jour, un conflit survienne et génère une erreur plus ou moins grave, et au final, au lieu d’avoir un site à jour, on se retrouve avec des problèmes qui nécessitent une formation spéciale pour être résolus. Idéalement, les personnes qui n’ont pas la formation technique nécessaire devraient externaliser les services de maintenance de leur site web afin de pouvoir se concentrer sur le contenu et la promotion de leur entreprise. Le coût moyen de la maintenance d’un site web construit sur la plateforme WordPress est d’environ 20 euros par mois. Un tel contrat vous permet d’avoir l’esprit tranquille en ce qui concerne la sécurité de votre site web.
Voir le forfait de maintenance de site web: https://sitexdesign.fr/site-web/services-joomla/maintenance-site/