. WebdeZign
web design, intégration web et WordPress

installation WP > sécurité, sauvegarde & optimisation vitesse

En 2-3 jours, que de découvertes et de travail à organiser !!!

Durant la formation suivie début 2013, nous avons surtout appris à ‘utiliser’ WP (l’installer, mettre en place un thème, ajouter des plugins & qques bidouillages HTML/CSS). Et ces dernières semaines, je réalise par mes lectures et le groupe FB WP Academy à quel point c’est bien joli tout ça, mais c’est de l’amateurisme total …

Après avoir installé un WP, il y a des choses à faire AVANT d’aller plus loin !

  • Sécuriser son installation

    • J’ai fait le choix d’utiliser iThemes Security (ancien nom : Better WP Security)
    • Comme je découvre ce plugin avec des sites WP déjà installés et bien remplis, je n’ai pas testé certaines de ses fonctionnalités qui cependant méritent qu’on s’y attarde :
      • choisir un autre préfixe que « wp_ » pour les tables de la base de données,
      • renommer le répertoire wp-content.
    • Ce que j’ai fait grâce au plugin (ou par moi-même, sur ses ‘conseils’) et qui doit être configuré dès le départ :
      • ajouter un nouvel administrateur, après le premier (ID-user 1), se connecter avec le 2e et supprimer le 1er
      • ne pas utiliser le compte administrateur comme éditeur/auteur d’articles > créer deux comptes différents (il existe un plugin de switch easy entre deux comptes… à chercher)
      • faire en sorte qu’il n’existe plus d’ID-user 1.
    • Configuration du plugin
      • compte VirusTotal.com pour la clé API permettant de scanner le site contre les malwares
      • attention aux permissions sur les fichiers WP : le seul répertoire qui doit rester ouvert aux utilisateurs est wp-content/uploads, les autres fichiers du répertoire wp-content ne devraient être ouverts qu’à l’administrateur qui peut intervenir sur les thèmes et les plugins
      • les fichiers wp-config.php et .htaccess doivent être protégés en écriture (CHMOD 644)
      • protéger contre les injections PHP dans l’URL ou dans le répertoire wp-content
      • super article sur le blog de Miss SEO Girl avec des captures d’écran
      • d’autres articles présents sur les blogs (à retrouver > Evernote ?) + tout un chapitre dans le livre sur WP
    • Un autre plugin utile pour sécuriser l’accès à son site : Login LockDown, très complémentaire de iThemes Security, qui permet de limiter le nombre de tentatives échouées de connexion avant d’être banni pour un temps.
    • A creuser : l’astuce qui consiste à renommer le fichier wp-admin.php dès le départ … j’ai vu ça quelque part, mais où ? faut-il – outre le nouveau nom attribué au fichier – faire d’autres changements dans WP ?
  • Organiser les sauvegardes du site

    • La sauvegarde : BackUpBuddy (conseillé par iThemes Security) est payant > $100 /an pour 10 sites ! – le logiciel Updraft Plus peine quand il s’agit d’une grosse sauvegarde, en tout cas avec Gandi.net … pas essayé les autres ! j’ai fini par aller chercher les fichiers directement sur le serveur via le client FTP (WP déjà installé : les uploads, le thème choisi -parent et son -child, les plugins qui demandent d’être configurés).
    • Finalement, il y a la solution Duplicator qui, en même temps qu’elle fait une sauvegarde complète (il faut parfois exclure /wp-uploads de la sauvegarde pour des questions de volume des fichiers médias et la faire manuellement en parallèle), permet d’avoir sous la main les fichiers nécessaires à une restauration express de l’intégralité du site, en développement local ou en ligne.
  • Optimiser la vitesse de chargement

    • Installer un plugin de cache pour la vitesse de chargement > WP Super Cache ou W3 Total Cache ou WP Rocket
    • Utiliser un plugin d’optimisation des images > j’utilise Short Pixel (payant suivant le nombre d’images traitées par mois).
  • Installer d’autres plugins indispensables (et plébiscités par la communauté WP), au rang desquels :

    • Yoast SEO
    • Contact Form 7
    • Broken Link Checker (très gourmand en ressource, à paramétrer avec un contrôle toutes les 168 heures = 1 semaine, et un ‘target resource usage’ limité à 10%, et non 25% comme c’est paramétré par défaut … Gandi.net n’aime pas ce plugin s’il doit contrôler beaucoup de liens d’un coup, il vaut donc mieux l’installer dès le début et le désactiver/activer pour gagner en ressource)
    • JetPack by WordPress.com (gourmand en ressource, mais évite bien d’autres plugins > lesquels risquent de faire doublon ?).

Article rédigé en 2014 et jamais publié. Aujourd’hui, en 2017, j’ai plein de choses à ajouter, progressivement… ou par le biais d’autres articles plus ciblés sur une fonction ou l’autre.

Tita

Conceptrice & CEO chez Tita Créations
Passionnée de chevaux, de nature, d'écriture... et d'informatique, j'ai découvert cette dernière avec un tout premier modèle d'ordinateur portable : un SHARP écran cristaux liquides d'au moins 10kg ! ... 1988
Aujourd'hui, je donne libre cours à ma créativité dans les domaines du web design, de la gestion de projet et de la gestion de contenu.


Commenter