WordPress, le CMS – le système de gestion de contenu permettant de mettre à jour de façon autonome le contenu de son site Web – le plus utilisé à travers le monde, a annoncé récemment un renforcement de ses mesures de sécurité à propos du protocole PHP.

Depuis le mois d’avril dernier, la version PHP minimum requise pour faire tourner votre site WordPress est PHP 5.6. Et à partir de décembre prochain, ce sera la version PHP 7.0. Mais qu’est-ce que le langage PHP, à quoi sert-il et pourquoi faut-il mettre à jour le PHP sur son site ?

Sylvie Morin et Jennilie Gagnon, coordonnatrices de projet, sans oublier Cédric Durand, programmeur-analyste, tous travaillent chez DEVICOM et répondent à nos questions.

MonClavius : « PHP » ? Que signifie cet acronyme et à quoi sert-il ?

Jennilie Gagnon : PHP est un langage de programmation libre, conçu pour le développement de solutions web. Le langage PHP permet d’automatiser des tâches répétitives et donc de créer des sites dynamiques et interactifs. C’est l’un des langages de script les plus populaires sur le web aujourd’hui. Il joue un rôle très important en ce qui concerne l’écosystème WordPress, car l’ensemble de ce CMS est construit sur le langage PHP.

Sylvie Morin : Plus de 80% des sites web en ligne à travers le monde fonctionnent en PHP. À l’image d’un logiciel, chaque version du langage PHP a un cycle de vie au-delà duquel certaines de ses fonctionnalités ne sont plus assurées, corrigées ou améliorées, notamment en termes de sécurité. Opter pour la dernière version de PHP permet d’assurer la pérennité de votre site web, obtenir une augmentation significative de la vitesse d’exécution ainsi qu’un gain notable en matière de sécurité. Toutefois, lorsque vous passerez à une version supérieure, il existe un risque que certaines « fonctionnalités » risquent de ne plus être compatibles, de dysfonctionner et demandent d’être remplacées par d’autres éléments.

S’il existe des risques d’incompatibilités, allant même jusqu’à voir son site web tomber en panne, pourquoi mettre à jour la version PHP de son site web ?

S.M. : La raison n⁰1 : la sécurité !

schéma du langage PHP

© Strato

L’une des raisons les plus importantes pour mettre à jour PHP est de s’assurer que vous travaillez sur une version qui est entièrement supportée, patchée et mise à jour régulièrement contre les vulnérabilités de sécurité. La version PHP 5.4 n’a pas été corrigé depuis 2015 , la version 5.5 depuis 2016 et la version 5.6 depuis 2018. Utiliser une version obsolète de PHP sur son site web l’expose à de nombreuses failles de sécurité. Ignorer les mises à jour sur votre site revient à toujours laisser une fenêtre grande ouverte chez soi, même lorsqu’on s’absente !

J.G. : Toutefois, il est essentiel de confier cette mission à un professionnel : son expertise et son savoir-faire seront d’une aide précieuse pour veiller au bon déroulement de la procédure, anticiper les éventuelles incompatibilités entre anciennes et nouvelles versions de plug-ins et s’assurer du bon fonctionnement de votre site une fois le protocole PHP à jour. En ayant recours au service d’un professionnel, vous gagnerez en sécurité, en réactivité et en tranquillité d’esprit.

La sécurité est donc l’unique raison qui motive ces mises à jour ?

S.M. : Non, l’autre volet essentiel est celui des performances de votre site. Avec la sortie de PHP 7.2 et PHP 7.3, il y a eu d’énormes gains de performance ! Adopter la dernière version de PHP donne également accès aux mises à jour les plus récentes de votre CMS. WordPress est un CMS en constante évolution, de nouvelles versions majeures sont lancées régulièrement, mais elles ne vous sont accessibles que si votre site est au bout du jour en termes de langage PHP. Si ça n’est pas le cas, votre CMS ne pourra plus accéder aux mises à jour, même les plus importantes, ce qui fragilise votre site.

J.G. : Considérez la mise à niveau de votre PHP comme la mise à jour zéro de votre site. Plus vous tardez à faire cette mise à jour, plus vous prenez du retard et plus il sera difficile de le rattraper par la suite, ce qui met en danger la viabilité et la fiabilité de votre site. Ces mises à jour améliorent la rapidité et la sécurité de votre site, elles sont essentielles, certainement pas facultatives !

Pourquoi mettre à jour la version PHP de son site dès à présent alors qu’une nouvelle version PHP va bientôt sortir ?

S.M. : L’actuelle version de PHP est sortie il y a moins d’un an et la prochaine version est attendue avant la fin de l’année : il ne s’agira que d’une mise à jour mineure: il n’y pas de grande différence avec la version actuelle, simplement de nouvelles fonctionnalités et une meilleure performance. Les risques d’incompatibilités entre les versions actuelles et futures sont très limités, alors n’attendez pas pour mettre à jour le PHP de votre site !

Cédric Durand : Le langage PHP est en constante évolution. Les vulnérabilités sont corrigées au fur et à mesure que les techniques d’attaques se perfectionnent. Plus vous tarder à mettre à jour votre site, plus vous l’exposez au risque d’être piraté et vos données compromises. D’autant plus si votre site est sous une version PHP qui n’est plus supportée – ndlr. sous une version PHP 5.6 et antérieure – c’est-à-dire que les vulnérabilités ne seront plus corrigées ou patchées. Ces sites sont des proies faciles pour les pirates. Comparons votre site web à une Ford Mustang de 1966 : elle a besoin de carburant au plomb pour avancer. Mais aujourd’hui, l’essence disponible en est dépourvue (soit la dernière version de PHP). Pour continuer à faire rouler votre Mustang (ou votre site sous une vieille version de PHP), il faut ajouter un additif au carburant comme il faut sans cesse patcher votre site pour combler ses vulnérabilités et contrer les attaques, ou tout du moins essayer ! Les Mustang d’aujourd’hui consomment moins et sont plus performantes et efficientes comme votre site web le serait avec la dernière version de PHP. De même que les airbags ou les ceintures de sécurité sont obligatoires aujourd’hui pour des raisons évidentes de sécurité, adoptez les mêmes dispositions sécuritaires sur votre site.

Pour aller plus loin: Les bonnes pratiques d’affaires pour mettre à jour son site web

Bref, il n’est jamais trop tard pour se mettre à jour. Alors si ça n’est pas déjà fait, procédez à la mise à jour de votre site vers PHP 7.3 pour bénéficier d’avantages en termes de performances et de sécurité. Si votre hébergeur actuel n’a pas procédé à la mise à jour de votre site, contactez-le dès à présent. Portez une attention toute particulière à vos extensions, plug-ins et thèmes :  si leurs développeurs n’ont pas encore publié de correctifs, il est grand temps d’adopter des solutions plus sécuritaires.