Nous avons eu le plaisir de rencontrer Julio Potier de WP Rocket, qui a expliqué les fondamentaux pour sécuriser son site Web.
Chez WP Rocket, ils sont maintenant 8 personnes (sur Lyon, Paris, Strasbourg, Los Angeles, Serbie et Julio dans le Pas-de-calais). Auparavant, Julio était freelance, et lors de ses débuts il était salariés dans une entreprise.
1 – L’optimisation du temps de chargement.
Il est important de faire de l’optimisation du chargement de son site Web tout d’abord parce que les visiteurs aiment les sites rapides…
Si vous mettez 3 a 4 secondes a charger, cela ne donne pas l’envie aux visiteurs de rester sur votre page… voire il peuvent quitter la page si c’est trop lent !
Ensuite parce que les moteurs de recherche prennent désormais en compte le temps de chargement dans leurs critères
C’est pour résoudre ce problème que nous avons écrit le Plugin WP Rocket (39$ pour 1 site), qui est fait pour optimiser les sites WordPress.
Il permet d’abaisser le temps de chargement du site de manière drastique (ex: le chargement des images en dessous de la “ligne de flottaison” uniquement lorsque l’on scrolle…).
2 – La sécurisation du site.
Je suis aussi consultant en sécurité Web, et nous travaillons sur un nouveau produit qui s’appellera SecuPress.
Il sera dédié à la sécurité des sites sous Wordpress.
Cependant, il y a déjà quelques petites choses très simples qui doivent être mises en place.
En premier il faut faire des sauvegardes de sa base de données (via un Backup WordPress), mais aussi de ses fichiers PHP sur son serveur.
Pour la sauvegarde des fichiers de la base de données utilisez un plugin comme WP Backup.
Pour le transfert des fichiers, il suffit d’utiliser Filezilla et se connecter sur son serveur.
Personnellement je fais une sauvegarde de la base de données par jour, et ceux des fichiers une fois par semaine.
Si possible, externalisez vos sauvegardes, ne les laissez pas sur votre serveur, mettez les sur le Cloud, Drop box, Amazon etc.
Ensuite, il est important de garder ses fichiers WordPress à jour (moteur WordPress, plugins et thème).
Rien ne vous empêche d’attendre un ou deux jours pour voir si la mise à jour ne pose pas un problème particulier, mais la mise à jour est très important.
Et un troisième conseil est de bien choisir vos thèmes et vos Plugins…
Il existe beaucoup de Plugins, et certains peu utilisés, peu mis à jour… peuvent contenir des failles.
Parfois certains Plugins sont intégrés dans les thèmes, et ils ne se mettent pas à jour automatiquement… et là il faut faire très attention (ex: Timthumb Scanner qui permet de voir si votre thème a bien la dernière version de ce plugin qui permet de faire des miniatures).
Un quatrième conseil est d’utiliser des mots de passe longs.
Il ne faut pas qu’il soit forcement complexe, mais qu’il comporte au moins 14 à 15 caractères.
Une phrase qui est toute simple prise au hasard, comme “Le ciel est bleu aujourd’hui”, est un long mot de passe plus difficile à trouver.
Enfin utilisez des plugins de sécurité comme :
Ils permettent de boucher beaucoup de failles de sécurité… et ils sont gratuits !
Pour analyser les performance d’un site Web si vous avez un doute pour une attaque, vous pouvez utiliser GT Metrix, qui permet d’analyser les processus qui prennent beaucoup de temps sur un site Web :
Si vous voulez en avoir plus, rendez vous sur http://blog.secupress.fr/