Thématique : Conférence

  • Les 10 erreurs à éviter lorsque l’on débute avec WordPress

    Les 10 erreurs à éviter lorsque l’on débute avec WordPress

    Il nous arrive parfois de tomber sur des sites WordPress et de voir des erreurs qui nous semblent pourtant tellement évidentes. En voici quelques exemples :

    • des URLs au format « /?p=123 »
    • un /wordpress/ dans l’URL du site
    • ou tout simplement un site piraté

    Et cela tient parfois à une petite manipulation qui aurait pris 30 secondes lors de l’installation ! Entre « bon sens » et best practices, vous allez découvrir dans cet article le compte-rendu du Meetup Toulousain #2 comment éviter de faire des erreurs « toutes bêtes » mais dont les répercussions sont le plus souvent néfastes pour toute la vie du site !

    Erreur #1 : Installer son site dans un répertoire /WordPress/

    Si lorsque vous avez fini d’installer votre site, toutes vos URLs ressemblent à www.monsite.com/wordpress/ c’est que vous n’avez pas mis les fichiers du coeur comme il se doit.

    Alors oui, vous pourriez réparer ce problème au travers des réglages « Adresse web de WordPress (URL) » et « Adresse web du site » (dans Réglages > Général) mais ce ne serait qu’une rustine maladroite.

    La solution : n’envoyez pas tout le dossier dézippé qui s’appelle « wordpress » sur votre serveur mais seulement son contenu. Quitte à recommencer l’installation de votre site.

    Erreur #2 : Laisser la structure de permaliens par défaut

    Que ce soit pour le référencement ou par la facilité de compréhension par  les internautes, il faut éviter les URLs qui ressembleraient à cela : « www.monsite.com/?p=123 ». On lui préférera un format plus explicite du type « www.monsite.com/a-propos/ ».

    L’avantage est qu’en un coup d’oeil on comprend très vite sur quel page web nous allons tomber.

    La solution : dans Réglages > Permaliens, choisissez toujours le réglage « nom de l’article » (/%postname%/). C’est ce qui fonctionnera le mieux dans au moins 90% des cas.

    Erreur #3 :  Publier des pages non terminées « en construction »

    Ce problème n’est absolument pas spécifique à WordPress, vous avez probablement déjà vu de nombreux exemples sur le web. Et je ne parle pas d’ici d’une page de maintenance qui remplace l’intégralité d’un site internet le temps d’une mise à jour par exemple.

    Non, il s’agit plutôt du cas où le site est bien en ligne, vous naviguez normalement de page en page et une ou plusieurs d’entre elles ne sont pas terminées. Que ce soit pour la crédibilité du site ou pour l’indexation du contenu de votre site pour les moteurs de recherche, cette pratique n’est pas optimale.

    La solution : ne publiez pas de page tant qu’elle n’est pas terminée. Et ne faites donc pas de lien vers celle-ci en attendant. Au mieux, préparez cette page en brouillon.

    Erreur #4 : Installer et laisser des plugins que l’on utilise pas/plus

    Du point de vue de la sécurité, le coeur de WordPress est quasi invulnérable. Et en cas de faille, nous verrons le plus souvent une mise à jour automatique de sécurité (si vous l’avez laissée activée) qui viendra s’assurer que votre installation reste protégée.

    Ainsi chaque plugin ou chaque thème que vous ajoutez apporte avec lui sa probabilité de faille de sécurité. Plus vous en avez et plus les chances que l’un d’entre eux rende votre site vulnérable augmentent. Sans compter que dans certains cas les performances de votre site s’en verront réduites.

    La solution : faites le ménage parmi vos plugins et vos thèmes. Désactivez puis supprimez ceux dont vous ne vous servez pas, gardez seulement l’essentiel.

    Erreur #5 : Ne pas faire les MAJ de WordPress régulièrement

    C’est un point que l’on vient rapidement d’aborder mais qui est essentiel pour des raisons de sécurité là encore. Il existe plusieurs types de mises à jour sous WordPress :

    1. Celle du coeur de WordPress,
    2. Celles des plugins,
    3. Celles des thèmes,
    4. Celles des traductions (plus rares).

    Toutes ces mises à jour peuvent potentiellement réparer des failles de sécurité et diminuer les risques de piratage. Il est donc bénéfique d’effectuer les mises à jour régulièrement.

    La solution : faites régulièrement vos mises à jour et regardez les changelogs afin de suivre le travail des développeurs.

    Erreur #6 : Utiliser le login « admin » par défaut

    Si vous avez déjà installé un plugin de sécurité et observé les logs où l’on voit les identifiants qu’utilisent les pirates pour essayer d’entrer dans votre site, vous verrez qu’ « admin » a la côte.

    En effet, cela a longtemps été l’identifiant par défaut proposé par WordPress lors de l’installation. Ce n’est plus le cas aujourd’hui, heureusement.

    Si vous laissez cet identifiant, vous donnez plus de chances aux pirates de s’introduire dans votre site par force brute : ils essaieront plein de combinaisons de mot de passe très rapidement afin de « casser » la protection de WordPress.

    La solution : n’utilisez plus l’identifiant “admin” et personnalisez le nom d’utilisateur dès l’installation de WP. Utilisez votre prénom, ajoutez-y des chiffres… Faites quelque chose qu’un robot ne pourra pas deviner.

    Erreur #7 : Utiliser un mot de passe trop facile

    Dans la lignée du point précédent, avoir un mot de passe trop facile (comme les codes PIN 0000 ou 1234) ne fait que faciliter le travail des pirates. En respectant quelques règles simples vous pouvez au contraire facilement sécuriser votre installation.

    Voici quelques conseils que j’applique moi-même :

    • N’utilisez pas le même mot de passe sur tous vos services en ligne
    • Utilisez une longueur minimale de 8 caractères
    • Variez minuscules et majuscules
    • Insérez des chiffres et des caractères spéciaux

    La solution : utilisez un mot de passe unique et sécurisé !

    Erreur #8 : Ne pas faire de sauvegardes régulières

    Il arrive qu’avec une manipulation hasardeuse votre site soit « cassé ». Ou bien qu’on ait finalement réussi à vous pirater. Dans ces cas-là, il est nécessaire d’avoir des sauvegardes de votre site dans le but de ne pas avoir à tout recommencer à zéro.

    C’est une des opérations essentielles dans la sécurisation d’un site. Mais attention à bien sauvegarder les deux parties de votre site :

    • Les fichiers du site
    • La base de données

    Certains ne jureront que par des méthodes « maison » pour faire les sauvegardes, d’autres compteront sur leur hébergeur mais vous pouvez également utiliser des plugins. Pour plus de détails, vous pouvez consulter le compte-rendu d’une table ronde de notre premier barcamp sur la Sécurité WordPress.

    La solution : faites des sauvegardes régulières de votre site et veillez bien à avoir vos backups ailleurs que sur votre serveur. Préférez-y un stockage distant comme un autre serveur (via FTP) ou encore Dropbox ou Google Drive.

    Erreur #9 : Garder le préfixe « WP » de la base de données

    Il s’agit là encore d’un paramètre par défaut qui, s’il n’est pas changé, va faciliter le travail des pirates.

    Lorsque l’on vous demande un préfixe pour table de base de données, ne mettez pas « wp_ ».

    La solution : personnalisez le préfixe, mettez les 3 premières lettres du site suivies d’un underscore (tiret du 8) par exemple.

    Erreur #10 : Mal utiliser les catégories et les mots clés*

    C’est probablement le point le plus compliqué à régler parce qu’il n’y a pas de solution facile. C’est un problème à la croisée de l’ergonomie, de l’architecture de contenu et du référencement.

    La gestion des taxonomies est toujours problématique est requiert des compétences en architecture de contenu : l’art de savoir organiser vos pages web d’une façon optimale.

    Et l’on voit souvent des sites avec des dizaines de catégories et des centaines de mots-clés*. Alors que leur rôle est d’améliorer la navigation, on obtient l’effet inverse. Cela devient très complexe pour les internautes et cela crée du contenu dupliqué aux yeux des moteurs de recherche. Deux éléments qui vont handicaper les performances de notre site.

    La solution : Il n’y a cette fois-ci pas de solution universelle. Cependant en suivant quelques règles vous arriverez probablement à des taxonomies efficaces :

    • 1 article = 1 catégorie (parent ou enfant),
    • 1 article = 1 à 3 mot-clé(s),
    • Un mot clé ne doit exister que s’il sera utilisé dans plusieurs articles.

    Veillez également à retirer la catégorie « non classé » qui existe par défaut.

    * les mots-clés s’appellent « étiquettes » depuis WordPress 4.2

    Erreur bonus : éviter l’erreur humaine

    Un membre de l’assistance nous a fait part de sa méthode pour sécuriser WordPress, elle s’adresse surtout aux les prestataires.

    Il s’agit de proposer un forfait de maintenance à son client afin de continuer à mettre à jour son site. Mais ce dernier n’a pas de droit d’administration sur son site, il a seulement le rôle d’éditeur. Ainsi il ne peut pas faire de mauvaises manipulations !

    On a vu que chaque plugin et chaque thème venait ajouter son lot de probabilité qu’une faille apparaisse. Il en va de même avec les humains : plus vous multiplierez les utilisateurs avec des droits d’administration et plus vous courrez le risque qu’un problème apparaisse.

    https://fr.slideshare.net/nicolasricher/les-10-erreurs-des-debutants-avec-wordpress

    Crédits photo : Si vous êtes la personne qui a pris cette photo, merci de vous manifester !

  • Quel futur pour WordPress ?

    Quel futur pour WordPress ?

    J’ai tenu cette conférence à l’occasion du premier Meetup toulousain, le 3 Mars 2014.
    Ma volonté au travers de cette conférence était de proposer ma vision de l’écosystème WordPress et de sa viabilité économique pour nous, prestataires.

    Afin de répondre à cette problématique, il faut commencer par un retour en arrière pour comprendre les motivations derrière la création de notre CMS préféré. Et les motivations « politiques » dirons-nous sont claires : il s’agit de créer une plateforme de blogging pérenne et open-source. La vision a évolué depuis (WordPress fait bien plus que du blogging) mais l’aspect « ouvert et gratuit » est toujours intact.

    Mais toute entreprise se doit de répondre à une réalité économique : il faut vivre et faire vivre ses employés. C’est pour cela que la société Automattic est née : elle a pour rôle de développer (en partie) et distribuer WordPress. Elle tire ses revenus de WordPress.com (à opposer à WordPress.org), de WordPress VIP ainsi que de l’édition et la vente de plugins complémentaires.

    Sa santé financière est belle et bien établie : cela permet de consacrer des moyens au développement de WordPress aux côtés de la communauté Open-Source. Oui, WordPress n’est pas développé que par Automattic mais par de nombreux bénévoles dans le monde entier.

    Toutes les conditions sont réunies pour que WordPress continue à être développé et la vision de son fondateur, Matt Mullenweg est on-ne-peut-plus claire : faire de son CMS un système d’exploitation web. Bref, lorsque l’on veut réaliser un projet web on installe WordPress (qui fait office d’OS) puis on ajoute des thèmes et extensions pour arriver au résultat désiré.

    Nous sommes également dans un écosystème qui mûrit : les dérives observées par le passé commencent à disparaître grâce à une réflexion au niveau mondial. Par exemple les thèmes commencent à se séparer des « fonctions » pour les mettre dans des plugins et ainsi permettre une pérennité accrue de nos projets web. Enfin, tout le monde n’en est pas encore là (coucou Themeforest !).

    Autre exemple : nous assistons à la création d’écosystèmes entiers autour de plugins particuliers. On peut citer WooCommerce (e-commerce) ou GravityForms (formulaires) qui en viennent à écraser leur concurrence et s’imposer comme les solutions phares de leur catégorie. C’est pourquoi des plugins viennent compléter ces plugins phares. On parlera alors « d’add-on ».

    La communauté grandit et mûrit elle aussi. La gratuité et la collaboration sont dans son ADN et avec le temps nous observons l’émergence de plus en plus de Meetups et de WordCamps ou d’événements indépendants.

    Et si vous souhaitez en savoir plus sur les concurrents qui se positionnent uniquement dans le blogging pour concurrencer WordPress puis mes conclusions sur l’avenir de WordPress, consultez la suite de cette conférence via le SlideShare ci-dessous.

    https://fr.slideshare.net/nicolasricher/wordpress-meetup-toulouse1futurwordpress

    Crédits photo : Olivier Gobet