Lorsque l’on débute avec WordPress, certaines choses peuvent paraître facile à réaliser à première vue. Cependant ne vous y trompez pas, même si le résultat est là, cela peut être fait de la mauvaise manière et entraîner des erreurs et problèmes par la suite. Voici un récapitulatif pour débutants (et pas uniquement) sur WordPress de ce qu’il faut absolument éviter.
Les basiques
Modifier les bons fichiers
Tout d’abord, il ne faut jamais modifier les fichiers du coeur de WordPress qui permettent au CMS de fonctionner normalement. C’est à dire tous les fichiers à la racine sauf le wp-config.php. Pareil pour tous les fichiers dans les dossiers wp-admin et wp-includes. Les deux seuls sous-dossiers dans lesquels vous aurez droit d’éditer vos fichiers (avec précaution bien sûr) sont plugins et themes situés dans le dossier wp-content.
Attention également si vous éditez un plugin ou thème WordPress qui n’est pas le votre.
Pourquoi ? Pour deux raison principales. La première concerne simplement le comportement de WordPress, si vous modifiez par exemple le comportement d’une fonction au coeur de WordPress, vous ne savez pas comment va réagir votre thème, vos plugins etc. Cela peut fonctionner à priori mais apporter un lot de problème fonctionnel et de sécurité par la suite. Ensuite, lorsque vous ferez des mises à jours de WordPress, des thèmes et plugins de votre site, vos modifications vont tout simplement être supprimées.
Les mises à jours
Même si cela semple évident, il est toujours bon de le rappeler : faites les mises à jours de vos WordPress/thèmes/plugins dès que vous le pouvez. Les mises à jours vont apporter les améliorations fonctionnelles, enlever certains bug et surtout elles peuvent fixer les problèmes de sécurité plus ou moins grave. Lorsqu’une faille de sécurité est découverte sur WordPress, un plugin ou un thème et que cette faille est diffusée publiquement, il est certain que dans les jours suivants les pirates vont partir à la recherche des sites possédants ces failles de sécurité afin de les exploiter.
Eviter les sources inconnues
Toujours éviter de télécharger un thème ou un plugin sur un site si vous n’êtes pas certains de sa fiabilité. Tous ne font pas mauvais mais renseignez-vous bien avant. Il y a beaucoup de sites qui proposent de télécharger des thèmes WordPress gratuitement ou des plugins qui sont à l’origine payants. Tout d’abord, si vous téléchargez ces modules gratuitement, les auteurs ne seront pas payés et vous ne savez pas si le plugin en question a été modifié, ce qui pose de sérieux problèmes de sécurité.
Faire une liste de tous les sites de confiance serait trop long. Simplement votre première source pour les plugins devrait être le répertoire officiel géré par WordPress.org si vous ne le connaissez pas déjà. Même chose pour les thèmes gratuits, le répertoire officiel des thèmes est très fourni.
Les bases de la sécurité
Cela n’est pas spécifique à WordPress, mais comme toujours soyez sérieux avec la sécurité. N’invitez pas les pirates à venir récupérer vos identifiants en deux secondes :pas de admin en identifiant ni de password en mot de passe et tout ce qui est trop simple.
Il existe également de très bons plugins de sécurité qui renforcement votre installations WordPress sur plusieurs points. Voici une liste non exhaustive :
Le surcharge de plugin
Attention aux plugins que vous utilisez. L’erreur de certain administrateurs est d’accumuler un nombre impressionnant de plugin sur un serveur déjà assez peu robuste. Ce qui donne comme résultat un site lent et parfois pire comme réflexion : « WordPress est trop lent« . Non, WordPress n’est pas lent mais la surcharge de plugins peut lui être fatale si vous lui en rajoutez trop.
Posez vous la question de savoir si vous avez réellement besoin de chaque plugin. Vérifiez la note et les retours de chaque plugin que vous utilisez. Evitez les plugins qui font doublons et vérifiez s’il n’y a pas de scripts plus simples que vous pourriez ajouter au functions.php de votre thème au lieu d’un plugin.
Faire des sauvegardes régulières
Une phrase qui n’est jamais suffisamment répétées : Faites des sauvegardes régulières. Des tas de raisons vous y poussent : suppression de votre installation et de la base de données suite à des problèmes de sécurité, problèmes du serveur, obligation de revenir à une version précédente etc. Il existe plein de plugins très bons dédiés à cette tache. Le plugin précédemment cité iThemes Security permet aussi de faire des sauvegardes automatiques de la base de données.
Pour aller plus loin
Lorsque vous développez votre thème sur WordPress, il est conseillé de définir la constante WP_DEBUG à true pour afficher toutes les erreurs de votre code et les corriger.
N’utilisez pas la fonction query_posts() et préférez-lui WP_Query, qui est bien plus propre techniquement parlant.
Évitez également d’utiliser des scripts externes quand cela n’est pas nécessaire. WordPress possède déjà beaucoup de fonctionnalités. Cela évitera de surcharger votre thème et limitera davantage les risques liés à la sécurité. Un exemple très connu de scripts beaucoup utilisé il y a plusieurs années par certains thèmes premiums est celui de Timthumb.
Timthumb est un script permettant de redimensionner les images uploadées. Le problème ? Ce script est parfaitement inutile dans le cadre de WordPress puisque cette fonctionnalité existe depuis de nombreuses années sur ce CMS. Ce script s’est retrouvé avec une faille de sécurité sévère et des centaines de thèmes premium (achetés par des millions d’utilisateurs) se sont retrouvés du jour au lendemain potentiellement piratables.
Pour terminer si vous n’êtes pas familier avec la façon de développer sur WordPress, n’hésitez pas à examiner le code des thèmes officiels comme twenty seventeen et les plugins populaires. Si vous avez besoin d’aide, il existe une multitude de forums, groupes facebook et ressources sur le web qui sont là pour vous aider, à commencer par le forum officiel (et français) : Forum WordPress.com.
Inutile de vouloir aller trop vite lorsque vous développez votre site. Beaucoup d’aspects sont liés à la sécurité et prenne du temps à mettre en place mais le bénéfice en vaut largement le coup.