WordPress séduit de plus en plus. Au cours de l'année 2015, il représentait déjà environ 25 % des sites existants.
Facilité d'utilisation, gratuité, présence d'une solide communauté ou encore ergonomie, les raisons d'utiliser WordPress sont nombreuses – mais pour améliorer le potentiel de son site Internet, il est important de suivre quelques conseils pratiques.
Choisir l'hébergeur et l'environnement adéquat
De nombreux hébergeurs proposent le support des solutions WordPress. Mais tous n'ont pas les mêmes fonctionnalités, ni le même niveau de performances et de services. WordPress utilise des bases de données MariaDB ou MySQL, la première étape est donc de vérifier la possibilité de créer ce type de bases chez l'hébergeur. L'hébergement sous linux en PHP – en opposition à l'hébergement Windows - doit également être privilégié : le langage dans lequel est développé le site WordPress sera ainsi natif et les risques d'incompatibilité, pouvant réduire la facilité d'utilisation, seront moindres.
Pour aller plus loin, il est possible de sélectionner un hébergeur proposant un module complémentaire directement disponible sur l'interface client. Ce dernier permettra rapidement de connaître l'état des mises à jour WordPress, les plugins disponibles mais aussi de vérifier l'état et les corrections de sécurité du site Internet. Autre paramètre à vérifier avant de s'engager avec un hébergeur : la possibilité de mettre en place un certificat SSL ou Let's Encrypt – très important dans le cas, par exemple, d'un e-shop ou tout autre site amené à recevoir des informations confidentielles et potentiellement critiques.
Appliquer les bonnes pratiques
Le SEO, référencement naturel, est au cœur de toutes les préoccupations pour les propriétaires de sites Internet. Il est possible de l'améliorer via la mise en place de cache, afin de diminuer le temps de chargement des pages, et également de permaliens courts et explicatifs. Afin de réduire les risques d'attaques DDoS et de spams, il est également nécessaire d'intégrer des Captcha. Ces derniers permettent de s'assurer que la requête provient d'un internaute réel et non d'un robot en le forçant à retaper un code précis.
Enfin, il est également important de se tenir informé des dernières mises à jour et versions de WordPress afin de profiter des améliorations disponibles. Les liens morts sont un fléau pour les propriétaires de sites Internet : ils conduisent à une insatisfaction de l'internaute, voire une perte de ce dernier qui se tournera vers une autre source. Pepper, la nouvelle version de WordPress, permet la vérification automatique des liens URL afin d'éliminer les liens inactifs. Utiliser une ancienne version - déjà obsolète - est au contraire un piège dans lequel il ne faut pas tomber. En plus d'offrir une expérience utilisateur moins agréable - pour le développeur du site comme pour le visiteur – cela risque également de poser des problèmes de sécurité.
Ne pas omettre la sécurité
Des failles de sécurité peuvent être présentes dans WordPress, mais ces dernières sont régulièrement détectées et reportées. Les mises à jour et nouvelles versions contiennent donc des correctifs qu'il est important d'installer – il s'agit d'une véritable règle d'or. De la même façon, il ne faut pas installer ou activer des modules inutilisés. En effet, activer un grand nombre de plugins revient à s'exposer à plus de vulnérabilités – puisque chacun des modules pourrait potentiellement contenir une faille. De plus, ces derniers engendrent une consommation accrue d'espace disque et d'espace de sauvegarde : mieux vaut donc s'en tenir aux modules utiles et les mettre à jour régulièrement. De nombreux modules WordPress, développés par des tiers, existent. Comme pour les applications smartphones, il est important de ne télécharger que des modules provenant de sources vérifiées et fiables. Dans le cas contraire le codage du module pourrait contenir un script malveillant permettant d'infecter les systèmes ou de récupérer des informations.
L'exécution de scripts PHP doit également être empêchée depuis des dossiers wp-content et wp-includes afin d'éviter l'exploitation de potentielles failles de type « backdoors » déposées dans ces derniers. Les backdoors, aussi appelées « portes dérobées », sont des lignes de code - insérées au préalable dans un script – permettant à un hacker d'infiltrer et de prendre contrôle du système. Dernier conseil en matière de sécurité informatique : ajouter une sécurité complémentaire lors de la connexion au répertoire wp-admin. De nouvelles failles sont régulièrement découvertes dans les formulaires d'authentification. Afin de sécuriser pleinement sa plateforme et se prémunir d'une éventuelle vulnérabilité, la mise en place d'un htaccess est de mise. Ce dernier permet de modifier la configuration d'Apache afin de mettre en place, par exemple, une authentification supplémentaire ou un accès restreint à quelques adresses IP.
Les règles traditionnelles de la protection et la sécurité des données ne doivent pas non plus être oubliées. Il faut ainsi avoir une sauvegarde complète et externalisée des fichiers mais aussi des bases de données de son site WordPress – ce qui permettra de remettre le site sur pied rapidement en cas de soucis. Enfin, autre mesure de sécurité évidente mais parfois oubliée, le choix des mots de passe. Chaque utilisateur doit avoir un mot de passe complexe et différent de celui des autres utilisateurs. Les mots de passe définis pour les bases de données et pour les FTP ne doivent pas non plus être les mêmes. WordPress est donc un outil complet et polyvalent, mais le respect de ces trois règles fondamentales jouera un rôle décisif sur les performances et l'optimisation du site Internet.