Upgrade to Pro — share decks privately, control downloads, hide ads and more …

WordCamp Paris 2018 : Auditer un site WordPress comme un chef

WordCamp Paris 2018 : Auditer un site WordPress comme un chef

Bien qu’un peu austère de prime abord, cet exercice est un excellent moyen de diversifier l’application de votre expertise WordPress. Et aussi d’apprendre à déceler le code « améliorable » d’un site que l’on n’a pas réalisé soi-même en moins de deux, tout en conservant le recul nécessaire : on audite toujours un site, pas les gens qui l’ont produit.

Entre sécurité, performances, analyse des dépendances applicatives d’un environnement WordPress, petits conseils et grands secrets d’expert, je vous dit (presque) tout sur mon expérience d’auditeur d’installations WordPress.

Jb Audras

March 09, 2018
Tweet

More Decks by Jb Audras

Other Decks in Technology

Transcript

  1. Auditer un site WordPress
    comme un chef
    WordCamp Paris 2018

    View full-size slide

  2. Jb Audras
    Directeur technique chez Whodunit.
    Contributeur WordPress
    - GTE France
    - Co-organisateur du meetup
    WP Drôme-Ardèche
    - Core & meta w.org
    - Auteur d’extensions
    - Contrib Glotdict
    - WPTD 2017 design & website
    - Theme review team
    - Co-lead de la version 4.9.5
    @audrasjb
    @agence_whodunit
    @WordPress0726

    View full-size slide

  3. Jean-Philippe Audit
    Auditeur de sites WordPress
    Un type un peu spécial
    - Les standards web dans la peau
    - Les WPCS dans le sang
    - Connaît le changeset complet de
    chaque version de WP passée (et
    à venir)
    - Récite la liste des extensions du
    repo avec date de dernière MAJ
    - Sécurité, accessibilité, SEO,
    performances…
    Et s’il n’existe pas vraiment, il est
    quand même bien utile

    View full-size slide

  4. La raison d’être de
    Jean-Philippe Audit ?
    On audite toujours
    un site internet,
    jamais les gens qui
    l’ont réalisé.

    View full-size slide

  5. L’audit,
    pourquoi faire ?
    Qu’est-ce que ça apporte ?
    ● Un avis extérieur, objectivé
    ● Un vrai état des lieux de
    l‘installation WordPress et des
    clés pour comprendre l’
    écosystème sur lequel elle est
    basée
    ● Des données rationnelles et
    exploitables
    ● Des pistes d’améliorations

    View full-size slide

  6. L’audit,
    pourquoi faire ?
    Qu’est-ce que ça apporte à
    l’agence / au prestataire ?
    ● Valoriser des compétences
    durement acquises
    ● Diversifier son activité avec une
    nouvelle clientèle :
    ○ Conseil
    ○ Maintenance
    ○ Refonte de sites

    View full-size slide

  7. L’audit gratuit,
    une pratique
    déviante ?
    Non mais WTF you donut’ ils font
    des audits gratos ?! Mais ils vont
    tuer le petit commerce !
    ● Un pré-audit est toujours
    nécessaire : c’est un état des
    lieux / un état de santé du site
    avant tout
    ● C’est un investissement :
    → pour se rendre compte de l’
    état du site du prospect.
    → un pourcentage de signature
    de contrats élevé en regard du
    travail fourni.
    Cet audit doit cependant être
    rationalisé au maximum.

    View full-size slide

  8. Déroulement
    de l’audit
    Ce dont on a besoin…
    ● Accès en front
    ● Accès BO Administrateur
    ● Accès SSH/FTP

    View full-size slide

  9. Déroulement
    de l’audit
    Ce qu’on va faire…
    On va auditer :
    ● L’installation WordPress
    ● Le(s) thème(s)
    ● Les extensions
    ● L’environnement serveur et la
    sécurité
    ● L’architecture du contenu et
    l’optimisation pour le
    référencement
    ● Les performances

    View full-size slide

  10. Déroulement
    de l’audit
    L’installation WordPress
    ● Version du core
    ● Intégrité du core
    ● Multisite ?
    ● Boutique ?
    ● Détection de malwares, hacks
    ● Fichiers anciens/périmés

    View full-size slide

  11. Déroulement
    de l’audit
    Le(s) thème(s)
    Pour chaque thème présent sur
    l’installation :
    ● w.org ? premium ? custom ?
    ● À jour ?
    ● Intégrité préservée ?
    ● Thème enfant ?
    ● Thèmes inactifs ? À jour ?
    Donner la version utilisée, la dernière
    version, l’origine, la criticité relative et
    un commentaire explicatif.

    View full-size slide

  12. Déroulement
    de l’audit
    Les extensions
    Pour chaque extension présente sur
    l’installation :
    ● w.org ? premium ? custom ?
    ● À jour ?
    ● Intégrité préservée ?
    ● Mu-plugins ?
    ● Extensions inactives ? À jour ?
    Donner la version utilisée, la dernière
    version, l’origine, la criticité relative et
    un commentaire explicatif.

    View full-size slide

  13. Déroulement
    de l’audit
    L’installation serveur et la sécurité
    ● On audite l’installation en regard
    des bonnes pratiques WP :
    ○ ssl
    ○ htaccess
    ○ directory listing
    ○ disclosure
    ○ préfixes de tables
    ○ SQLi
    ○ API Rest / XMLRPC
    ○ utilisateurs / comptes / login

    View full-size slide

  14. Déroulement
    de l’audit
    L’architecture du contenu et
    l’optimisation pour le
    référencement
    Donner une première analyse et des
    pistes de réflexion :
    ● SSL / mixed content
    ● permaliens
    ● sitemaps / robots.txt
    ● structuration et balisage
    ● opengraph / microdata / aria

    View full-size slide

  15. Déroulement
    de l’audit
    Les performances
    L’objectif est de donner un état des
    lieux général de ce qui est en place
    et de ce qu’il reste à faire.
    ● Compression GZIP
    ● Cache serveur / cache CMS
    ● Minification / concaténation
    ● Vitesse de chargement
    ● Optimisation des ressources

    View full-size slide

  16. L’écriture du
    compte-rendu
    Le moment on l’on doit être
    efficace et s’organiser
    ● L’outil parfait : un bon vieux tableur
    ● Une extension dédiée pour
    exporter les datas ?
    → CheckMyWP
    Pas (encore?) open-sourcé
    ● Sinon :
    ○ Health Check (by w.org)
    ○ Tide ? Hmm
    ● 3 parties :
    ○ Synthèse
    ○ Audit détaillé
    ○ Chiffrages de setup / mise à niveau

    View full-size slide

  17. La restitution
    de l’audit
    Le moment où on annonce les
    bonnes et les mauvaises
    nouvelles
    ● Rester rationnel, jamais alarmiste
    ● Ne pas s’acharner sur le
    prestataire précédent
    ● Montrer les points négatifs mais
    aussi les points positifs
    ● Expliquer comment fonctionne l’
    écosystème WP
    ● Proposer un plan d’action :
    ○ Migration serveur ?
    ○ Mise à niveau ?
    ○ Maintenance à long terme ?
    ○ Préparation à la refonte/migration ?

    View full-size slide

  18. Merci.
    Auditer un site WordPress comme un chef
    WordCamp Paris 2018
    Jb Audras – @audrasjb – jeanbaptisteaudras.com
    Dir tech @agence_whodunit

    View full-size slide