Articles

Optimisations sécurité, performances et seo.

Détails prestation

– Mise en https, sécurisation basique et correction accès robots
– Optimisations performances : optimisations images et base de données, nettoyage extensions et thèmes
– Optimisations seo : intégration extension seo, révision sitemap, connexion google analytics
– Corrections mineures : boutons de partage, traductions noyau wordpress, révision menus…


Voir le site

Sécurité et optimisations – Dynamic Aqua.

Détails prestation

– mises à jours noyau wordpress, extensions et thèmes
– optimisation sécurité : vérifications failles, antispam formulaires, corrections ssl, remplacement éventuel extension
– optimisations performances : cache, images, base de données
– optimisations seo : corrections hiérarchie titres Hn, correction sitemap et paramètres seo


Voir le site

Sécurité et optimisations – Methodacting.

Détails prestation

– recherche failles et malwares et remplacement extension de sécurité
– résolution problème https/ssl et finalisation sécurisation images
– mises à jour et nettoyage extensions/thèmes
– Optimisation base de données, cache et images


Voir le site

Débogage et sécurité – Catherine Roujean

Détails prestation

– débogage connexion base de données
– remplacement extension de sécurité
– correction erreurs 403


Voir le site

Avec sa nouvelle version 5.2 le tableau de bord par défaut de WordPress (le “core” ou noyau) s’équipe d’une nouvelle page dans le menu “outils” : “santé du site”.

Il s’agit en fait d’une version réduite de la fameuse extension Health Check & Troubleshouting, laquelle étend les informations figurant sur la page santé du site et permet notamment de passer en mode dépannage (mode “virtuel” de débogage où les extensions et thèmes peuvent être activés/désactivés pour recherche de la source d’un problème).

L’interface fournit une notation globale en pourcentage de la santé de votre site. Celle-ci est basée sur les éléments de configuration requis par WordPress (version php, sql, présence API REST, etc) ajoutés de notifications de sécurité ou d’optimisation.

L’interface présente deux onglets : état du site et informations sur l’environnement du site.
Ces informations constituent un audit global devant vous aider à des actions d’optimisation, dont la priorité vous est donnée : actions critiques donc urgentes, actions recommandées de moindre priorité… et les points de validation passés sans problèmes.

Ecran santé du site

Voici ci-dessous un inventaire des points les plus simples à solutionner.

Versions PHP/SQL

Bien que les dernières versions de WordPress demandent du PHP 7.3 (requis WordPress) il n’est pas toujours supporté par votre environnement spécifique.
La modification de votre version PHP peut généralement être faite simplement depuis votre tableau de bord hébergeur.
Procédez par étapes en testant d’abord la version la plus haute, PHP 7.3, puis les versions plus basses (7.2, 7.1, 7.0…), tout en actualisant à chaque fois votre site pour voir si la version est supportée par votre environnement particulier.

Extensions et thèmes inactifs

Pour des raisons de sécurité, voire de performances, il n’est pas recommandé de conserver les extensions ou thèmes que vous n’utilisez pas.
Néanmoins, si vous voulez toutefois garder une extension ou deux sous le coude, pas de souci. De même pour les thèmes il est conseillé de conserver un thème par défaut, en cas de bug sur votre thème principal.

Mises à jour

Rappelons-le encore, même si certaines mises à jour peuvent poser des problèmes, ce qui est plutôt rare, celles-ci participent à la bonne santé de votre site car, au-delà des améliorations de fonctionnalités qu’elles apportent, elles comportent aussi généralement des corrections de mini bugs constatés par leurs développeurs ainsi que des améliorations de sécurité.
Pour votre thème, si vous avez peur que la mise à jour supprime vos personnalisations, la solution passe par la création d’un thème enfant, ce qui devrait conserver vos ajustements.

REST API

Le système REST API permet une communication entre votre site et divers services ou applications, comme votre serveur ou encore les API google vous fournissant une carte, un captcha antispam…
Si votre API REST est bloquée, cela peut provenir par exemple d’une option de votre système de sécurité ou encore de votre extension de mise en cache. Il suffit alors de décocher l’option en question pour rétablir la fonctionnalité. De même si vous désactivez complètement le XML-RPC cela peut bloquer votre API REST.

Options REST API sur l'extension de cache W3 Total Cache.

Options REST API sur l’extension de cache W3 Total Cache.

Option REST API sur l'extension de sécurité All in one security.

Option REST API sur l’extension de sécurité All in one security.

Options XML-RPC sur l'extension de sécurité All in one security.

Options XML-RPC sur l’extension de sécurité All in one security.

HTTPS et redirection SSL

De nos jours il est conseillé d’opter pour une url sécurisée sur votre site, c’est-à-dire débutant par https au lieu de http.
Les moteurs de recherche favorisent votre indexation quand c’est le cas et c’est aussi un gage de sérieux pour votre image de marque.
Vous pouvez généralement activer vous-même un certificat gratuit SSL “Let’s encrypt” sur votre espace d’hébergement.
Ceci fait, des extensions comme Really Simple SSL et/ou SSL Insecure Content Fixer vous permettront d’étendre le SSL à tout votre site.

Epilogue

Pour le reste des points plus complexes à optimiser (erreurs librairie CURL, modules Imagick manquants, requêtes de bouclage, inaction des constantes wordpress, …), une tentative de restauration peut-être faite par les biais suivants :
– détection des extensions, thèmes ou autres causes de conflits : désactiver vos extensions/thèmes un à un ou bien utiliser des outils comme PHP Compatibility Checker, Query Monitor et bien sûr Health Check & Troubleshooting.
– demander conseil à votre support d’hébergement
– changer d’hébergeur pour votre site (par expérience sur ovh.com les notes sont généralement bonnes d’emblée ce qui n’est pas le cas sur hostpoint.ch par exemple).

That’s all folks !

Sources :
Les nouveautés de WordPress 5.2 «Jaco»
The WordPress Site Health Check – Help or Hindrance?

Vos newsletters finissent dans la boîte antispam de vos abonnés ?

Entre autres choses, une des solutions consiste à authentifier les mails délivrés par votre nom de domaine.

Pour cela vous allez devoir ajouter, dans la zone DNS de votre hébergeur favori (OVH, Hostpoint, etc), des paramètres à valeur de signatures, indiquant aux serveurs de mail (gmail, hotmail, Yahoo, etc) qu’ils peuvent faire confiance à votre nom de domaine.

SPF

SPF ou Sender Policy Framework est un système permettant aux serveurs de mails de vérifier que le mail envoyant le message est autorisé à envoyer des mails pour le nom de domaine.

Pour créer un SPF pour votre nom de domaine vous devez aller dans votre espace d’hébergement, puis dans la rubrique DNS.

Ensuite vous allez ajouter un nouvel enregistrement TXT à votre tableau de paramètres, comme celui-ci :

Name: [votre nom de domaine] (ex : buddy-wds.com)
Type: TXT
Value: “v=spf1 include:[votre serveur de messagerie] ~all" (ex : _spf.google.com si votre serveur de messagerie est Google)
TTL: 86400 (ou autre valeur proposée par votre hébergeur : 300, 3600...)

Pour en savoir plus sur les arguments qu’il est possible de passer en paramètres, voir le lien ci-dessous “Tout sur SPF”. Pour vous faciliter la mise en place de la bonne syntaxe SPF, les hébergeurs proposent parfois un assistant ou un SPF par défaut. Chez OVH par exemple l’assistant vous proposera ceci :

v=spf1 include:mx.ovh.com ~all

Par contre si vous testez votre SPF sur l’outil de test de Google, celui-ci vous proposera d’ajouter ses propres serveurs, ce qui donnera la syntaxe suivante :

v=spf1 include:mx.ovh.com include:_spf.google.com ~all

Après avoir installé votre SPF, il convient, dans l’ordre, de mettre en place d’abord le DKIM, le dernier paramètre de votre signature globale, soit le DMARC, vérifiant lui-même les 2 précédents paramètres afin d’authentifier votre signature.

DKIM

La norme DKIM ou DomainKeys Identified Mail  vous fournit une clé d’identification supplémentaire attestant de votre identité.

L’usurpation d’identité, ou spoofing, est la falsification du contenu d’un e-mail pour faire croire que le message provient d’une personne ou d’un endroit autre que la source réelle. Le spoofing est une pratique illégale courante. Certains serveurs de messagerie requièrent donc la mise en œuvre de la norme DKIM pour lutter contre cette pratique.

Pour générer votre clé de domaine DKIM vous devrez vous ouvrir un compte administrateur sur G Suite. Attention, le compte est payant.

DMARC

DMARC ou Domain-based Message Authentication, Reporting, and Conformance.

L’authentification DMARC assiste les expéditeurs et destinataires d’e-mails dans la validation des messages. Elle définit également l’action à mener en cas de réception de messages suspects. Lorsqu’un message entrant ne passe pas le contrôle DomainKeys Identified Mail (DKIM), DMARC définit le traitement qui doit lui être appliqué. Trois options sont proposées :

  • N’effectuer aucune action sur le message
  • Marquer le message comme spam et le préserver à titre conservatoire pour un traitement ultérieur (mise en quarantaine)
  • Annuler le message pour qu’il ne soit pas envoyé au destinataire

Voici un exemple du format DMARC à ajouter également via votre espace DNS d’hébergement :

v=DMARC1; p=none; rua=mailto:postmaster@your_domain.com

Seuls les paramètres v et p sont obligatoires. Ici p est en none pour indiquer qu’aucune action (quarantaine, blocage) ne doit être effectuée sur le message. Si vous souhaitez recevoir des rapports sur l’activité de votre DMARC, ajoutez le paramètre “rua”, avec pour valeur votre mail au nom de votre domaine (sinon il y aura un warning lorsque vous le testerez).

Pour une assistance au déploiement du DMARC c’est ici.

Tests et validation

Une fois vos paramètres posés, ou pour les ajuster au fur et à mesure, voici ci-dessous quelques liens qui vous aideront à tester et valider votre mise en place :


Sources :


Mise en conformité RGPD : mise en place de la politique de confidentialité d’un site de fitness.

Détails prestation

– création page confidentialité
– mise en place notifications de confidentialité sur les pages de commande, de connexion, d’enregistrement
– mise en place case d’option à cocher de confidentialité sur le formulaire de contact
– amélioration affichage notification cookies
– paramétrage de l’effacement programmé des données clients (Woocommerce)
– vérification des accès et droits utilisateurs
– sécurisation des données et des accès au site
– mise en https/ssl


Voir le site


Mise en conformité RGPD : mise en place de la politique de confidentialité d’un site de cosmétiques.

Détails prestation

– création page de confidentialité et page de mentions légales
– mise en place notifications de confidentialité sur les pages de commande, de connexion, d’enregistrement
– mise en place case d’option à cocher de confidentialité sur le formulaire de contact
– mise en place notification cookies
– paramétrage de l’effacement programmé des données clients (Woocommerce)
– vérification des accès et droits utilisateurs
– sécurisation des données et accès au site


Voir le site

Détails intervention

Mises à jour
– mises à jour (extensions, thèmes)
Corrections, extensions mineures
– des affichages
– des fonctionnalités
Tests
– formulaires contact
Optimisations et performances
– optimisations base de données et fichiers
– suivi des performances
Sécurité
– suivi des sauvegardes fichiers et base de données
– suivi des accès, verrous et autres événements de sécurité


Voir le site

Détails intervention

Mises à jour
– mises à jour (extensions, thèmes)
Corrections, extensions mineures
– des affichages
– des fonctionnalités
Tests
– formulaires contact
Optimisations et performances
– optimisations base de données et fichiers
– suivi des performances
Sécurité
– suivi des sauvegardes fichiers et base de données
– suivi des accès, verrous et autres événements de sécurité


Voir le site

WP client

Les gestionnaires de documents

Plus complexe que WP Customer Area, l’extension est payante d’entrée (59$ en mode basic). Elle n’existe pas sur le centre officiel wordpress.org .

L’extension propose une solution complète avec notamment le partage de fichiers, un espace privé sécurisé, une messagerie ainsi qu’un système de devis/facturation, format pdf.

WP Customer Area

Les gestionnaires de documents

WP Customer Area est une extension utile et efficace lorsqu’il s’agit de mettre en place rapidement une petite interface utilisateur/client de partage de fichiers et/ou de pages privées.

D’entrée, en version gratuite, WP Custom Area propose cela, des extensions étant proposées en addons payants.

+ de 10.000 installations actives, note de 4.1/5.

SP Client Document Manager

sp-project

Autre extension de partage de fichiers, SP Client Document Manager compte + de 3000 installations actives et est assez bien notés (4/5).
Les fichiers peuvent être rangés dans des dossiers et un petit moteur de recherche permet en outre de faire une recherche par mot-clé.
La page et les fichiers peuvent être attribués à un utilisateur spécifique.
L’extension appelle à l’installation d’une autre, “Theme My Login”, sans être obligatoire, mais qui permet la connexion depuis le front-end du site, sans passer par l’admin de WordPress.

 

Détails intervention

Débogages et mises à jour :
– correction fichier wp-config.php
– corrections droits fichiers/dossiers
– mise à jour fichiers noyau WordPress
– nettoyage extensions inactives
– mise à jour version php (5.6 minimum, requis pour dernières versions WordPress)
– mise à jour thème
Maintenance technique.


Voir le site