Introduction : La Responsabilité du Gestionnaire de Site
En tant que gestionnaire d’un site WordPress, votre première responsabilité est d’assurer sa sécurité et sa pérennité. WordPress est la cible de nombreuses attaques, et la meilleure défense est une maintenance rigoureuse basée sur deux piliers : les sauvegardes régulières et les mises à jour immédiates.
Ce guide détaille les procédures manuelles et les bonnes pratiques pour protéger votre site.
1. La Sauvegarde Complète : Le Fichier et la Base
Pour qu’une sauvegarde soit complète, elle doit inclure deux éléments distincts : l’ensemble des fichiers du site et la base de données. Si l’un manque, la restauration est impossible.
A. Sauvegarder le Dossier Principal (Les Fichiers)
Le dossier principal (/www/ ou public_html chez l’hébergeur) contient tous les fichiers de votre site : le cœur de WordPress, les thèmes, les extensions et les médias téléchargés.
Méthode manuelle (via FTP) :
- Logiciel : Téléchargez et installez un client FTP comme Filezilla.
- Connexion : Insérez l’hôte, l’identifiant, le mot de passe et le port fournis par votre hébergeur.
- Copie : Copiez l’intégralité du dossier
www(ou le dossier racine de votre site) sur un espace de stockage externe de votre ordinateur.
B. Sauvegarder la Base de Données
La base de données stocke tout le contenu dynamique : les articles, les pages, les commentaires, les réglages des extensions. C’est le cœur de l’information.
Méthode manuelle (via phpMyAdmin) :
- Accès : Accédez à phpMyAdmin via le panneau de contrôle de votre hébergeur (ou via Laragon en local).
- Exportation : Sélectionnez votre base de données, cliquez sur l’onglet « Exporter ».
- Format : Conservez la méthode d’exportation rapide et assurez-vous que le format est bien SQL.
- Téléchargement : Cliquez sur « Exécuter » pour télécharger le fichier
.sqlou compressé.
💡 Conseil : Les extensions comme UpdraftPlus ou Duplicator peuvent automatiser la sauvegarde des fichiers et de la base de données, et les envoyer vers un service cloud (Google Drive, Dropbox).
2. Les Mises à Jour : Sécurité et Performance
Mettre à jour son site est la règle de sécurité la plus simple et la plus efficace.
- Le Risque : Les thèmes et extensions obsolètes contiennent des failles de sécurité connues des pirates.
- La Règle : Il est indispensable de mettre à jour le Cœur de WordPress, les Thèmes et toutes les Extensions au moins une fois par semaine, voire immédiatement lorsqu’une mise à jour de sécurité critique est signalée.
- Avant la mise à jour : Faites systématiquement une sauvegarde complète de votre site. Une mise à jour peut engendrer des conflits.
3. Les Thèmes Enfants : Conserver son Design
Lorsque vous personnalisez le code (CSS ou PHP) d’un thème, une mise à jour de ce thème écraserait toutes vos modifications. Pour éviter cela, on utilise un Thème Enfant (Child Theme).
- Rôle : Le Thème Enfant hérite de toutes les fonctionnalités et du design du thème parent, mais stocke vos modifications de code dans des fichiers séparés (comme
style.cssoufunctions.phpdu thème enfant). - Utilité : Cela permet de conserver toutes vos personnalisations lorsque le thème parent est mis à jour.
4. La Sécurité Avancée sous WordPress
Au-delà des mises à jour, il existe des règles de base pour durcir la sécurité de votre installation :
| Axe de Sécurité | Action Recommandée | Ressources |
| Sécurité par Extension | Installer une extension de sécurité reconnue comme WordFence pour l’analyse des malwares, le pare-feu et la limitation des tentatives de connexion. | — |
| Administration | Modifier l’URL de connexion (monsite/wp-admin) à l’aide d’une extension pour empêcher les attaques de force brute sur l’URL par défaut. | — |
| Permissions des Dossiers | Vérifier et gérer les permissions de lecture/écriture des dossiers via FTP. Des permissions incorrectes peuvent permettre à un pirate d’écrire des fichiers malveillants. | — |
| Obscurcissement | Désactiver l’affichage de la version de WordPress dans le code source (souvent en modifiant le fichier functions.php ou en supprimant le fichier readme.html). | — |
| Le Fichier .htaccess | C’est un fichier de configuration très puissant. Il permet de configurer les redirections, bloquer des adresses IP malveillantes, et ajouter des règles de sécurité supplémentaires. | WPMarmite : Le fichier .htaccess pour WordPress |
| Analyse Externe | Pour analyser des fichiers suspects ou un dossier, utilisez des services en ligne comme VirusTotal. | VirusTotal : Analyse de fichiers |
5. Les Redirections : Gérer le Changement
Une redirection est cruciale lorsqu’une page change d’adresse ou qu’un site change de nom de domaine.
- Redirection 301 : C’est le type de redirection le plus important. Il indique aux moteurs de recherche que la page a été déplacée de façon permanente.
- Utilisation : Elle est indispensable en cas de :
- Changement d’hébergement ou de nom de domaine.
- Suppression ou modification d’une URL d’article (pour éviter les erreurs 404).
- Gestion : La gestion se fait soit via une extension (comme Redirection), soit en codant directement les règles dans le fichier
.htaccess.
Catégorie : Maintenance / Sécurité
Voici quelques ressources supplémentaires mentionnées dans votre document pour aller plus loin :
- Redirections : Gestion des redirections (WPFormation)
- Migration : Migrer WordPress manuellement (WPMarmite)
- DNS : Généralités sur les serveurs DNS (Ovhcloud)
