wordpress jurassique
DESCRIPTION
This was presented at WordCamp Montreal 2014, and shows 10 old habits from the old days of WordPress, and modern alternatives to doing things the *right* way.TRANSCRIPT
WordPress Jurassique
10 conseils pour sortir votre site de la préhistoire
Michael Chrichton
“ Vous savez, à des moments comme ceux-ci, on ne peut s’empêcher de penser que ces animaux préhistoriques devraient demeurer éteints.”
vieilles habitudes
Qui suis-je ?
• Sur le web depuis 1992…Netscape 2, Internet Explorer 1
• ARSENEAULT Consultation (2009)Proprio, intégrateur, designer, vendeur, comptable, réceptionniste
• Propulsif Inc. (2014)Co-fondateur, architecte et plein d’autres “chapeaux”
• Présent à #wcmtl depuis 2010, conférencier depuis 2011
• La présentation est disponible à slideshare.net/jfarsen
Vieilles habitudes
• Hébergement
• Installation
• FTP
• Thèmes
• Extensions
• Médias
• Backups
• Performance
• Mises-à-jour
• Sécurité
Hébergement : “tous pareils… je veux pas payer cher.”
En fait, on n’a jamais eu autant de choix pour l’hébergement web : mutualisé, optimisé, VPS, dédié, cloud, managed, etc
Soutien 7/24 (par téléphone)
!Panneau de contrôle
Base
Accès SSH !
Caching
Accès GIT !
Env de staging !
Stack variés
Intermédiaire Avancé
cPanel, DirectAdmin, etc OpCode, Memcache, Varnish, Nginx, MariaDB, PCI etc
Installation : “Pffft… installer, c’est installer.”
Pas tout à fait. Certaines procédures d’installation sont plus sécuritaires, évolutives et flexibles. Fantastico non-recommandé.
Installation manuelle par FTP
Base
Clonage à partir d’une installation
précédente
GIT clone !
Synchronisation DB
Intermédiaire Avancé
InfiniteWP, Backup Buddy, ManageWP, etc WP Migrate DB Pro
FTP : “Moi, je fais tout avec (insérer logiciel FTP)”
Le protocole FTP est lent, non-sécurisé, introduit des erreurs lors des transferts, peu fiable pour des milliers de fichiers, etc
Configurez votre logiciel FTP pour
utiliser SFTP
Base
Configurez votre logiciel FTP pour
utiliser des clés SSH sécurisées
Utilisez GIT pour déployer vos
changements sur votre site
automatiquement
Intermédiaire Avancé
WinSCP, Filezilla, Cyberduck, Transmit, etc DeployHQ, Beanstalk, Dploy.io, Capistrano, etc
Thèmes : “j’ai trouvé un thème gratuit sur #@&%.lol”
Les thèmes gratuits provenant de sources douteuses sont un des principaux vecteurs d’attaques sur WordPress.
N’utilisez que des thèmes provenant de
wordpress.org
Base
Choisissez des thèmes de
programmeurs reconnus
Créez votre propre thème à partir de frameworks GPL
reconnus
Intermédiaire Avancé
Genesis, WooThemes, Headway, Elegant Themes,
Thesis, etc
Underscores, Roots, Bones, Zurb, Hybrid Core,
Gantry, Whiteboard, etc
Extensions : “d’où ça vient? Bah, ça fonctionne…”
Les extensions sont devenues la menace #1 en terme de risque pour un site, un compte d’hébergement et même un serveur au complet !
N’utilisez que des extensions provenant
de wordpress.org
Base
Achetez des extensions de programmeurs
reconnus
Obtenez des extensions de
marchés en ligne
Intermédiaire Avancé
RocketGenius, Woo, OnTheGo Systems, Yoast,
MailPoet, iThemes, etcThemeForest, WPMU DEV,
etc
Médias : “C’est super facile d’ajouter des fichiers !”
2003: caméras à 4 mégapixels. 2014: 15-20+ mégapixels. Et les PDFs, et les MP3s, et les vidéos … ouch!
Hébergez vos vidéos dans le cloud
!Redimensionnez vos
images.
Base
Utiliser des plugins d’optimisation
Utilisez un CDN pour vos médias
Intermédiaire Avancé
Smush.it, EWWW, Imsanity, etc
Photon, Amazon, CloudFlare, MaxCDN, etc
YouTube, Vimeo, VideoPress, SoundCloud
Backups : “Bof… mon hébergeur doit en avoir…”
NON. NON. NON. C’est VOTRE responsabilité. Un backup complet inclut fichiers et base de données, pris à intervalles réguliers, et stocké ailleurs que sur votre compte d’hébergement.
Plugin de backup de base
Base
Procédure de backups hors-site et
de restoration documentée et
testée
Architecture web redondante
!(ce qui n’exclut pas le besoin
de faire des backups…)
Intermédiaire Avancé
BackWPUp, XCloner, Backup Buddy, UpDraftPlus, etc
Anycast DNS, Load Balancing, Clustering,
Virtualisation, etcVaultPress
Performance : “Regarde mon site… ça s’en vient là…”
Les attentes sont de moins de 8 secondes, ordinateur ou mobile. Et le site mobile se doit d’être optimisé et facilement lisible.
Moins de plugins !
Taille des images !
Optimisation de DB
Base
Plugin de caching !
Configuration PHP
SPDY !
mod_pagespeed !
Tuning de DB
Intermédiaire Avancé
W3 Total Cache, WP Super Cache, PHP FPM
WP-Optimize, WP Clean Up, etc
Mises-à-jour : “Quand j’y pense, de temps en temps…”
WordPress se met à jour automatiquement, mais pas vos plugins et thèmes. Et le OS et panneau de contrôle de votre serveur…?
Utiliser un hébergement de type
“Managed WordPress”
Base
Faire les mises-à-jour à chaque semaine,
au minimum
Utiliser un système de mise-à-jour
automatisé
Intermédiaire Avancé
WP Engine, FlyWheel, Pressable, Pagely, WebSynthesis, etc
cPanel, InfiniteWP, ManageWP, MainWP, WP
Remote, etc
Sécurité : “par défaut, c’est sécuritaire … ?”
Euh.. ça dépend… de la méthode d’installation, de l’hébergeur, des choix qu’on fait durant l’installation, etc
Pas d’usager ‘admin’ et mot de passe
complexe !
Utiliser un plugin antiSPAM
Base
Utiliser un plugin de sécurité complet
Ajouter un pare-feu applicatif
!Sécuriser wp-
config.php
Intermédiaire Avancé
Akismet Sucuri WAF, CloudFlareSucuri, iThemes Security, WordFence, Limit Login,
etc