Auditer un site WordPress comme un chef WordCamp Paris 2018

Jb Audras Directeur technique chez Whodunit. Contributeur WordPress - GTE France - Co-organisateur du meetup WP Drôme-Ardèche - Core & meta w.org - Auteur d’extensions - Contrib Glotdict - WPTD 2017 design & website - Theme review team - Co-lead de la version 4.9.5 @audrasjb @agence_whodunit @WordPress0726

Jean-Philippe Audit Auditeur de sites WordPress Un type un peu spécial - Les standards web dans la peau - Les WPCS dans le sang - Connaît le changeset complet de chaque version de WP passée (et à venir) - Récite la liste des extensions du repo avec date de dernière MAJ - Sécurité, accessibilité, SEO, performances… Et s’il n’existe pas vraiment, il est quand même bien utile …

La raison d’être de Jean-Philippe Audit ? On audite toujours un site internet, jamais les gens qui l’ont réalisé. “

L’audit, pourquoi faire ? Qu’est-ce que ça apporte ? ● Un avis extérieur, objectivé ● Un vrai état des lieux de l‘installation WordPress et des clés pour comprendre l’ écosystème sur lequel elle est basée ● Des données rationnelles et exploitables ● Des pistes d’améliorations

L’audit, pourquoi faire ? Qu’est-ce que ça apporte à l’agence / au prestataire ? ● Valoriser des compétences durement acquises ● Diversifier son activité avec une nouvelle clientèle : ○ Conseil ○ Maintenance ○ Refonte de sites

L’audit gratuit, une pratique déviante ? Non mais WTF you donut’ ils font des audits gratos ?! Mais ils vont tuer le petit commerce ! ● Un pré-audit est toujours nécessaire : c’est un état des lieux / un état de santé du site avant tout ● C’est un investissement : → pour se rendre compte de l’ état du site du prospect. → un pourcentage de signature de contrats élevé en regard du travail fourni. Cet audit doit cependant être rationalisé au maximum.

Déroulement de l’audit Ce dont on a besoin… ● Accès en front ● Accès BO Administrateur ● Accès SSH/FTP

Déroulement de l’audit Ce qu’on va faire… On va auditer : ● L’installation WordPress ● Le(s) thème(s) ● Les extensions ● L’environnement serveur et la sécurité ● L’architecture du contenu et l’optimisation pour le référencement ● Les performances

Déroulement de l’audit L’installation WordPress ● Version du core ● Intégrité du core ● Multisite ? ● Boutique ? ● Détection de malwares, hacks ● Fichiers anciens/périmés

Déroulement de l’audit Le(s) thème(s) Pour chaque thème présent sur l’installation : ● w.org ? premium ? custom ? ● À jour ? ● Intégrité préservée ? ● Thème enfant ? ● Thèmes inactifs ? À jour ? Donner la version utilisée, la dernière version, l’origine, la criticité relative et un commentaire explicatif.

Déroulement de l’audit Les extensions Pour chaque extension présente sur l’installation : ● w.org ? premium ? custom ? ● À jour ? ● Intégrité préservée ? ● Mu-plugins ? ● Extensions inactives ? À jour ? Donner la version utilisée, la dernière version, l’origine, la criticité relative et un commentaire explicatif.

Déroulement de l’audit L’installation serveur et la sécurité ● On audite l’installation en regard des bonnes pratiques WP : ○ ssl ○ htaccess ○ directory listing ○ disclosure ○ préfixes de tables ○ SQLi ○ API Rest / XMLRPC ○ utilisateurs / comptes / login

Déroulement de l’audit L’architecture du contenu et l’optimisation pour le référencement Donner une première analyse et des pistes de réflexion : ● SSL / mixed content ● permaliens ● sitemaps / robots.txt ● structuration et balisage ● opengraph / microdata / aria

Déroulement de l’audit Les performances L’objectif est de donner un état des lieux général de ce qui est en place et de ce qu’il reste à faire. ● Compression GZIP ● Cache serveur / cache CMS ● Minification / concaténation ● Vitesse de chargement ● Optimisation des ressources

L’écriture du compte-rendu Le moment on l’on doit être efficace et s’organiser ● L’outil parfait : un bon vieux tableur ● Une extension dédiée pour exporter les datas ? → CheckMyWP Pas (encore?) open-sourcé ● Sinon : ○ Health Check (by w.org) ○ Tide ? Hmm ● 3 parties : ○ Synthèse ○ Audit détaillé ○ Chiffrages de setup / mise à niveau

La restitution de l’audit Le moment où on annonce les bonnes et les mauvaises nouvelles ● Rester rationnel, jamais alarmiste ● Ne pas s’acharner sur le prestataire précédent ● Montrer les points négatifs mais aussi les points positifs ● Expliquer comment fonctionne l’ écosystème WP ● Proposer un plan d’action : ○ Migration serveur ? ○ Mise à niveau ? ○ Maintenance à long terme ? ○ Préparation à la refonte/migration ?

Merci. Auditer un site WordPress comme un chef WordCamp Paris 2018 Jb Audras – @audrasjb – jeanbaptisteaudras.com Dir tech @agence_whodunit