Créer son site web avec un CMS (Système de gestion de contenu) open source comme Wordpress ou Joomla vous permet de ne pas vous retrouver prisonnier d'un service web sur abonnement réduit au plus petit dénominateur commun des besoins de ses utilisateurs, qui peut modifier son offre du jour au lendemain ou supprimer votre compte au moindre problème.
Installer son propre CMS présente aussi l'avantage de pouvoir optimiser soi-même le design, les fonctionnalités, la sécurité et les performances de son site, ce qui peut faire la différence dans un marché très concurrentiel. Voici quelques règles de base à suivre pour bien démarrer en ce qui concerne l'aspect technique.
Bien choisir son hébergeur
L'hébergeur de votre site est la première ligne de défense en matière de sécurité et la puissance de ses serveurs garantira les performances de votre site. Certains hébergeurs ne proposent pas la dernière version des langages de programmation comme PHP pourtant plus performante et sécurisée ou des applications qu'ils permettent d'installer en un clic. Il vaut donc mieux payer un peu plus cher et choisir un hébergeur réputé qui protège réellement votre site. Par exemple, Infomaniak propose à tous ses clients Patchman security scanner qui corrige automatiquement les vulnérabilités présentes sur les anciennes versions des CMS les plus répandus comme Joomla ou Wordpress.
Sans réaliser une liste exhaustive, voici quelques caractéristiques importantes des offres d'hébergement performantes:
- sauvegardes automatiques des fichiers et de la base de données dans un datacenter différent,
- certificat TLS/SSL gratuit comme celui de Let's encrypt, afin de protéger la confidentialité des informations transmises entre le navigateur et le serveur,
- support technique à l'écoute,
- accès rapide au journal du serveur,
- accès SFTP pour un transfert sécurisé des fichiers et SSH pour la ligne de commande,
- protection anti-DDOS et anti-bots,
- scan des malwares,
- disques SSD,
- allocation mémoire généreuse,
- version 2 du protocole http,
- version récente de PHP et de MySQL/MariaDB,
- optimisation de PHP (Opcache) ou cache mémoire,
- accès aux tâches cron,
- CDN,
- une entreprise respectueuse des normes socio-environnementales.
Pour plus d'informations:
Optimiser son CMS Joomla
Optimiser son CMS Wordpress
Installer son CMS dans les règles de l'art
Les CMS open source comme Joomla ou Wordpress proposent des modes d'installation simplifiés, mais il est important de se documenter avant d'agir. Des réglages supplémentaires vous permettront d'optimiser la sécurité et les performances de votre site. Par exemple:
- ne jamais utiliser le nom d'utilisateur par défaut du CMS, par exemple 'admin' sur Wordpress, qui est attaqué en priorité par les hackers,
- utiliser des mots de passe forts (minimum 12 caractères) et ne pas envoyer à vos collaborateurs les codes d'accès en clair par email, vraiment…
- contrôler les accès au frontend et au backend en limitant le nombre d'accès, en adoptant une authentification multifacteurs ou en modifiant l'url,
- bloquer l'exécution de PHP dans certains dossiers comme le dossier de téléchargement des images,
- vérifier les permissions des fichiers et des dossiers,
- garder l'extension php en dupliquant le fichier de configuration, ex.
bak.wp-config.php
et paswp-config.bak
, pour éviter de divulguer son contenu, - déplacer les fichiers php hors du dossier public (disponible avec Joomla 5),
- supprimer les mots de passe FTP dans la configuration du CMS,
- utiliser une adresse email dédiée, n'appartenant pas un compte courant, pour la configuration SMTP,
- optimiser les URLs en utilisant des mots clés plutôt que des paramètres (mode SEF),
- supprimer les extensions non essentielles au fonctionnement du site,
- régler précisément les en-têtes HTTP, les performances des assets, la compression des images, des CSS et des scripts, etc.
Activer un système de cache permet de réduire un peu plus la charge sur le serveur et donc d'augmenter la vitesse de chargement des pages. Avec Joomla, un système de cache est intégré au coeur de l'application, mais sur Wordpress, il faudra choisir une extension dédiée à installer comme W3 Total cache ou WP Rocket.
Pour plus d'informations:
Sécuriser son CMS Wordpress
Sécuriser son CMS Joomla
Mettre à jour son CMS et sauvegarder ses données
Joomla et Wordpress sont développés et testés par des contributeurs du monde entier. Ils sont donc considérés, à juste titre, comme sûrs. Lorsqu'une faille est découverte, elle est rapidement corrigée. Il est donc très important de mettre à jour son CMS régulièrement. Les deux CMS proposent un système de mise à jour simple par clic sur un bouton depuis l'interface utilisateur. Wordpress propose une mise à jour automatique ou par ligne de commande. Joomla avertit ses utilisateurs par email, lorsqu'une mise à jour est disponible. Pour pouvoir mettre à jour le CMS sans casser la personnalisation du site, il faut faire attention de ne pas modifier directement les fichiers du coeur de l'application, mais d'utiliser des templates et layout overrides (Joomla), des thèmes enfants (Wordpress) et de surclasser les fichiers CSS qui définissent les styles des pages.
Des années de travail peuvent disparaître à tout jamais, s'il n'existe pas une copie du site en lieu sûr. Des sauvegardes régulières doivent être effectuées pour éviter tout risque de perte de données. En disposant de son propre hébergement, on est responsable de ses propres données, ce qui est toujours mieux que d'en confier la responsabilité à un tiers. Il est possible d'utiliser des services spécialisés ou des extensions comme Akeeba Backup ou d'effectuer la sauvegarde par ligne de commande (SSH). Attention en revanche de ne pas laisser un fichier de sauvegarde en accès direct sur le serveur, les journaux d'accès montrent que les hackers scannent régulièrement les sites à leur recherche. Vérifiez aussi que vous possédez un accès complet à la console d'hébergement et à la zone DNS de votre nom de domaine, si vous avez besoin d'effectuer une manipulation urgente.
Bien choisir ses extensions
Joomla intègre de nombreuses fonctionnalités dans le CMS comme le SEO, le cache, les champs personnalisés ou le multilingue. Du côté de Wordpress, la philosophie est différente. Le coeur du CMS est très simple et de nombreuses fonctionnalités importantes sont ajoutées par des plugins (extensions).
Les utilisateurs qui n'ont que peu de connaissances dans un langage comme HTML pour mettre en page les informations qu'ils souhaitent peuvent utiliser des éditeurs de contenu sophistiqués comme JCE ou Gutenberg. L'installation d'un gestionnaire d'image avancé comme celui de JCE Pro peut aider les utilisateurs à recadrer et redimensionner les images qui ralentissent fortement la vitesse de chargement des pages web.
Comme pour le CMS, les extensions peuvent elles aussi présenter des failles de sécurité. Dans un cas récent, un plugin Wordpress a même été volontairement conçu avec une porte dérobée à l'intérieur pour permettre au développeur de pirater le site sur lequel il était installé. Un webmaster chevronné se renseignera donc avant d'installer n'importe quoi et mettra à jour ses plugins dès qu'une nouvelle version sera disponible ou utilisera la mise à jour automatique disponible avec Wordpress.
Installer une extension dédiée à la sécurité
Si votre site utilise un domaine en .ch et est piraté, son registry Switch peut suspendre la résolution du DNS et non seulement votre site deviendra inaccessible, mais vous ne pourrez plus utiliser votre email habituel. Aucun logiciel n'est parfait et une extension de sécurité vous aidera à diminuer les risques liés aux tentatives de piratage. Akeeba Admin Tools (Joomla) et Block Bad Queries/6G (Wordpress) filtrent les diverses attaques des bots à la recherche de vulnérabilités et améliorent aussi du même coup la qualité de la mesure d'audience. Limiter l'accès au formulaire de connexion à l'administration du site est une mesure de sécurité supplémentaire à envisager. Admin Tools permet de masquer son URL en ajoutant un mot secret qui évitera les attaques en force brute. WPS Hide Login est un plugin Wordpress qui propose une fonctionnalité identique.
Pour réduire encore les risques d'intrusion, il est possible d'activer le système d'identification à deux facteurs de Joomla (disponible avec un plugin pour Wordpress) qui demandera d'insérer un code supplémentaire fourni par une application pour smartphone. En fait, il existe un grand choix d'extensions de sécurité que vous êtes invité à tester, afin de trouver celles qui conviendront le mieux aux particularités de votre site.
Effectuer une veille de son site web et tester…
Ajouter son site aux services Google search console et Bing webmaster tools permet de contrôler l'indexation des pages dans ces deux moteurs de recherche qui représentent toujours une part prépondérante des visites. Ils offrent aussi des informations sur les mots clés utilisés, les erreurs rencontrées sur le site et des outils de diagnostic SEO, de compatibilité mobile, d'optimisation de la vitesse de chargement des pages et de sécurité. Des rapports d'audience personnalisés peuvent être créés avec Google Looker Studio pour analyser les données de sources variées : mots clés de Google search console, origine et nature des visites détectées par Google Analytics, résultats de campagnes Google Ads et conversions avec les formulaires de contact.
Avoir un tableau de bord central facilite la prise de décisions en se basant sur des données quantitatives et non pas seulement sur des suppositions invérifiables à condition que ces données ne soient pas faussées par les visites intempestives de bots malveillants. Dans un CMS complexe, il est aussi possible d'intégrer par erreur plusieurs codes de suivi Google Analytics à la suite, ce qui va fausser les résultats. Aucun outil de diagnostic ne remplacera jamais le bon sens et la capacité du webmaster à jeter un coup d'oeil au code HTML de son site pour y détecter des anomalies.
Continuez la lecture avec un cas pratique d'optimisation de CMS.