Upgrade to Pro — share decks privately, control downloads, hide ads and more …

WordCamp Paris 2018 : Auditer un site WordPress...

Jb Audras
March 09, 2018
Technology
0
660

WordCamp Paris 2018 : Auditer un site WordPress comme un chef

Bien qu’un peu austère de prime abord, cet exercice est un excellent moyen de diversifier l’application de votre expertise WordPress. Et aussi d’apprendre à déceler le code « améliorable » d’un site que l’on n’a pas réalisé soi-même en moins de deux, tout en conservant le recul nécessaire : on audite toujours un site, pas les gens qui l’ont produit.

Entre sécurité, performances, analyse des dépendances applicatives d’un environnement WordPress, petits conseils et grands secrets d’expert, je vous dit (presque) tout sur mon expérience d’auditeur d’installations WordPress.

Jb Audras

March 09, 2018
Tweet

More Decks by Jb Audras

See All by Jb Audras
Des composants Gutenberg dans mes pages d'option - WordCamp Bretagne - Jb Audras
audrasjb
0
4
WordCamp Paris - Contributor Day Atelier 6 - Évaluer la qualité de vos thèmes WordPress
audrasjb
1
370
WordCamp Paris - Contributor Day Atelier 3 - Beta tester WordPress
audrasjb
0
280
Contributor Day WordCamp Paris - Atelier de préparation 1
audrasjb
0
720
Paris Web 2018 : Se construire en construisant l'open-source
audrasjb
0
380
Lyon_Meetup_Gutenberg.pdf
audrasjb
1
75
WordPress et le RGPD – meetup WP in Alps – Grenoble
audrasjb
0
55
Le cœur WordPress et la conformité RGPD
audrasjb
0
510
Comprendre le cœur WordPress et y contribuer. Objectif : devenir un professionnel WordPress accompli
audrasjb
0
450

Other Decks in Technology

See All in Technology
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
180
Security-JAWS【第35回】勉強会クラウドにおけるマルウェアやコンテンツ改ざんへの対策
4su_para
0
180
安心してください、日本語使えますよ―Ubuntu日本語Remix提供休止に寄せて― 2024-11-17
nobutomurata
1
990
OCI Security サービス 概要
oracle4engineer
PRO
0
6.5k
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
470
Application Development WG Intro at AppDeveloperCon
salaboy
0
180
[FOSS4G 2024 Japan LT] LLMを使ってGISデータ解析を自動化したい!
nssv
1
210
【若手エンジニア応援LT会】ソフトウェアを学んできた私がインフラエンジニアを目指した理由
kazushi_ohata
0
150
Evangelismo técnico: ¿qué, cómo y por qué?
trishagee
0
360
Terraform Stacks入門 #HashiTalks
msato
0
350
Terraform未経験の御様に対してどの ように導⼊を進めていったか
tkikuchi
2
430
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
300

Featured

See All Featured
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
What's in a price? How to price your products and services
michaelherold
243
12k
Imperfection Machines: The Place of Print at Facebook
scottboms
265
13k
BBQ
matthewcrist
85
9.3k
Facilitating Awesome Meetings
lara
50
6.1k
Practical Orchestrator
shlominoach
186
10k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
GraphQLとの向き合い方2022年版
quramy
43
13k
Agile that works and the tools we love
rasmusluckow
327
21k
Unsuck your backbone
ammeep
668
57k
Done Done
chrislema
181
16k
Statistics for Hackers
jakevdp
796
220k

Transcript

  1. Auditer un site WordPress comme un chef WordCamp Paris 2018

  2. Jb Audras Directeur technique chez Whodunit. Contributeur WordPress - GTE

    France - Co-organisateur du meetup WP Drôme-Ardèche - Core & meta w.org - Auteur d’extensions - Contrib Glotdict - WPTD 2017 design & website - Theme review team - Co-lead de la version 4.9.5 @audrasjb @agence_whodunit @WordPress0726

  3. Jean-Philippe Audit Auditeur de sites WordPress Un type un peu

    spécial - Les standards web dans la peau - Les WPCS dans le sang - Connaît le changeset complet de chaque version de WP passée (et à venir) - Récite la liste des extensions du repo avec date de dernière MAJ - Sécurité, accessibilité, SEO, performances… Et s’il n’existe pas vraiment, il est quand même bien utile …

  4. La raison d’être de Jean-Philippe Audit ? On audite toujours

    un site internet, jamais les gens qui l’ont réalisé. “

  5. L’audit, pourquoi faire ? Qu’est-ce que ça apporte ? •

    Un avis extérieur, objectivé • Un vrai état des lieux de l‘installation WordPress et des clés pour comprendre l’ écosystème sur lequel elle est basée • Des données rationnelles et exploitables • Des pistes d’améliorations

  6. L’audit, pourquoi faire ? Qu’est-ce que ça apporte à l’agence

    / au prestataire ? • Valoriser des compétences durement acquises • Diversifier son activité avec une nouvelle clientèle : ◦ Conseil ◦ Maintenance ◦ Refonte de sites

  7. L’audit gratuit, une pratique déviante ? Non mais WTF you

    donut’ ils font des audits gratos ?! Mais ils vont tuer le petit commerce ! • Un pré-audit est toujours nécessaire : c’est un état des lieux / un état de santé du site avant tout • C’est un investissement : → pour se rendre compte de l’ état du site du prospect. → un pourcentage de signature de contrats élevé en regard du travail fourni. Cet audit doit cependant être rationalisé au maximum.

  8. Déroulement de l’audit Ce dont on a besoin… • Accès

    en front • Accès BO Administrateur • Accès SSH/FTP

  9. Déroulement de l’audit Ce qu’on va faire… On va auditer

    : • L’installation WordPress • Le(s) thème(s) • Les extensions • L’environnement serveur et la sécurité • L’architecture du contenu et l’optimisation pour le référencement • Les performances

  10. Déroulement de l’audit L’installation WordPress • Version du core •

    Intégrité du core • Multisite ? • Boutique ? • Détection de malwares, hacks • Fichiers anciens/périmés

  11. Déroulement de l’audit Le(s) thème(s) Pour chaque thème présent sur

    l’installation : • w.org ? premium ? custom ? • À jour ? • Intégrité préservée ? • Thème enfant ? • Thèmes inactifs ? À jour ? Donner la version utilisée, la dernière version, l’origine, la criticité relative et un commentaire explicatif.

  12. Déroulement de l’audit Les extensions Pour chaque extension présente sur

    l’installation : • w.org ? premium ? custom ? • À jour ? • Intégrité préservée ? • Mu-plugins ? • Extensions inactives ? À jour ? Donner la version utilisée, la dernière version, l’origine, la criticité relative et un commentaire explicatif.

  13. Déroulement de l’audit L’installation serveur et la sécurité • On

    audite l’installation en regard des bonnes pratiques WP : ◦ ssl ◦ htaccess ◦ directory listing ◦ disclosure ◦ préfixes de tables ◦ SQLi ◦ API Rest / XMLRPC ◦ utilisateurs / comptes / login

  14. Déroulement de l’audit L’architecture du contenu et l’optimisation pour le

    référencement Donner une première analyse et des pistes de réflexion : • SSL / mixed content • permaliens • sitemaps / robots.txt • structuration et balisage • opengraph / microdata / aria

  15. Déroulement de l’audit Les performances L’objectif est de donner un

    état des lieux général de ce qui est en place et de ce qu’il reste à faire. • Compression GZIP • Cache serveur / cache CMS • Minification / concaténation • Vitesse de chargement • Optimisation des ressources

  16. L’écriture du compte-rendu Le moment on l’on doit être efficace

    et s’organiser • L’outil parfait : un bon vieux tableur • Une extension dédiée pour exporter les datas ? → CheckMyWP Pas (encore?) open-sourcé • Sinon : ◦ Health Check (by w.org) ◦ Tide ? Hmm • 3 parties : ◦ Synthèse ◦ Audit détaillé ◦ Chiffrages de setup / mise à niveau

  17. La restitution de l’audit Le moment où on annonce les

    bonnes et les mauvaises nouvelles • Rester rationnel, jamais alarmiste • Ne pas s’acharner sur le prestataire précédent • Montrer les points négatifs mais aussi les points positifs • Expliquer comment fonctionne l’ écosystème WP • Proposer un plan d’action : ◦ Migration serveur ? ◦ Mise à niveau ? ◦ Maintenance à long terme ? ◦ Préparation à la refonte/migration ?

  18. Merci. Auditer un site WordPress comme un chef WordCamp Paris

    2018 Jb Audras – @audrasjb – jeanbaptisteaudras.com Dir tech @agence_whodunit