Tout le monde se pose toujours la question “je mets à jours ou pas” quand une nouvelle version de WordPress voit le jour. Le problème est réel, car d’une part la sécurité de votre installation de site internet est directement liée à la bonne mises à jour des composants, et d’autre part mettre à jours sans se soucier des changements équivaut un peu de sauter d’un avion et de se demander en cours de route si on a bien pris un parachute… Depuis MARS 2020, nous essayons donc aussi de relayer en version simplifiée et courte les points auquel il faut veiller quand vous ferrez vôtre mises à jour (au-delà des questions de compatibilité etc).

La version 5.6 de WORDPRESS vient donc d’être déployée ; en 2 mots voici les nouveautés

  • la version se préparer à la compatibilité avec PHP 8.0 & une mise à jours JQUERY
  • il est dorénavant possible, via une API, de s’interfacer avec WP et de créer des comptes utilisateurs directement avec des applications tiers

En quoi cela vous impacte ?

La compatibilité avec PHP8.0, sans doute pas du tout à ce stade (nous continuons à dire qu’il est un peu tôt pour mettre à jours les serveurs en PHP 8.0). Cependant, l’histoire de l’API est une vraie question. Soyons simple : si vous ne comprenez pas en quoi cela peut vous être utile DESACTIVEZ LE.

Attention, la version 5.6 de WordPress modifie une API

Par défaut, cette option est activée (et c’est bien dommage) ; elle peut représenter via du “phishing“notamment un risque de sécurité de votre site. En principe de toute façon, la règle est simple : tout point d’entré dans votre site qui n’est pas nécessaire doit être limité / supprimé. La solution la plus simple est d’installer le module WORDFENCE (en version gratuite ou payante, les deux le font) : c’est d’une façon générale un excellent outil de sécurisation de votre site. Et les options de base (sans même toucher à quoi que ce soit à part l’activer) réduisent déjà bon nombre de risques de sécurité. A ce titre, nous installons systématiquement cet outil sur l’ensemble des sites que nous réalisons et hébergeons, et cela pour une bonne raison. Et encore une fois la version gratuite suffit pour la majorité des cas. Cette extension désactive cette option (mais vous permettra de l’activer manuellement si vous le souhaitez plus tard)

Pourquoi vous devriez activer cette option ? Les utilisations de cette API sont multiple pour les codeurs : nous pouvons par exemple maintenant imaginer facilement un logiciel de partage de fichier (Nextcloud par exemple pour ceux qui connaissent) “parler” avec votre site WordPress pour synchroniser les utilisateurs. Mais clairement cela rentre dans des développements techniques et n’est pas à la porté de tout le monde. Donc pour la majorité des personnes, cette fonction est plus un risque et doit donc être sécurisé.

Un mot sur le JQUERY

Énormément d’extensions (plugin) de WordPress utilisent du JQUERY (qui est un langage permettant de faire un certain nombre de choses et très répondu dans les plugins, thèmes etc). Il est important de garder votre “moteur” (interpréteur) JQUERY à jours (ça WordPress le fait tout seul et c’est très bien) ; cependant, bcp de thèmes anciens, modules non maintenues et thèmes codés sur mesure ne sont pas mis à jours et vont donc, petit à petit, ne plus être compatible avec la dernière version de JQUERY. Ceci est un problème de taille. Il n’y a pas vraiment de solution pour cela à part demander à un codeur de reprendre le thème / module et / ou de changer de thème et modules ; comme toujours nous serons ravis de vous accompagner sur de telles problématiques de maintenance de votre site internet ; n’hésitez pas à nous solliciter !

partagez cet article sur...