Pourquoi je ne laisse plus les mises à jour automatiques actives sur WordPress

Les mises à jour automatiques de WordPress, des thèmes des extensions peuvent sembler être une bonne idée. Elles sont là pour sécuriser un site web, améliorer les fonctionnalités et corriger des bugs.
Mais après plus de dix ans à gérer des sites clients, je ne les active plus par défaut. Et j’explique ici pourquoi.

Ce que promettent les mises à jour automatiques WP

En théorie, les mises à jour automatiques évitent d’avoir à penser à la maintenance technique. Le site se mettent à jour tout seul, vous êtes tranquille. Grosso modo, vous pouvez tout laisser se faire au automatique :

• mises à jour automatiques de WordPress lui-même
• mises à jour automatiques des thèmes WP
• mises à jour automatiques des extensions WP

Mais en pratique, cette automatisation peut entraîner des erreurs. Certaines qu’on ne verra souvent pas. Sauf en mode debug true. Et toujours en pratique, cela peut aussi aller jusqu’à provoquer des erreurs critiques WordPress. 3 gérées cette semaine. Pour cette même raison. Dès le lundi matin 8h, plus d’accès back office à 1 site web WordPress. Professionnel et à grosse portée/visibilité. Sinon ce n’est pas drôle !

Donc oui c’est sûr, les majs automatiques de WP, elles font gagner du temps. Mais parfois à quel prix ?

Cas réel : un site cassé à cause d’une mise à jour automatique

Un client m’a contactée pour un dépannage en urgence après avoir perdu l’accès à son site. En cause : une extension s’était mise à jour automatiquement et n’était plus compatible avec la version PHP en place de son hébergeur web .

Résultat :

• site web indisponible pendant deux jours
• perte de trafic
• intervention d’urgence pour débloquer l’erreur critique

Dès reprise de l’accès au tableau de bord, j’ai désactivé TOUTES les maj automatiques de WordPress. Thèmes, cœur et extensions.

J’ai bien entendu expliqué :

• pourquoi l’erreur critique était survenue (email d’alerte de WordPress à l’appui quand il est reçu, c’était le cas)
• pourquoi du coup je désactive dans l’immédiat les maj automatiques de WP. Toutes. Et je laisse la liberté de les réactiver ou non, bien sûr 😉 Mais en connaissant les risques (et avantages) de les réactiver.

Le changelog peut révéler des modifications éthiquement discutables

Certaines extensions ajoutent :

• des intégrations de services tiers
• du tracking utilisateur
• des modifications de RGPD

❗ En automatique, ces changements passent inaperçus → vous exposez le site ou vos utilisateurs sans le savoir. Dans un monde parfait, on devrait être prévenu(e)s clairement, le voir et pouvoir décider en connaissance de cause. Mais les majs automatiques peuvent vous priver de ça.

Certaines mises à jour désactivent ou réinitialisent des réglages

Certains plugins, notamment ceux liés aux formulaires, à la sécurité ou au cache :

• effacent les réglages personnalisés
• désactivent temporairement le plugin
• ou modifient des comportements actifs en live

Alors que le faire manuellement permet de reconfigurer immédiatement si besoin.

Beaucoup de puristes recommandent d’attendre avant d’installer une nouvelle version d’un plugin

Certains devs postent des notes du type :

“Nous avons détecté un souci avec la version 6.3.1 — n’installez pas encore cette mise à jour.”

❗ Les MAJ auto ne tiennent pas compte de ces avertissements.
→ Vous installez un bug “involontairement”.

Bref, les majs automatiques, ok. Mais quand on sait vraiment ce qu’on fait.

Que faire si vous souhaitez quand même les laisser actives

Si vous tenez à automatiser une partie des mises à jour :

• activez uniquement celles du cœur de WordPress
• sauvegardez votre site chaque jour ou assurez-vous que votre hébergeur web propose une sauvegarde quotidienne (sinon changez tout de suite)

Vous connaissez votre site web. Vous savez si vous avez un thème monté sur mesure ou non. Si vous avez un thème enfant propre ou juste un thème parent. Vous savez grosso modo quelles sont vos extensions, lesquelles plantent souvent (ou pas et si le cas parfait).

Mais sachez que les maj automatiques WordPress ont quelques vertus. Et des défauts, selon les configs des sites web.

Comment procéder aux MAJs manuelles sur WP ?

Chacun(e) voit évidemment midi à sa porte, blablabla.

Mais si on me demandait comment procéder, je dirai :

• faîtes tranquillement les majs des gros plugins connus comme SEO by Yoast, Jetpack et consort.
• prenez votre temps pour celles plus touchy parfois comme Elementor Pro
• surveillez les extensions pour lesquelles vous voyez des messages qui vous invitent très fort à faire toujours une sauvegarde avant (ça ne sent pas bon)
• si vous avez une préprod et des doutes, faîtes vos majs sur votre préprod avant de les faire sur votre site de prod

Pour ma part, je précède tout ça de vérifs sur différents forums et sites d’infos sur les principaux plugins du marché. Et pour bosser sur des dizaines de sites web WP tous les jours, je vois ce qui est fiable ou pas. Ce qui tient la route ou pas. Et qui sent le sapin à des kilomètres =)

Suis-je 100% opposée aux MAJ automatiques WordPress

Je ne suis pas évidemment pas opposée aux mises à jour automatiques de WP, au contraire.
En revanche, je connais bien les impacts que peuvent avoir des mises à jour aveugles, non maîtrisées, qui peuvent faire plus de mal que de bien à un site web. Et par extension à sa/son/ses propriétaires. Dont ça peut être le cœur du business et la source de revenu principale.

Je suis pour :

➡ Un site bien géré est un site mis à jour intelligemment, pas forcément mis à jour automatiquement.

En bref : Je désactive dès que possible (avec accord) les mises à jour automatiques sur les sites WordPress que je gère.

→ Pourquoi ?

• Trop de risques de bugs ou de conflits et erreurs critiques (surtout sur des sites chargés en plugins et/ou avec thème custom vieillissant)
• Peu visibilité sur ce qui change/a changé

➡ Mon approche : des mises à jour manuelles, testées, expliquées.

That’s all folks