Créer son site web avec un CMS (Système de gestion de contenu) open source comme Wordpress ou Joomla vous permet de ne pas vous retrouver prisonnier d'un service web sur abonnement réduit au plus petit dénominateur commun des besoins de ses utilisateurs.

Installer son propre CMS présente aussi l'avantage de pouvoir optimiser soi-même le design, la sécurité et les performances de son site, ce qui peut faire la différence dans un marché très concurrentiel. Voici quelques règles de base à suivre pour bien démarrer en ce qui concerne l'aspect technique.

Bien choisir son hébergeur

L'hébergeur de votre site est la première ligne de défense en matière de sécurité et la puissance de ses serveurs garantira les performances de votre site. À l'heure où j'écris ces lignes, certains hébergeurs ne proposent pas encore la dernière version du langage de programmation PHP pourtant beaucoup plus performante et sécurisée (PHP 7), ni de certificat TLS/SSL gratuit comme celui de Let's encrypt, afin de protéger la confidentialité des informations transmises entre le navigateur et le serveur. Il vaut donc mieux payer un peu plus cher et choisir un hébergeur réputé qui offre en outre une bande passante suffisante, ainsi qu'une bonne interconnexion avec les noeuds principaux du réseau (par ex, pour Infomaniak). Sans réaliser une liste exhaustive, il est aussi intéressant de disposer de

  • sauvegardes automatiques des fichiers et de la base de données,
  • accès SFTP pour un transfert sécurisé des fichiers et SSH pour la ligne de commande,
  • protection anti-DDOS,
  • disques SSD,
  • allocation mémoire généreuse,
  • cache mémoire (Memcached),
  • scanner anti-virus,
  • support technique à l'écoute,
  • un service respectueux de l'environnement.

Installer son CMS dans les règles de l'art

Les CMS open source comme Joomla ou Wordpress proposent des modes d'installation simplifiés, mais il est important de se documenter avant d'agir. Des réglages supplémentaires vous permettront d'optimiser la sécurité et les performances de votre site. Par exemple:

  • modifier le nom d'utilisateur 'admin' qui est celui par défaut dans les CMS,
  • bloquer l'exécution de PHP dans certains dossiers comme le dossier de téléchargement des images,
  • vérifier les permissions des fichiers et des dossiers,
  • supprimer les mots de passe FTP ou SMTP dans la configuration du CMS,
  • optimiser les URLs,
  • compresser les images, etc.

Activer un système de cache permet de réduire un peu plus la charge sur le serveur et donc d'augmenter la vitesse de chargement des pages. Avec Joomla, le systèmes de cache est intégré au coeur de l'application, mais sur Wordpress, il faudra choisir une extension dédiée à installer comme W3 Total cache.

Pour plus d'informations:

Mettre à jour son CMS et sauvegarder ses données

Joomla et Wordpress sont développés et testés par des contributeurs du monde entier. Ils sont donc considérés, à juste titre, comme très sûrs. Lorsqu'une faille est découverte, elle est rapidement corrigée. Il est donc très important de mettre à jour son CMS régulièrement. Les deux CMS proposent un système de mise à jour simple par clic sur un bouton. Wordpress a une mise à jour automatique, mais limitée aux mises à jour de sécurité. Joomla avertit ses utilisateurs par email, lorsqu'une mise à jour est disponible. Pour pouvoir mettre à jour le CMS sans casser la personnalisation du site, il faut faire attention de ne pas modifier directement les fichiers du coeur de l'application, mais d'utiliser des templates et layout overrides (Joomla), des thèmes enfants (Wordpress) et de surclasser les fichiers CSS qui définissent les styles des pages.

Des années de travail peuvent disparaître à tout jamais, s'il n'existe pas une copie du site en lieu sûr. Des sauvegardes régulières doivent être effectuées pour éviter tout risque de perte de données. En disposant de son propre hébergement, on est responsable de ses propres données, ce qui est toujours mieux que d'en confier la responsabilité à un tiers. Il est possible d'utiliser des services spécialisés ou des extensions comme Akeeba Backup ou effectuer la sauvegarde par ligne de commande (SSH).

Bien choisir ses extensions

Joomla intègre de nombreuses fonctionnalités dans le CMS comme le SEO, le cache, les champs personnalisés ou le multilingue. Du côté de Wordpress, la philosophie est différente. Le coeur du CMS est très simple et de nombreuses fonctionnalités importantes sont ajoutées par des plugins (extensions).

Par exemple, pour les utilisateurs qui n'ont que peu de connaissances dans un langage comme HTML pour mettre en page les informations qu'ils souhaitent, il est possible d'installer sous forme d'extension des éditeurs de contenu sophistiqués comme Arkeditor ou Gutenberg pour faciliter la création de mises en page complexes ou d'un constructeur de formulaire (Form builder) pour créer des formulaires sans connaissances en programmation. L'installation d'un gestionnaire d'image avancé comme celui de JCE Pro peut aider les utilisateurs à recadrer et redimensionner les images qui ralentissent fortement la vitesse de chargement des pages web.

Gestionnaire d'image avancé
Redimensionnement d'image sur le serveur (JCE Pro)

Comme pour le CMS, les extensions peuvent elles aussi présenter des failles de sécurité. Dans un cas récent, un plugin Wordpress a même été volontairement conçu avec une porte dérobée à l'intérieur pour permettre au développeur de pirater le site sur lequel il était installé. Un webmaster chevronné se renseignera donc avant d'installer n'importe quoi et mettra à jour ses plugins dès qu'une nouvelle version sera disponible.

Installer une extension dédiée à la sécurité

Si votre site utilise un domaine en .ch et est piraté, son registry Switch peut suspendre la résolution du DNS et non seulement votre site deviendra inaccessible, mais vous ne pourrez plus utiliser votre email habituel. Aucun logiciel n'est parfait et une extension de sécurité vous aidera à diminuer les risques liés aux tentatives de piratage. Akeeba Admin Tools (Joomla) et Block Bad Queries/6G (Wordpress) filtrent les diverses attaques des bots à la recherche de vulnérabilités et améliorent aussi du même coup la qualité de la mesure d'audience. Limiter l'accès au formulaire de connexion à l'administration du site est une mesure de sécurité supplémentaire à envisager. Admin Tools permet de masquer son URL en ajoutant un mot secret qui évitera les attaques en force brute. WP Bruiser est un plugin Wordpress qui bloque les tentatives de connexion automatiques. Les deux extensions permettent de bloquer définitivement les adresses IP des récidivistes.

Si vous ne voulez pas masquer votre formulaire de connexion, il est possible d'activer le système d'identification à deux facteurs de Joomla (disponible avec un plugin pour Wordpress) qui demandera d'insérer un code supplémentaire fourni par une application pour smartphone. En fait, il existe un grand choix d'extensions de sécurité que vous êtes invité à tester, afin de trouver celles qui conviendront le mieux aux particularités de votre site.

Effectuer une veille de son site web et tester…

Ajouter son site aux services Google search console et Bing webmaster tools permet de contrôler l'indexation des pages dans ces deux moteurs de recherche qui représentent toujours une part prépondérante des visites. Ils offrent aussi des informations sur les mots clés utilisés, les erreurs rencontrées sur le site et des outils de diagnostic SEO, de compatibilité mobile et de sécurité. Des rapports d'audience personnalisés peuvent être créés avec Google Data Studio pour analyser les données de sources variées : mots clés de Google search console, origine et nature des visites détectées par Google Analytics, résultats de campagnes Adwords et conversions avec les formulaires de contact.

Avoir un tableau de bord central facilite la prise de décisions en se basant sur des données quantitatives et non pas seulement sur des suppositions invérifiables à condition que ces données soient fiables. Les bots représentent une autre menace sur l'intégrité des données et leur analyse. Dans un CMS complexe, il est aussi possible d'intégrer par erreur plusieurs codes de suivi Google Analytics à la suite, ce qui va fausser les résultats. Aucun outil de diagnostic ne remplacera jamais le bon sens et la capacité du webmaster à jeter un coup d'oeil au code HTML de son site pour y détecter des anomalies. Nous nous tenons à disposition pour vous aider à apprendre à utiliser votre site web au mieux.