Upgrade to Pro — share decks privately, control downloads, hide ads and more …

WordCamp Paris 2018 : Auditer un site WordPress comme un chef

WordCamp Paris 2018 : Auditer un site WordPress comme un chef

Bien qu’un peu austère de prime abord, cet exercice est un excellent moyen de diversifier l’application de votre expertise WordPress. Et aussi d’apprendre à déceler le code « améliorable » d’un site que l’on n’a pas réalisé soi-même en moins de deux, tout en conservant le recul nécessaire : on audite toujours un site, pas les gens qui l’ont produit.

Entre sécurité, performances, analyse des dépendances applicatives d’un environnement WordPress, petits conseils et grands secrets d’expert, je vous dit (presque) tout sur mon expérience d’auditeur d’installations WordPress.

F5679c32509d3a0f9821da8ba4843a75?s=128

Jb Audras

March 09, 2018
Tweet

Transcript

  1. Auditer un site WordPress comme un chef WordCamp Paris 2018

  2. Jb Audras Directeur technique chez Whodunit. Contributeur WordPress - GTE

    France - Co-organisateur du meetup WP Drôme-Ardèche - Core & meta w.org - Auteur d’extensions - Contrib Glotdict - WPTD 2017 design & website - Theme review team - Co-lead de la version 4.9.5 @audrasjb @agence_whodunit @WordPress0726
  3. Jean-Philippe Audit Auditeur de sites WordPress Un type un peu

    spécial - Les standards web dans la peau - Les WPCS dans le sang - Connaît le changeset complet de chaque version de WP passée (et à venir) - Récite la liste des extensions du repo avec date de dernière MAJ - Sécurité, accessibilité, SEO, performances… Et s’il n’existe pas vraiment, il est quand même bien utile …
  4. La raison d’être de Jean-Philippe Audit ? On audite toujours

    un site internet, jamais les gens qui l’ont réalisé. “
  5. L’audit, pourquoi faire ? Qu’est-ce que ça apporte ? •

    Un avis extérieur, objectivé • Un vrai état des lieux de l‘installation WordPress et des clés pour comprendre l’ écosystème sur lequel elle est basée • Des données rationnelles et exploitables • Des pistes d’améliorations
  6. L’audit, pourquoi faire ? Qu’est-ce que ça apporte à l’agence

    / au prestataire ? • Valoriser des compétences durement acquises • Diversifier son activité avec une nouvelle clientèle : ◦ Conseil ◦ Maintenance ◦ Refonte de sites
  7. L’audit gratuit, une pratique déviante ? Non mais WTF you

    donut’ ils font des audits gratos ?! Mais ils vont tuer le petit commerce ! • Un pré-audit est toujours nécessaire : c’est un état des lieux / un état de santé du site avant tout • C’est un investissement : → pour se rendre compte de l’ état du site du prospect. → un pourcentage de signature de contrats élevé en regard du travail fourni. Cet audit doit cependant être rationalisé au maximum.
  8. Déroulement de l’audit Ce dont on a besoin… • Accès

    en front • Accès BO Administrateur • Accès SSH/FTP
  9. Déroulement de l’audit Ce qu’on va faire… On va auditer

    : • L’installation WordPress • Le(s) thème(s) • Les extensions • L’environnement serveur et la sécurité • L’architecture du contenu et l’optimisation pour le référencement • Les performances
  10. Déroulement de l’audit L’installation WordPress • Version du core •

    Intégrité du core • Multisite ? • Boutique ? • Détection de malwares, hacks • Fichiers anciens/périmés
  11. Déroulement de l’audit Le(s) thème(s) Pour chaque thème présent sur

    l’installation : • w.org ? premium ? custom ? • À jour ? • Intégrité préservée ? • Thème enfant ? • Thèmes inactifs ? À jour ? Donner la version utilisée, la dernière version, l’origine, la criticité relative et un commentaire explicatif.
  12. Déroulement de l’audit Les extensions Pour chaque extension présente sur

    l’installation : • w.org ? premium ? custom ? • À jour ? • Intégrité préservée ? • Mu-plugins ? • Extensions inactives ? À jour ? Donner la version utilisée, la dernière version, l’origine, la criticité relative et un commentaire explicatif.
  13. Déroulement de l’audit L’installation serveur et la sécurité • On

    audite l’installation en regard des bonnes pratiques WP : ◦ ssl ◦ htaccess ◦ directory listing ◦ disclosure ◦ préfixes de tables ◦ SQLi ◦ API Rest / XMLRPC ◦ utilisateurs / comptes / login
  14. Déroulement de l’audit L’architecture du contenu et l’optimisation pour le

    référencement Donner une première analyse et des pistes de réflexion : • SSL / mixed content • permaliens • sitemaps / robots.txt • structuration et balisage • opengraph / microdata / aria
  15. Déroulement de l’audit Les performances L’objectif est de donner un

    état des lieux général de ce qui est en place et de ce qu’il reste à faire. • Compression GZIP • Cache serveur / cache CMS • Minification / concaténation • Vitesse de chargement • Optimisation des ressources
  16. L’écriture du compte-rendu Le moment on l’on doit être efficace

    et s’organiser • L’outil parfait : un bon vieux tableur • Une extension dédiée pour exporter les datas ? → CheckMyWP Pas (encore?) open-sourcé • Sinon : ◦ Health Check (by w.org) ◦ Tide ? Hmm • 3 parties : ◦ Synthèse ◦ Audit détaillé ◦ Chiffrages de setup / mise à niveau
  17. La restitution de l’audit Le moment où on annonce les

    bonnes et les mauvaises nouvelles • Rester rationnel, jamais alarmiste • Ne pas s’acharner sur le prestataire précédent • Montrer les points négatifs mais aussi les points positifs • Expliquer comment fonctionne l’ écosystème WP • Proposer un plan d’action : ◦ Migration serveur ? ◦ Mise à niveau ? ◦ Maintenance à long terme ? ◦ Préparation à la refonte/migration ?
  18. Merci. Auditer un site WordPress comme un chef WordCamp Paris

    2018 Jb Audras – @audrasjb – jeanbaptisteaudras.com Dir tech @agence_whodunit