Sauvegarder WordPress correctement
Une bonne sauvegarde transforme un piratage en simple contretemps. Voici quoi sauvegarder, à quelle fréquence, où la stocker et comment vérifier qu'elle fonctionne.
Sauvegarder WordPress, c’est la différence entre un piratage qui vous coûte une demi-journée et un piratage qui vous coûte votre site. Le jour où une intrusion casse tout, une sauvegarde propre vous permet de revenir en arrière en quelques minutes. Sans elle, vous reconstruisez à partir de rien, parfois sans le contenu accumulé pendant des années.
La bonne nouvelle : une sauvegarde correcte se met en place une fois et tourne toute seule. Encore faut-il sauvegarder les bonnes choses, au bon endroit, et vérifier qu’elle marche. Voici comment faire.
sauvegardez les fichiers ET la base de données
Un site WordPress, ce sont deux blocs distincts.
- Les fichiers : le cœur de WordPress, vos thèmes, vos extensions, et surtout le dossier
wp-content/uploadsqui contient toutes vos images et médias. - La base de données : tous vos articles, vos pages, vos commentaires, vos réglages, vos comptes utilisateurs.
Si vous ne sauvegardez que les fichiers, vous récupérez le décor mais aucun texte. Si vous ne sauvegardez que la base, vous récupérez les textes mais plus une seule image. Dans les deux cas la restauration est inutilisable. Une vraie sauvegarde contient les deux, datés du même moment.
C’est l’erreur la plus fréquente que je vois : des gens persuadés d’être couverts parce qu’ils exportent leurs articles depuis l’outil d’export de WordPress. Cet export ne contient ni les images, ni les réglages, ni les comptes. Ce n’est pas une sauvegarde complète.
à quelle fréquence sauvegarder
La fréquence dépend du rythme auquel votre site change. La règle simple : vous devez pouvoir vous permettre de perdre tout ce qui s’est passé depuis la dernière sauvegarde.
- Site vitrine, rarement modifié : une sauvegarde par semaine suffit, parfois une par mois si vous n’y touchez jamais. Pensez quand même à déclencher une sauvegarde manuelle juste avant une mise à jour importante ou un changement de thème.
- Blog ou site qui publie régulièrement : une sauvegarde par jour. Vous ne voulez pas réécrire trois articles parce que la sauvegarde datait de lundi.
- E-commerce ou site avec commandes, réservations, comptes clients : sauvegarde quotidienne au minimum, voire toutes les heures. Chaque commande perdue est une vraie commande, avec un vrai client derrière.
Pour la plupart des sites, une sauvegarde quotidienne automatique est le bon réglage par défaut. C’est rarement trop, et ça vous évite d’avoir à y penser.
stockez la sauvegarde ailleurs que sur le serveur
C’est le point que presque tout le monde rate, et c’est celui qui compte le plus le jour d’un piratage.
Une sauvegarde stockée sur le même serveur que votre site ne vous protège pas. Si un pirate prend la main sur votre hébergement, il a accès à vos sauvegardes en même temps qu’à votre site. Il peut les chiffrer, les effacer, ou les infecter. Vous vous retrouvez avec un site cassé et des sauvegardes inaccessibles. Même chose si votre serveur tombe en panne pour une raison technique : tout disparaît d’un coup.
La règle : au moins une copie de votre sauvegarde doit vivre en dehors du serveur. Concrètement, envoyez vos sauvegardes vers un espace de stockage externe :
- un service cloud comme Google Drive, Dropbox, ou un stockage objet type Amazon S3 ou Backblaze ;
- un serveur distant séparé de votre hébergement ;
- à la rigueur, un téléchargement régulier sur votre propre ordinateur, en complément.
La plupart des outils de sauvegarde savent envoyer automatiquement les fichiers vers ces destinations. Configurez cet envoi une fois, et votre copie externe se constitue toute seule.
les outils pour automatiser
Vous avez trois grandes options, qui se combinent très bien.
les sauvegardes de votre hébergeur
La plupart des hébergeurs proposent des sauvegardes automatiques, parfois incluses, parfois en option payante. C’est un bon filet de sécurité, mais avec deux limites : elles sont stockées chez l’hébergeur (donc pas vraiment “ailleurs”), et vous dépendez de leur fréquence et de leur durée de conservation, que vous ne contrôlez pas toujours. Vérifiez ce que votre hébergeur garde réellement, et sur combien de temps. Ne comptez pas dessus comme seule protection.
une extension de sauvegarde
C’est l’option la plus souple et celle que je recommande pour garder le contrôle. UpdraftPlus est la référence gratuite : il sauvegarde fichiers et base, programme l’automatisation, et envoie les copies vers le cloud de votre choix. D’autres font le même travail, comme BackWPup ou Solid Backups. Le réglage type : sauvegarde quotidienne ou hebdomadaire selon votre site, envoi automatique vers un stockage externe, et restauration en un clic depuis l’interface.
la sauvegarde manuelle ponctuelle
Avant toute opération à risque (mise à jour majeure, changement de thème, intervention sur le code), déclenchez une sauvegarde manuelle. Ça prend deux minutes et ça vous donne un point de retour immédiat si quelque chose se passe mal.
gardez plusieurs versions datées
Une seule sauvegarde, écrasée à chaque fois, ne suffit pas. Voici pourquoi.
Un piratage n’est pas toujours détecté tout de suite. Un site peut être infecté pendant des jours ou des semaines avant que vous vous en rendiez compte. Si votre seule sauvegarde date d’hier, elle contient peut-être déjà la backdoor du pirate. Vous restaurez, et vous réinstallez l’infection en même temps que votre contenu.
La parade : conserver plusieurs copies datées, sur une période suffisante. Par exemple, les 7 dernières sauvegardes quotidiennes plus quelques sauvegardes hebdomadaires. Vous pouvez alors remonter à une version d’avant l’infection. La plupart des outils gèrent cette rétention automatiquement : vous fixez le nombre de copies à garder, et les plus anciennes sont supprimées au fur et à mesure.
Cette profondeur dans le temps, c’est exactement ce qui vous permet de restaurer votre contenu le jour d’un piratage à partir d’une version saine, plutôt que de réinjecter le problème.
testez vos restaurations
Une sauvegarde jamais testée n’est pas une sauvegarde, c’est une supposition.
On découvre souvent qu’une sauvegarde est corrompue, incomplète ou impossible à restaurer au pire moment : pendant l’urgence. Le fichier était vide depuis trois mois, l’envoi vers le cloud avait silencieusement échoué, la base n’était pas incluse. Personne ne s’en était aperçu parce que personne n’avait essayé de restaurer.
Prenez l’habitude de tester une restauration de temps en temps, deux ou trois fois par an. Le plus propre : restaurez votre sauvegarde sur un site de préproduction (un site de test, séparé du vrai), et vérifiez que tout est là, que les pages s’affichent, que les images chargent. Beaucoup d’hébergeurs et d’extensions permettent de créer un tel environnement de test en quelques clics. Si vous n’en avez pas, ouvrez au moins l’archive de sauvegarde et vérifiez qu’elle contient bien les fichiers et un export de base de données de taille cohérente.
questions fréquentes
Une sauvegarde suffit-elle pour être protégé d’un piratage ? Elle vous permet de revenir en arrière, mais elle ne corrige pas la faille qui a laissé entrer le pirate. Si vous restaurez sans rien changer, le site peut être recompromis par la même porte. Après une restauration, suivez la checklist de sécurisation complète pour fermer l’entrée.
Combien de temps faut-il garder ses sauvegardes ? Au moins quelques semaines de profondeur. L’idée est de pouvoir remonter avant une infection qui serait passée inaperçue pendant un certain temps. Un mois de copies datées est un bon point de départ pour un site courant.
Mon hébergeur sauvegarde déjà, ai-je besoin d’autre chose ? Oui. Une sauvegarde chez l’hébergeur reste sur le même environnement que votre site et échappe à votre contrôle. Ajoutez votre propre sauvegarde, envoyée vers un stockage externe, dont vous maîtrisez la fréquence et la conservation.
si le mal est déjà fait
Tout ça vaut pour vous préparer avant l’incident. Si votre site est déjà compromis, ne perdez pas de temps à improviser une sauvegarde par-dessus l’infection : voyez d’abord que faire si le site est déjà piraté.
Et si vous voulez déléguer le nettoyage, c’est exactement ce que fait WP-Detox. Le scan est gratuit et vous dit où vous en êtes. Si vous lancez le nettoyage, on retire les backdoors et le contenu injecté, on remet le site en état, et on prend une sauvegarde avant toute intervention pour pouvoir revenir en arrière si besoin. Comptez environ 30 minutes, 149 € tout compris, et remboursé si on échoue.