WordPress
Jurassique
10 conseils pour sortir votre site de la préhistoire

Michael Chrichton
“ Vous savez, à des moments comme ceux-ci, on ne peut s’empêcher
de penser que ces animaux préhistoriques devraient demeurer éteints.”
vieilles habitudes

Qui suis-je ?
• Sur le web depuis 1992…
Netscape 2, Internet Explorer 1
• ARSENEAULT Consultation (2009)
Proprio, intégrateur, designer,
vendeur, comptable, réceptionniste
• Propulsif Inc. (2014)
Co-fondateur, architecte et plein
d’autres “chapeaux”
• Présent à #wcmtl depuis 2010,
conférencier depuis 2011
• La présentation est disponible à
slideshare.net/jfarsen

Vieilles habitudes
• Hébergement
• Installation
• FTP
• Thèmes
• Extensions
• Médias
• Backups
• Performance
• Mises-à-jour
• Sécurité

Hébergement : “tous pareils… je veux pas payer cher.”
En fait, on n’a jamais eu autant de choix pour l’hébergement
web : mutualisé, optimisé, VPS, dédié, cloud, managed, etc
Soutien 7/24 (par
téléphone)
!
Panneau de contrôle
Base
Accès SSH
!
Caching
Accès GIT
!
Env de staging
!
Stack variés
Intermédiaire Avancé
cPanel, DirectAdmin, etc OpCode, Memcache, Varnish, Nginx, MariaDB, PCI etc

Installation : “Pffft… installer, c’est installer.”
Pas tout à fait. Certaines procédures d’installation sont plus
sécuritaires, évolutives et flexibles. Fantastico non-recommandé.
Installation manuelle
par FTP
Base
Clonage à partir
d’une installation
précédente
GIT clone
!
Synchronisation DB
Intermédiaire Avancé
InfiniteWP, Backup Buddy,
ManageWP, etc
WP Migrate DB Pro

FTP : “Moi, je fais tout avec (insérer logiciel FTP)”
Le protocole FTP est lent, non-sécurisé, introduit des erreurs
lors des transferts, peu fiable pour des milliers de fichiers, etc
Configurez votre
logiciel FTP pour
utiliser SFTP
Base
Configurez votre
logiciel FTP pour
utiliser des clés SSH
sécurisées
Utilisez GIT pour
déployer vos
changements sur
votre site
automatiquement
Intermédiaire Avancé
WinSCP, Filezilla, Cyberduck, Transmit, etc
DeployHQ, Beanstalk,
Dploy.io, Capistrano, etc

Thèmes : “j’ai trouvé un thème gratuit sur #@&%.lol”
Les thèmes gratuits provenant de sources douteuses sont
un des principaux vecteurs d’attaques sur WordPress.
N’utilisez que des
thèmes provenant de
wordpress.org
Base
Choisissez des
thèmes de
programmeurs
reconnus
Créez votre propre
thème à partir de
frameworks GPL
reconnus
Intermédiaire Avancé
Genesis, WooThemes,
Headway, Elegant Themes,
Thesis, etc
Underscores, Roots,
Bones, Zurb, Hybrid Core,
Gantry, Whiteboard, etc

Extensions : “d’où ça vient? Bah, ça fonctionne…”
Les extensions sont devenues la menace #1 en terme de risque pour
un site, un compte d’hébergement et même un serveur au complet !
N’utilisez que des
extensions provenant
de wordpress.org
Base
Achetez des
extensions de
programmeurs
reconnus
Obtenez des
extensions de
marchés en ligne
Intermédiaire Avancé
RocketGenius, Woo,
OnTheGo Systems, Yoast,
MailPoet, iThemes, etc
ThemeForest, WPMU DEV,
etc

Médias : “C’est super facile d’ajouter des fichiers !”
2003: caméras à 4 mégapixels. 2014: 15-20+ mégapixels.
Et les PDFs, et les MP3s, et les vidéos … ouch!
Hébergez vos vidéos
dans le cloud
!
Redimensionnez vos
images.
Base
Utiliser des plugins
d’optimisation
Utilisez un CDN pour
vos médias
Intermédiaire Avancé
Smush.it, EWWW,
Imsanity, etc
Photon, Amazon,
CloudFlare, MaxCDN, etc
YouTube, Vimeo,
VideoPress, SoundCloud

Backups : “Bof… mon hébergeur doit en avoir…”
NON. NON. NON. C’est VOTRE responsabilité. Un backup complet inclut
fichiers et base de données, pris à intervalles réguliers, et stocké ailleurs que
sur votre compte d’hébergement.
Plugin de backup de
base
Base
Procédure de
backups hors-site et
de restoration
documentée et
testée
Architecture web
redondante
!
(ce qui n’exclut pas le besoin
de faire des backups…)
Intermédiaire Avancé
BackWPUp, XCloner,
Backup Buddy,
UpDraftPlus, etc
Anycast DNS, Load
Balancing, Clustering,
Virtualisation, etc
VaultPress

Performance : “Regarde mon site… ça s’en vient là…”
Les attentes sont de moins de 8 secondes, ordinateur ou mobile.
Et le site mobile se doit d’être optimisé et facilement lisible.
Moins de plugins
!
Taille des images
!
Optimisation de DB
Base
Plugin de caching
!
Configuration PHP
SPDY
!
mod_pagespeed
!
Tuning de DB
Intermédiaire Avancé
W3 Total Cache, WP
Super Cache, PHP FPM
WP-Optimize, WP Clean
Up, etc

Mises-à-jour : “Quand j’y pense, de temps en temps…”
WordPress se met à jour automatiquement, mais pas vos plugins
et thèmes. Et le OS et panneau de contrôle de votre serveur…?
Utiliser un
hébergement de type
“Managed
WordPress”
Base
Faire les mises-à-jour
à chaque semaine,
au minimum
Utiliser un système
de mise-à-jour
automatisé
Intermédiaire Avancé
WP Engine, FlyWheel,
Pressable, Pagely,
WebSynthesis, etc
cPanel, InfiniteWP,
ManageWP, MainWP, WP
Remote, etc

Sécurité : “par défaut, c’est sécuritaire … ?”
Euh.. ça dépend… de la méthode d’installation, de
l’hébergeur, des choix qu’on fait durant l’installation, etc
Pas d’usager ‘admin’
et mot de passe
complexe
!
Utiliser un plugin
antiSPAM
Base
Utiliser un plugin de
sécurité complet
Ajouter un pare-feu
applicatif
!
Sécuriser wp-
config.php
Intermédiaire Avancé
Akismet Sucuri WAF, CloudFlare
Sucuri, iThemes Security,
WordFence, Limit Login,
etc