Une nouvelle fonctionnalité qui permettra la mise à jour automatique des plugins et des thèmes sera disponible dans la version 5.5 de WordPress, dont la sortie est prévue le 11 août 2020. Dans cette version principale du système de gestion de contenu le plus populaire au monde, les propriétaires de sites auront le option permettant d’activer les mises à jour automatiques pour les plugins et les thèmes individuels directement à partir du tableau de bord d’administration WordPress.

Dans cet article, nous examinons ce qui se passe dans une mise à jour automatique, pourquoi WordPress core ajoute cette fonctionnalité, les avantages et les pièges de la mise à jour automatique, les trois approches différentes qu’un propriétaire de site peut adopter et nos recommandations générales de l’équipe Wordfence pour assurer la sécurité et la fiabilité de vos sites WordPress.

Que se passe-t-il lors d’une mise à jour automatique?

Les mises à jour automatiques des plugins et des thèmes seront désactivées par défaut lors de la publication, ce qui signifie que les mises à jour automatiques ne seront pas automatiquement activées lors du déploiement de WordPress 5.5. Les propriétaires de sites devront visiter le tableau de bord du thème ou du plugin pour activer les mises à jour automatiques et choisir les packages à mettre à jour automatiquement lorsqu’une nouvelle version du plugin ou du thème est disponible. Les propriétaires de sites peuvent choisir d’activer les mises à jour automatiques pour tous les plugins installés, choisir de mettre à jour automatiquement certains de leurs plugins ou choisir de ne pas activer les mises à jour automatiques pour tous les plugins.

L’option de mise à jour automatique est une nouvelle fonctionnalité disponible dans WordPress 5.5.

Les mises à jour automatiques dans WordPress 5.5 n’auront qu’une bascule désactivée ou activée. Les propriétaires de sites n’ont pas la possibilité de sélectionner différents types de mises à jour, par exemple appliquer uniquement des mises à jour de sécurité ou uniquement mettre à jour des versions mineures.

Les mises à jour seront déclenchées par le processus wp-cron deux fois par jour. Si le processus constate qu’il existe des plugins ou des thèmes avec des mises à jour disponibles, qu’il s’agisse d’un correctif de sécurité mineur ou d’une mise à jour de fonctionnalités à grande échelle, la nouvelle version du plugin ou du thème sera téléchargée et installée automatiquement sur le site. Les mises à jour ne se produisent que si les mises à jour automatiques sont activées pour ce plugin ou thème particulier.

Ces mises à jour automatiques sont ce que les ingénieurs d’exploitation appellent des «mises à jour sans assistance», ce qui signifie que le code des plugins et des thèmes est mis à jour et déployé sans la participation du propriétaire du site. Ils peuvent être déclenchés pendant qu’un propriétaire de site publie sur le site, ils peuvent être déclenchés du jour au lendemain lorsqu’un propriétaire de site est endormi, ou pendant la journée lorsque le propriétaire du site est au milieu d’une réunion importante. Le propriétaire du site recevra un e-mail indiquant que des mises à jour ont eu lieu, mais s’il manque cet e-mail, il se peut qu’il ne le sache pas avant de se reconnecter et de voir une nouvelle version du plugin ou du thème mis à jour.

Cela marque un changement majeur par rapport aux mises à jour assistées actuellement requises dans WordPress. Actuellement, chaque mise à jour de plugin et de thème nécessite que le propriétaire ou l’administrateur du site lance le processus de mise à jour pour télécharger et installer une nouvelle version d’un plugin ou d’un thème.

Dans de rares cas, certains plugins ont des mises à jour automatiques intégrées et se mettent déjà à jour automatiquement. Wordfence est l’un de ces plugins. Wordfence propose une fonctionnalité de mise à jour automatique en option depuis plusieurs années pour aider à assurer la sécurité de nos clients.

Pourquoi WordPress Core ajoute-t-il des mises à jour automatiques?

L’un des vecteurs les plus prolifiques d’infections de logiciels malveillants WordPress est la présence de vulnérabilités dans les plugins, les thèmes et, moins fréquemment, le cœur de WordPress. En ajoutant des fonctionnalités de mise à jour automatisée aux plugins et thèmes WordPress dans la version principale de WordPress 5.5, l’équipe principale cherche à améliorer la sécurité des installations WordPress à tous les niveaux et à faciliter la maintenance pour les propriétaires de sites. Plutôt que de devoir vous connecter régulièrement à votre site WordPress pour effectuer les mises à jour des plugins et des thèmes requis, votre site exécutera des mises à jour «sans assistance» lorsque des mises à jour des plugins et des thèmes installés seront disponibles dans le référentiel WordPress.

L’année dernière, le noyau WordPress a été ajouté protections contre les erreurs fatales à la fonctionnalité intégrée de santé du site WordPress. Lorsqu’une erreur fatale se produit, la protection contre les erreurs fatales détermine quel plugin a causé l’erreur fatale et envoie un e-mail à l’administrateur du site afin qu’il puisse dépanner le site avec le plugin problématique désactivé afin d’essayer de résoudre le problème. L’ajout de cette fonctionnalité a probablement donné à l’équipe principale de WordPress l’assurance que les risques de mises à jour automatiques seraient facilement gérés par une protection contre les erreurs fatales.

Est-ce une bonne chose?

Dans l’ensemble, notre philosophie est que fournir des mises à jour automatisées est une bonne chose pour un sous-ensemble de sites WordPress. Les blogs et les sites d’information ou promotionnels qui peuvent souvent rester sans surveillance pendant des mois ou des années sont plus à risque d’être piratés via des plugins ou des thèmes obsolètes. Pour ces sites, le risque d’être piraté l’emporte sur le risque d’une mise à jour automatique qui tourne mal. Cependant, pour d’autres types de sites, les mises à jour automatisées peuvent créer des problèmes.

Problèmes et pièges de la mise à jour automatisée

La mise à jour automatique sans surveillance de n’importe quelle base de code n’est pas sans problèmes possibles, et les thèmes et plugins WordPress ne sont pas uniques à cet égard. Même les mises à jour assistées peuvent présenter des difficultés. Lorsque la santé et la sécurité de votre site sont en jeu, il est essentiel de prendre une décision éclairée. En tant que tel, nous avons développé quelques scénarios où les mises à jour automatiques pourraient causer des problèmes potentiels tels que des pannes de site, une corruption de données, un contenu malveillant, entre autres effets indésirables.

Tous ces scénarios ne peuvent pas vous affecter, vous et votre site WordPress. Vous trouverez ci-dessous quelques mises en garde à garder à l’esprit lors de la détermination du niveau de risque auquel votre organisation est confrontée en activant les mises à jour automatiques.

  1. Les mises à jour automatiques simultanées peuvent échouer. Si un certain nombre de plugins ont des mises à jour en quelques heures et que wp-cron les déclenche tous pour une mise à jour automatique simultanée, cela pourrait entraîner l’échec des mises à jour automatiques sur un serveur où les ressources sont surutilisées. Si une mise à jour automatique déclenchée échoue pour une raison quelconque, le site peut rencontrer des messages d’erreur fatals. Dans de rares cas, les plugins peuvent être désactivés, ou un site peut être mis hors ligne ou bloqué en mode maintenance.
  2. Des problèmes peuvent survenir et limiter la fonctionnalité du site à l’insu du propriétaire du site. Par exemple, supposons que vous ayez une boutique WooCommerce et que vos plugins compatibles avec WooCommerce se mettent à jour automatiquement pendant que vous êtes en vacances. L’un de ces plugins de support vient d’être mis à jour automatiquement, et cette mise à jour automatique rend la vérification du produit sur votre site impossible. Nous sommes en août. Vous avez généralement un ralentissement saisonnier lorsque de nombreuses personnes sont en vacances, donc la baisse des ventes n’est pas inattendue. Pendant ce temps, votre site de commerce électronique ne fonctionne essentiellement pas correctement et vos vacances sont interrompues lorsqu’un client vous écrit quelques jours plus tard.
  3. Difficulté à déterminer «ce qui a changé». Chaque fois qu’un problème survient dans les opérations informatiques, la première question à se poser lors de la tentative de résolution du problème est “Qu’est-ce qui a changé?” Si vous avez deux ou plusieurs mises à jour sans assistance qui se sont produites, plusieurs choses ont changé et il peut devenir beaucoup plus difficile d’isoler la cause première du problème.
  4. Des vulnérabilités peuvent être introduites avec de nouvelles fonctionnalités. Avec une mise à jour récente du plugin wpDiscuz, de nouvelles fonctionnalités ont introduit de nouvelles vulnérabilités affectant plus de 80 000 sites WordPress. Si votre organisation procède à une révision de code sur tout nouveau code de plugin déployé sur votre site de production WordPress, la mise à jour automatique supprime votre opportunité de faire cette révision de code et potentiellement détecter les vulnérabilités avant leur déploiement.
  5. Les versions majeures peuvent avoir des problèmes de compatibilité. Parfois, un fournisseur publie une version majeure qui apporte des modifications importantes au code, à la base de données ou aux deux. Ces versions à plus haut risque pourraient poser des problèmes, comme nous l’avons vu avec des plugins qui ont une grande base d’installation comme Yoast et Jetpack. En avril 2020, le plugin SEO populaire Yoast SEO version publiée 14.0, une version majeure qui a remanié la façon dont les informations étaient stockées dans la base de données WordPress. Nous avons parlé de la prochaine mise à jour majeure avec la PDG de Yoast Marieke van de Rakt et le COO Michiel Heijmans à WordCamp US l’automne dernier. Cette mise à jour majeure a provoqué des problèmes sur certains sites nécessitant une mise à jour immédiate. Pour les versions majeures de plugins, il peut être judicieux d’adopter une approche «attendre et voir» pour s’assurer que la version est stable avant le déploiement. Les mises à jour automatiques vous empêchent d’adopter cette approche.
  6. Les ressources QA varient selon les plugins. Certains plugins ont de grandes équipes de développeurs et d’ingénieurs en assurance qualité logicielle (SQA ou QA) derrière eux. D’autres plugins ont des équipes plus petites ou sont alimentés par un seul développeur qui peut être un amateur. L’activation des mises à jour automatiques pour les plugins avec des équipes plus importantes est moins risquée, car la propre équipe d’assurance qualité du plugin a fourni une couverture de test complète et a considérablement réduit le risque de tout problème avec la publication. Les plugins avec des développeurs individuels qui manquent de ressources d’assurance qualité devraient être considérés comme présentant un risque plus élevé en raison du manque de couverture de test ou du manque de tests.
  7. Manque de libération de canari pour tester les problèmes. Les mises à jour de Canary déploient le code sur un petit pourcentage de sites pour vérifier les problèmes. Chrome / Chromium utilise ce modèle pour protéger la plus grande base d’installation des problèmes catastrophiques. Si aucun problème n’est détecté, la mise à jour est ensuite déployée sur le reste des sites. WordPress n’a pas intégré ce système aux mises à jour automatiques de la version 5.5, et donc aux mises à jour automatiques d’un plugin déployé en même temps à l’ensemble de la population d’utilisateurs. Cela ne fournit pas un système d’alerte précoce qui révélera un problème catastrophique avec un plugin. Si vous exécutez un site Web critique, vous pouvez émuler le processus de publication de Canary en attendant quelques jours avant la mise à jour, pour les versions non liées à la sécurité. Cela peut être une raison pour désactiver les mises à jour automatiques, en fonction de vos besoins spécifiques.

Les mises à jour automatiques semblent avoir des problèmes. Vraiment?

Avec tous ces pièges, il y a des questions évidentes quant à savoir si l’activation des mises à jour automatiques est une bonne solution. La plus grande question que vous pourriez vous poser est la suivante: pourquoi Wordfence et d’autres experts en sécurité recommandent de garder les plugins à jour si une mise à jour rapide pouvait poser autant de problèmes?

Pour le moment, presque toutes les mises à jour que vous effectuez sur votre site sont effectuées sous la forme d’une mise à jour assistée. Cela signifie que vous lancez la mise à jour, vous savez quand votre site a été mis à jour, vous pouvez lire le journal des modifications du développeur pour déterminer s’il s’agit ou non d’une mise à jour de sécurité critique, d’une mise à jour de correction de bogue ou d’une mise à jour majeure sur laquelle vous voudrez peut-être attendre. Vous pouvez également tester votre site après chaque mise à jour du plugin, et vous êtes plus susceptible de déterminer la source de tout problème introduit par une mise à jour problématique du plugin.

En utilisant des mises à jour automatiques sans assistance, vous perdez ce contrôle et cette intelligence humaine lorsqu’une mise à jour se produit.

Nous avons introduit des mises à jour automatiques pour le plugin Wordfence il y a plusieurs années. Nous l’avons fait car, en tant que plugin de sécurité, il est extrêmement important que nos clients gratuits et payants disposent des dernières fonctionnalités de renseignement sur les menaces et de sécurité sur leur site. Avant de déployer les mises à jour automatiques dans notre propre plugin, nous avons passé beaucoup de temps et d’énergie à nous assurer que notre équipe d’assurance qualité et notre processus d’assurance qualité étaient incroyablement robustes, avec une couverture de test large et approfondie.

Nous testons notre plugin sur un grand nombre de plateformes d’hébergement et avec un grand nombre de configurations avant de publier un code. Cela imite bien le processus de publication de Canary en exécutant le plugin sur un large éventail de systèmes avant de le déployer sur l’ensemble de la population d’utilisateurs. Une fois que nous avons été convaincus que la mise à jour automatique des plugins Wordfence de nos clients était à faible risque, nous avons déployé cette fonctionnalité. Nous n’avons pas eu de problème significatif depuis, alors que nos clients ont bénéficié de mises à jour automatiques de leur plugin de sécurité critique.

Nous continuons à investir massivement dans notre équipe d’assurance qualité, notre infrastructure et nos processus pour maintenir le risque de mises à jour automatiques très bas.

Les trois approches

Nous pensons que vous devriez faire un choix éclairé concernant les mises à jour automatiques des plugins WordPress, en connaissant les avantages et les pièges.

Il existe trois façons d’aborder les mises à jour automatiques:

  1. Activer la mise à jour automatique pour tous plugins.
  2. Activer la mise à jour automatique pour certains plugins.
  3. Activer la mise à jour automatique off pour tous plugins.

Quelle stratégie de mise à jour vous convient le mieux?

WordPress est populaire parce que WordPress est si flexible. Vous pouvez avoir un site qui est une application de niveau entreprise avec des millions d’utilisateurs, un système de gestion de l’apprentissage avec des centaines d’utilisateurs ou un site d’adhésion de niche. WordPress permet aux éditeurs et aux entreprises d’un nombre infini de façons. Votre stratégie de mise à jour dépendra de votre situation et de vos besoins particuliers.

Pour vous aider à guider votre prise de décision, nous avons développé des personas qui représentent plusieurs types de sites WordPress et de propriétaires de sites, pour vous aider à prendre une décision éclairée concernant votre stratégie de mise à jour automatique. Chaque personnage s’accompagne d’un niveau différent de tolérance au risque, et avec cela, une approche différente pour activer les mises à jour automatiques.

Mise à jour automatique des blogueurs amateurs activée

Amateur / blogueur

Vous avez développé un site pour écrire sur quelque chose qui vous est proche et qui vous tient à cœur, mais vous ne vous connectez presque jamais, vous ne maintenez pas activement vos plugins et vous êtes convaincu que le pare-feu Wordfence ne fera que bloquer les attaques malveillantes. Vous mettez à jour les plugins de manière aléatoire tous les quelques mois lorsque vous vous connectez.

Pour cet utilisateur amateur de WordPress, nous vous recommandons d’activer les mises à jour automatiques pour tous les thèmes et plugins.

Pourquoi?

  • Le risque est moindre car vous ne comptez pas sur votre site WordPress pour des revenus ou des services.
  • Vous ne vérifiez pas votre site aussi fréquemment, donc les mises à jour automatiques garantissent que votre site reste à jour, ce qui améliore la sécurité.
  • Le coût d’une mise à jour automatique impactant vos utilisateurs est faible. Le pire des cas est que votre contenu disparaît pendant un certain temps jusqu’à ce que vous découvriez le problème et le résolviez.

Mise à jour automatique du site Web Brochureware pour petites entreprises ACTIVÉE

Brochure pour petites entreprises

Une agence vous a aidé à concevoir votre site, mais vous effectuez vous-même la maintenance et les mises à jour de votre site. Vous ne mettez pas beaucoup à jour votre site et vous vous connectez rarement. Le fait que votre site ne soit pas disponible pendant une courte période serait remarqué par quelques-uns et votre site sert principalement de véhicule de marketing.

Pour l’utilisateur WordPress de Small Business Brochureware, nous vous recommandons d’activer les mises à jour automatiques pour tous les thèmes et plugins.

Pourquoi?

  • Le risque est modéré car vous ne comptez pas directement sur votre site WordPress pour des revenus ou des services, mais plutôt pour du marketing.
  • Vous ne vérifiez pas votre site aussi fréquemment, donc les mises à jour automatiques peuvent garantir que votre site reste à jour, ce qui améliore la sécurité.
  • L’impact sur l’utilisateur en cas d’indisponibilité est faible. Le pire des cas pour les utilisateurs est que votre contenu marketing disparaît pendant un certain temps. Bien qu’un problème puisse survenir avec un plugin de mise à jour automatique, dans le plus grand schéma des choses, il est plus important que vos plugins restent à jour pour améliorer la sécurité et la stabilité.

Le commerce électronique des petites entreprises est activé de manière sélective

Commerce électronique pour petites entreprises

Votre site fait partie intégrante de votre entreprise. Il prend les commandes et les paiements des clients ou comporte d’autres éléments interactifs tels qu’un site d’adhésion, un site de gestion de la formation ou d’autres éléments commerciaux interactifs qui font changer fréquemment la base de données de votre site. Vous vous connectez régulièrement au tableau de bord d’administration et vous effectuez vos propres mises à jour assistées.

Pour l’utilisateur de WordPress Small Business Ecommerce, nous vous recommandons d’activer les mises à jour automatiques des thèmes et des plugins de manière sélective, et uniquement dans de rares cas. Si vous êtes convaincu qu’un fournisseur de plugins dispose d’une équipe et d’un processus d’assurance qualité robustes, et d’une solide réputation pour la publication d’un code solide, vous pouvez envisager d’activer les mises à jour automatiques pour les plugins de ce fournisseur. Cela vous aidera à bénéficier d’une mise à jour rapide des versions pouvant inclure des correctifs de sécurité.

Nous vous recommandons de continuer à effectuer des mises à jour assistées sur les plugins qui ne disposent pas d’une équipe et d’un processus d’assurance qualité solides. Dans ces cas, vous souhaiterez peut-être attendre pour déterminer si la version pose problème avant la mise à jour. Vous effectuerez également une mise à jour assistée, qui vous assurera d’être présent et d’observer les performances de votre site, afin que vous puissiez détecter les problèmes tôt et les résoudre rapidement.

Pourquoi?

  • Le risque est plus élevé car vous comptez directement sur votre site WordPress pour les revenus et les services. Vous voulez donc être prudent lors de la mise en œuvre des mises à jour automatiques afin que cela n’impacte pas vos revenus.
  • Vous vous connectez et consultez votre site plus fréquemment, de sorte que les mises à jour automatiques ne sont pas aussi nécessaires, à condition que vous continuiez à mettre à jour en temps opportun.
  • Gardez à l’esprit que les plugins qui se mettent à jour automatiquement seront mis à jour sans que vous ne les présentiez, en tant que mise à jour sans surveillance. Si vous faites confiance à l’équipe derrière le plugin pour déployer du code de qualité sur votre site à la demande, l’activation des mises à jour automatiques pour ce plugin est toujours appropriée.

Agences Mises à jour automatiques des entreprises OFF

Agences ou entreprises avec de nombreux sites

Vous gérez des sites pour de nombreux clients et vous avez du personnel d’exploitation, du personnel d’assurance qualité et des processus d’assurance qualité en place pour effectuer des mises à jour assistées et tester les problèmes avant de déployer un nouveau code. Tous les sites dont vous avez la garde sont considérés comme essentiels à la mission.

Si tel est votre cas, nous vous recommandons de continuer à NE PAS utiliser les mises à jour automatiques telles qu’elles sont actuellement mises en œuvre.

Pourquoi?

  • Le risque est beaucoup plus élevé, car vous ou vos clients comptez directement sur les sites WordPress dont vous vous occupez pour obtenir des revenus et des services. Ainsi, vous souhaitez éviter d’utiliser la mise à jour automatique afin qu’elle n’impacte ni votre chiffre d’affaires ni celui de vos clients.
  • Vous maintenez activement chaque site WordPress et disposez des ressources pour le faire. Vous mettez déjà à jour le noyau, les plugins et les thèmes de WordPress dès que possible.
  • L’impact sur l’utilisateur est coûteux. Les utilisateurs du site Web peuvent rencontrer des problèmes pour effectuer des achats ou s’inscrire à des services.

Mise à jour automatique d'entreprise désactivée

Entreprise

Vous disposez de serveurs de développement, de serveurs de développement et vous effectuez des révisions de code sur les nouveaux plug-ins pour rechercher les vulnérabilités potentielles introduites dans toutes les mises à jour avant le déploiement. Rien ne se retrouve sur les serveurs de production sans être rigoureusement testé par une équipe QA stellaire. Vos processus sont conçus pour une disponibilité 24h / 24 et 7j / 7 et vous disposez des ressources et de l’équipe pour les alimenter.

En tant qu’utilisateur d’entreprise, nous vous recommandons de ne pas utiliser de mises à jour automatiques sans assistance dans l’implémentation actuelle.

Pourquoi?

  • Le risque est à son plus haut car votre site WordPress est essentiel à la mission.
  • Votre équipe QA évalue et teste rapidement les nouvelles versions de plug-in dans votre environnement de développement. Les mises à jour automatiques supprimeraient cette étape.
  • Votre équipe d’exploitation déploie rapidement un code bien testé en production à l’aide de mises à jour assistées. Les mises à jour automatiques supprimeraient ce processus.
  • L’impact commercial d’une interruption de site Web est extrême. Les clients peuvent rencontrer des problèmes pour effectuer des achats, s’inscrire à des services ou accéder à votre contenu et à vos ressources.

Comment commencer à utiliser les mises à jour automatiques

Quelle que soit la personne que vous êtes, nous vous recommandons de ne pas activer les mises à jour automatiques jusqu’à quelques semaines ou quelques mois après la sortie de WordPress 5.5. Comme pour tout changement majeur de logiciel, des bogues ou des problèmes peuvent être trouvés et corrigés dans les prochaines semaines. Nous vous recommandons d’attendre pour vous assurer que les mises à jour automatiques dans WordPress 5.5 ont le temps de subir des tests rigoureux dans le monde réel avant d’activer les mises à jour automatiques.

Même avec les mises à jour automatiques activées, nous recommandons toujours des sauvegardes régulières pour votre site. Nous vous recommandons également d’utiliser un service tel que Website Pulse ou StatusCake pour surveiller la disponibilité de votre site.

L’avenir des mises à jour automatiques

WordPress 5.5 est une implémentation préliminaire des mises à jour automatiques et est utile pour un sous-ensemble de sites. Nous prévoyons un développement continu des outils de mise à jour automatique, peut-être même avec l’ajout de versions bêta, alpha et canary pour ajouter plus de fonctionnalités et de fiabilité au processus de mise à jour automatique.

Nous espérons que cette discussion vous a donné un aperçu de la nouvelle fonctionnalité de mise à jour automatique de WordPress 5.5 et vous guidera pour prendre une décision éclairée. Comme toujours, vous êtes invités à poster des questions et des commentaires ci-dessous.

Merci à Chloe Chamberland, Ram Gall, Matt Rusnak et Kathy Zant pour leurs recherches et leurs contributions à ce poste.


Source link