Il nous arrive parfois de tomber sur des sites WordPress et de voir des erreurs qui nous semblent pourtant tellement évidentes. En voici quelques exemples :
- des URLs au format « /?p=123 »
- un /wordpress/ dans l’URL du site
- ou tout simplement un site piraté
Et cela tient parfois à une petite manipulation qui aurait pris 30 secondes lors de l’installation ! Entre « bon sens » et best practices, vous allez découvrir dans cet article le compte-rendu du Meetup Toulousain #2 comment éviter de faire des erreurs « toutes bêtes » mais dont les répercussions sont le plus souvent néfastes pour toute la vie du site !
Erreur #1 : Installer son site dans un répertoire /WordPress/
Si lorsque vous avez fini d’installer votre site, toutes vos URLs ressemblent à www.monsite.com/wordpress/ c’est que vous n’avez pas mis les fichiers du coeur comme il se doit.
Alors oui, vous pourriez réparer ce problème au travers des réglages « Adresse web de WordPress (URL) » et « Adresse web du site » (dans Réglages > Général) mais ce ne serait qu’une rustine maladroite.
La solution : n’envoyez pas tout le dossier dézippé qui s’appelle « wordpress » sur votre serveur mais seulement son contenu. Quitte à recommencer l’installation de votre site.
Erreur #2 : Laisser la structure de permaliens par défaut
Que ce soit pour le référencement ou par la facilité de compréhension par les internautes, il faut éviter les URLs qui ressembleraient à cela : « www.monsite.com/?p=123 ». On lui préférera un format plus explicite du type « www.monsite.com/a-propos/ ».
L’avantage est qu’en un coup d’oeil on comprend très vite sur quel page web nous allons tomber.
La solution : dans Réglages > Permaliens, choisissez toujours le réglage « nom de l’article » (/%postname%/). C’est ce qui fonctionnera le mieux dans au moins 90% des cas.
Erreur #3 : Publier des pages non terminées « en construction »
Ce problème n’est absolument pas spécifique à WordPress, vous avez probablement déjà vu de nombreux exemples sur le web. Et je ne parle pas d’ici d’une page de maintenance qui remplace l’intégralité d’un site internet le temps d’une mise à jour par exemple.
Non, il s’agit plutôt du cas où le site est bien en ligne, vous naviguez normalement de page en page et une ou plusieurs d’entre elles ne sont pas terminées. Que ce soit pour la crédibilité du site ou pour l’indexation du contenu de votre site pour les moteurs de recherche, cette pratique n’est pas optimale.
La solution : ne publiez pas de page tant qu’elle n’est pas terminée. Et ne faites donc pas de lien vers celle-ci en attendant. Au mieux, préparez cette page en brouillon.
Erreur #4 : Installer et laisser des plugins que l’on utilise pas/plus
Du point de vue de la sécurité, le coeur de WordPress est quasi invulnérable. Et en cas de faille, nous verrons le plus souvent une mise à jour automatique de sécurité (si vous l’avez laissée activée) qui viendra s’assurer que votre installation reste protégée.
Ainsi chaque plugin ou chaque thème que vous ajoutez apporte avec lui sa probabilité de faille de sécurité. Plus vous en avez et plus les chances que l’un d’entre eux rende votre site vulnérable augmentent. Sans compter que dans certains cas les performances de votre site s’en verront réduites.
La solution : faites le ménage parmi vos plugins et vos thèmes. Désactivez puis supprimez ceux dont vous ne vous servez pas, gardez seulement l’essentiel.
Erreur #5 : Ne pas faire les MAJ de WordPress régulièrement
C’est un point que l’on vient rapidement d’aborder mais qui est essentiel pour des raisons de sécurité là encore. Il existe plusieurs types de mises à jour sous WordPress :
- Celle du coeur de WordPress,
- Celles des plugins,
- Celles des thèmes,
- Celles des traductions (plus rares).
Toutes ces mises à jour peuvent potentiellement réparer des failles de sécurité et diminuer les risques de piratage. Il est donc bénéfique d’effectuer les mises à jour régulièrement.
La solution : faites régulièrement vos mises à jour et regardez les changelogs afin de suivre le travail des développeurs.
Erreur #6 : Utiliser le login « admin » par défaut
Si vous avez déjà installé un plugin de sécurité et observé les logs où l’on voit les identifiants qu’utilisent les pirates pour essayer d’entrer dans votre site, vous verrez qu’ « admin » a la côte.
En effet, cela a longtemps été l’identifiant par défaut proposé par WordPress lors de l’installation. Ce n’est plus le cas aujourd’hui, heureusement.
Si vous laissez cet identifiant, vous donnez plus de chances aux pirates de s’introduire dans votre site par force brute : ils essaieront plein de combinaisons de mot de passe très rapidement afin de « casser » la protection de WordPress.
La solution : n’utilisez plus l’identifiant “admin” et personnalisez le nom d’utilisateur dès l’installation de WP. Utilisez votre prénom, ajoutez-y des chiffres… Faites quelque chose qu’un robot ne pourra pas deviner.
Erreur #7 : Utiliser un mot de passe trop facile
Dans la lignée du point précédent, avoir un mot de passe trop facile (comme les codes PIN 0000 ou 1234) ne fait que faciliter le travail des pirates. En respectant quelques règles simples vous pouvez au contraire facilement sécuriser votre installation.
Voici quelques conseils que j’applique moi-même :
- N’utilisez pas le même mot de passe sur tous vos services en ligne
- Utilisez une longueur minimale de 8 caractères
- Variez minuscules et majuscules
- Insérez des chiffres et des caractères spéciaux
La solution : utilisez un mot de passe unique et sécurisé !
Erreur #8 : Ne pas faire de sauvegardes régulières
Il arrive qu’avec une manipulation hasardeuse votre site soit « cassé ». Ou bien qu’on ait finalement réussi à vous pirater. Dans ces cas-là, il est nécessaire d’avoir des sauvegardes de votre site dans le but de ne pas avoir à tout recommencer à zéro.
C’est une des opérations essentielles dans la sécurisation d’un site. Mais attention à bien sauvegarder les deux parties de votre site :
- Les fichiers du site
- La base de données
Certains ne jureront que par des méthodes « maison » pour faire les sauvegardes, d’autres compteront sur leur hébergeur mais vous pouvez également utiliser des plugins. Pour plus de détails, vous pouvez consulter le compte-rendu d’une table ronde de notre premier barcamp sur la Sécurité WordPress.
La solution : faites des sauvegardes régulières de votre site et veillez bien à avoir vos backups ailleurs que sur votre serveur. Préférez-y un stockage distant comme un autre serveur (via FTP) ou encore Dropbox ou Google Drive.
Erreur #9 : Garder le préfixe « WP » de la base de données
Il s’agit là encore d’un paramètre par défaut qui, s’il n’est pas changé, va faciliter le travail des pirates.
Lorsque l’on vous demande un préfixe pour table de base de données, ne mettez pas « wp_ ».
La solution : personnalisez le préfixe, mettez les 3 premières lettres du site suivies d’un underscore (tiret du 8) par exemple.
Erreur #10 : Mal utiliser les catégories et les mots clés*
C’est probablement le point le plus compliqué à régler parce qu’il n’y a pas de solution facile. C’est un problème à la croisée de l’ergonomie, de l’architecture de contenu et du référencement.
La gestion des taxonomies est toujours problématique est requiert des compétences en architecture de contenu : l’art de savoir organiser vos pages web d’une façon optimale.
Et l’on voit souvent des sites avec des dizaines de catégories et des centaines de mots-clés*. Alors que leur rôle est d’améliorer la navigation, on obtient l’effet inverse. Cela devient très complexe pour les internautes et cela crée du contenu dupliqué aux yeux des moteurs de recherche. Deux éléments qui vont handicaper les performances de notre site.
La solution : Il n’y a cette fois-ci pas de solution universelle. Cependant en suivant quelques règles vous arriverez probablement à des taxonomies efficaces :
- 1 article = 1 catégorie (parent ou enfant),
- 1 article = 1 à 3 mot-clé(s),
- Un mot clé ne doit exister que s’il sera utilisé dans plusieurs articles.
Veillez également à retirer la catégorie « non classé » qui existe par défaut.
* les mots-clés s’appellent « étiquettes » depuis WordPress 4.2
Erreur bonus : éviter l’erreur humaine
Un membre de l’assistance nous a fait part de sa méthode pour sécuriser WordPress, elle s’adresse surtout aux les prestataires.
Il s’agit de proposer un forfait de maintenance à son client afin de continuer à mettre à jour son site. Mais ce dernier n’a pas de droit d’administration sur son site, il a seulement le rôle d’éditeur. Ainsi il ne peut pas faire de mauvaises manipulations !
On a vu que chaque plugin et chaque thème venait ajouter son lot de probabilité qu’une faille apparaisse. Il en va de même avec les humains : plus vous multiplierez les utilisateurs avec des droits d’administration et plus vous courrez le risque qu’un problème apparaisse.
Crédits photo : Si vous êtes la personne qui a pris cette photo, merci de vous manifester !