Upgrade to Pro — share decks privately, control downloads, hide ads and more …

WordCamp Paris 2018 : Auditer un site WordPress comme un chef

Jb Audras
March 09, 2018
Technology
0
630

WordCamp Paris 2018 : Auditer un site WordPress comme un chef

Bien qu’un peu austère de prime abord, cet exercice est un excellent moyen de diversifier l’application de votre expertise WordPress. Et aussi d’apprendre à déceler le code « améliorable » d’un site que l’on n’a pas réalisé soi-même en moins de deux, tout en conservant le recul nécessaire : on audite toujours un site, pas les gens qui l’ont produit.

Entre sécurité, performances, analyse des dépendances applicatives d’un environnement WordPress, petits conseils et grands secrets d’expert, je vous dit (presque) tout sur mon expérience d’auditeur d’installations WordPress.

Jb Audras

March 09, 2018
Tweet

More Decks by Jb Audras

See All by Jb Audras
WordCamp Paris - Contributor Day Atelier 6 - Évaluer la qualité de vos thèmes WordPress
audrasjb
1
330
WordCamp Paris - Contributor Day Atelier 3 - Beta tester WordPress
audrasjb
0
260
Contributor Day WordCamp Paris - Atelier de préparation 1
audrasjb
0
670
Paris Web 2018 : Se construire en construisant l'open-source
audrasjb
0
310
Lyon_Meetup_Gutenberg.pdf
audrasjb
1
59
WordPress et le RGPD – meetup WP in Alps – Grenoble
audrasjb
0
47
Le cœur WordPress et la conformité RGPD
audrasjb
0
460
Comprendre le cœur WordPress et y contribuer. Objectif : devenir un professionnel WordPress accompli
audrasjb
0
420
Anticipons l'arrivée de Gutenberg ! Meetup WordPress Nice 17 avril 2018
audrasjb
0
380

Other Decks in Technology

See All in Technology
On Your Data を超えていく!
hirotomotaguchi
2
660
ChatworkのSRE部って実は 半分くらいPlatform Engineering部かもしれない
saramune
0
160
AOAI をきっかけに​ 社内の Azure 管理を見直した話​
recruitengineers
PRO
1
260
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
110
MySQL の SQL クエリチューニングの要所を掴む勉強会
andpad
2
6.1k
AWSに詳しくない人でも始められるコスト最適化ガイド
yuhta28
0
120
Meta Quest 3 で動く桜マシマシ WebXR アプリを IBM Cloud Code Engine と Babylon.js で作った話
1ftseabass
PRO
0
120
検証を通して見えてきたTiDBの性能特性
lycorptech_jp
PRO
6
3.7k
SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた
coconala_engineer
0
280
Tellus の衛星データを見てみよう #mf_fukuoka
kongmingstrap
0
170
プロデザ! BY リクルート vol.18_リクルートのリサーチ実践組織「リサーチブーストコミュニティ」
recruitengineers
PRO
3
270
ServiceNow Knowledge Learning Rise up
manarobot
0
200

Featured

See All Featured
The Straight Up "How To Draw Better" Workshop
denniskardys
227
130k
Adopting Sorbet at Scale
ufuk
68
8.6k
YesSQL, Process and Tooling at Scale
rocio
164
13k
Large-scale JavaScript Application Architecture
addyosmani
504
110k
Creatively Recalculating Your Daily Design Routine
revolveconf
210
11k
From Idea to $5000 a Month in 5 Months
shpigford
377
45k
Mobile First: as difficult as doing things right
swwweet
216
8.6k
10 Git Anti Patterns You Should be Aware of
lemiorhan
648
58k
Designing the Hi-DPI Web
ddemaree
276
33k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
357
22k
Teambox: Starting and Learning
jrom
128
8.4k
Designing on Purpose - Digital PM Summit 2013
jponch
110
6.5k

Transcript

  1. Auditer un site WordPress comme un chef WordCamp Paris 2018

  2. Jb Audras Directeur technique chez Whodunit. Contributeur WordPress - GTE

    France - Co-organisateur du meetup WP Drôme-Ardèche - Core & meta w.org - Auteur d’extensions - Contrib Glotdict - WPTD 2017 design & website - Theme review team - Co-lead de la version 4.9.5 @audrasjb @agence_whodunit @WordPress0726

  3. Jean-Philippe Audit Auditeur de sites WordPress Un type un peu

    spécial - Les standards web dans la peau - Les WPCS dans le sang - Connaît le changeset complet de chaque version de WP passée (et à venir) - Récite la liste des extensions du repo avec date de dernière MAJ - Sécurité, accessibilité, SEO, performances… Et s’il n’existe pas vraiment, il est quand même bien utile …

  4. La raison d’être de Jean-Philippe Audit ? On audite toujours

    un site internet, jamais les gens qui l’ont réalisé. “

  5. L’audit, pourquoi faire ? Qu’est-ce que ça apporte ? •

    Un avis extérieur, objectivé • Un vrai état des lieux de l‘installation WordPress et des clés pour comprendre l’ écosystème sur lequel elle est basée • Des données rationnelles et exploitables • Des pistes d’améliorations

  6. L’audit, pourquoi faire ? Qu’est-ce que ça apporte à l’agence

    / au prestataire ? • Valoriser des compétences durement acquises • Diversifier son activité avec une nouvelle clientèle : ◦ Conseil ◦ Maintenance ◦ Refonte de sites

  7. L’audit gratuit, une pratique déviante ? Non mais WTF you

    donut’ ils font des audits gratos ?! Mais ils vont tuer le petit commerce ! • Un pré-audit est toujours nécessaire : c’est un état des lieux / un état de santé du site avant tout • C’est un investissement : → pour se rendre compte de l’ état du site du prospect. → un pourcentage de signature de contrats élevé en regard du travail fourni. Cet audit doit cependant être rationalisé au maximum.

  8. Déroulement de l’audit Ce dont on a besoin… • Accès

    en front • Accès BO Administrateur • Accès SSH/FTP

  9. Déroulement de l’audit Ce qu’on va faire… On va auditer

    : • L’installation WordPress • Le(s) thème(s) • Les extensions • L’environnement serveur et la sécurité • L’architecture du contenu et l’optimisation pour le référencement • Les performances

  10. Déroulement de l’audit L’installation WordPress • Version du core •

    Intégrité du core • Multisite ? • Boutique ? • Détection de malwares, hacks • Fichiers anciens/périmés

  11. Déroulement de l’audit Le(s) thème(s) Pour chaque thème présent sur

    l’installation : • w.org ? premium ? custom ? • À jour ? • Intégrité préservée ? • Thème enfant ? • Thèmes inactifs ? À jour ? Donner la version utilisée, la dernière version, l’origine, la criticité relative et un commentaire explicatif.

  12. Déroulement de l’audit Les extensions Pour chaque extension présente sur

    l’installation : • w.org ? premium ? custom ? • À jour ? • Intégrité préservée ? • Mu-plugins ? • Extensions inactives ? À jour ? Donner la version utilisée, la dernière version, l’origine, la criticité relative et un commentaire explicatif.

  13. Déroulement de l’audit L’installation serveur et la sécurité • On

    audite l’installation en regard des bonnes pratiques WP : ◦ ssl ◦ htaccess ◦ directory listing ◦ disclosure ◦ préfixes de tables ◦ SQLi ◦ API Rest / XMLRPC ◦ utilisateurs / comptes / login

  14. Déroulement de l’audit L’architecture du contenu et l’optimisation pour le

    référencement Donner une première analyse et des pistes de réflexion : • SSL / mixed content • permaliens • sitemaps / robots.txt • structuration et balisage • opengraph / microdata / aria

  15. Déroulement de l’audit Les performances L’objectif est de donner un

    état des lieux général de ce qui est en place et de ce qu’il reste à faire. • Compression GZIP • Cache serveur / cache CMS • Minification / concaténation • Vitesse de chargement • Optimisation des ressources

  16. L’écriture du compte-rendu Le moment on l’on doit être efficace

    et s’organiser • L’outil parfait : un bon vieux tableur • Une extension dédiée pour exporter les datas ? → CheckMyWP Pas (encore?) open-sourcé • Sinon : ◦ Health Check (by w.org) ◦ Tide ? Hmm • 3 parties : ◦ Synthèse ◦ Audit détaillé ◦ Chiffrages de setup / mise à niveau

  17. La restitution de l’audit Le moment où on annonce les

    bonnes et les mauvaises nouvelles • Rester rationnel, jamais alarmiste • Ne pas s’acharner sur le prestataire précédent • Montrer les points négatifs mais aussi les points positifs • Expliquer comment fonctionne l’ écosystème WP • Proposer un plan d’action : ◦ Migration serveur ? ◦ Mise à niveau ? ◦ Maintenance à long terme ? ◦ Préparation à la refonte/migration ?

  18. Merci. Auditer un site WordPress comme un chef WordCamp Paris

    2018 Jb Audras – @audrasjb – jeanbaptisteaudras.com Dir tech @agence_whodunit