Optimiser WordPress : performances & sécurité

10 étapes obligatoires en 2020 pour éviter les attaques et surcharges

Votre site WordPress n’est probablement pas sécurisé et optimisé suffisamment pour faire face aux attaques, recrudescentes en 2020.

Découvrez tout de suite les 10 optimisations simples à implémenter, dans cette formation 100% gratuite !

Hébergement EasyHoster : on s’occupe de tout !

En tant que client EasyHoster, notre équipe se fera un plaisir d’implémenter chacune de ces 10 clés, pour vous, sur simple demande au support technique EasyHoster.

Veuillez simplement nous transmettre votre URL de connexion (wp-login.php), l’identifiant et le password de votre tableau de bord WordPress.

Ci-dessous, la check-list résumée des 10 clés à implémenter…

Vous avez apprécié cette formation ?

S’il vous plaît, prenez 2 minutes de votre temps pour soutenir la future formation gratuite ! Laissez-nous une note de 5 étoiles sur Google Maps et Trustpilot, c’est très rapide !

Ensuite, abonnez-vous à nos réseaux sociaux : Facebook, Twitter, LinkedIn et YouTube.

Meilleurs plugins d’optimisation WP

1. Le cache

Voir à 5:08

Dans cette séquence, Nicolas vous montre comment installer et configurer WP Super Cache, ou WP Rocket… un plugin de cache est 100% indispensable sur tout site WordPress !

WordPress n’est pas un CMS léger.

Optimiser la vitesse de WordPress grâce à la mise en cache, WP Super Cache, WP Rocket
WordPress : détecter plugins lents à charger consommateurs de ressources serveur - Détecter les plugins consommateurs de ressources serveurs CPU RAM LOAD

Détecter un plugin consommateur de ressources

2. Plugins/Scripts mal optimisés

Voir à 10:23

Dans cette séquence, Nicolas vous montre qu’une fonctionnalité native de WooCommerce peut être la source de surcharges extrêmes. Il vous raconte également une anecdote « client » qui a failli se faire mettre dehors par son hébergeur à cause d’une case à cocher.

Je n’ai jamais vu d’autre hébergeur Web s’impliquer autant qu’EasyHoster pour l’optimisation des sites de ses clients… – Un client.

Remplacer les tâches CRON de WP par de vraies tâches cPanel

3. wp-cron.php

Voir à 24:03

Dans cette séquence, Nicolas vous montre que le système de tâches CRON de WordPress, même s’il est très utile, n’est pas optimal.

Les tâches WP-CRON peuvent facilement être remplacées par de véritables tâches CRON, côté serveur (cPanel), grâce à une simple ligne de commande.

⚠️ Dans le wp-config.php :

define('DISABLE_WP_CRON', true);

Diminuer ressources serveur utilisées par wp-cron.php cron jobs WordPress
Ci-dessous, la tâche CRON cPanel à exécuter toutes les heures :

Important, pour les minutes, utilisez des valeurs aléatoires comprises entre 1 et 59 : Instructions (capture d’écran)

Ligne de commande optimale : 

/usr/local/bin/php -q /home/USER/public_html/wp-cron.php >/dev/null 2>&1

Sans oublier de remplacer USER par votre identifiant cPanel et public_html par votre addon domain, le cas échéant.

Ligne de commande alternative :

wget -q -O - https://www.example.com/wp-cron.php?doing_wp_cron >/dev/null 2>&1

Sans oublier de remplacer example.com par votre nom de domaine.

Qu'est-ce que le Heartbeat WordPess ? Load CPU serveur surcharge admin-ajax.php

Diminuer le load CPU du serveur sur admin-ajax.php

4. WordPress Heartbeat API

Voir à 28:30

Dans cette séquence, Nicolas vous apprende ce qu’est l’API Heartbeat de WordPress, son utilité et surtout, comment la contrôler pour qu’elle ne compremette pas la stabilité de votre hébergement web.

Lorsque vous naviguez dans votre tableau de bord WordPress, toutes les 15 secondes, de nouvelles requêtes (lourdes) sont transmises au serveur..

Charge serveur et attaques brute force / ddos (sécurité WP)

5. Brute force & DDoS

Voir à 33:37

Dans cette séquence, Nicolas vous rappelle que les pages de login WordPress (wp-login.php) sont la cible de nombreux pirates très biens organisés. Ces attaques peuvent augmenter fortement la consommation serveur de votre site WordPress.

Il existe des moyens pour se protéger !

Solutions brute force WP et DDoS ?
Pourquoi désactiver xml-rpc.php de WP ?

Désactiver le fichier xmlrpc.php de WordPress

6. xmlrpc.php

Voir à 33:52

Dans cette séquence, Nicolas vous explique que le xmlrpc.php est un fichier d’API WP permettant de communiquer et manipuler votre site. Il est très peu exploité par les utilisateurs de WordPress. Il reste néanmoins actif par défaut sur les millions d’installations de WordPress du monde entier.

Le xmlrpc.php est une nouvelle porte d’entrée exploitée par les pirates.

Ce fichier se retrouve presque systématiquement parmi les scripts les plus consommateurs de ressources, alors qu’il n’est réellement utilisé que par -1% des sites WP. Désactivez-le !

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Pour la désactivation du fichier XML-RPC, nous préconisons le plugin Disable XML-RPC.

Votre page de connexion à WP est celle par défaut ? Agissez !

7. wp-login.php

Voir à 36:54

Dans cette séquence, Nicolas vous rappelle que la première action à effectuer, après avoir installé WordPress, est de modifier immédiatement l’adresse par défaut de votre page de connexion au tableau de bord wp-login.php.

Les pirates qui tentent de s’introduire dans votre site WordPress utilisent des dizaines d’adresses IP différentes venues des quatre coins du globe.

Pour le déplacement de la page de connexion, nous préconisons le plugin Rename wp-login.php (simple) ou SF Move Login (avancé).

Déplacer la page de connexion de WP, renommer wp-login.php
Protection anti bruteforce officielle de WP : Jetpack Protect.

Plugin anti-bruteforce officiel de WordPress.com

8. Jetpack Protect

Voir à 42:04 La société qui édite WordPress est consciente du problème des attaques par force brute. C’est pourquoi elle met à disposition son plugin Jetpack qui utilise une base de données (backlist) décentralisée.

Jetpack Protect pourrait être considéré comme un indispensable. Il est très rapide à mettre en place et très efficace.

N.B. : l’activation de Jetpack a la réputation de ralentir les sites WordPress.
Notez que cette étape n’est pas obligatoire si vous avez effectué les optimisations précédentes, numéros 6 et 7, c’est-à-dire, le blocage du fichier xmlrpc.php et le déplacement de votre page de wp-login.php.

Bloquer certains pays sur WordPress par sécurité ?

9. Blocage par pays

Voir à 44:45 Les utilisateurs de WordPress désirant bloquer certains pays par mesure de sécurité utilisent Wordfence Premium (la version payante, un peu coûteuse).

Si vous le souhaitez, en tant que client EasyHoster, sur demande, nous pouvons vous recommander une liste de pays à risque, ainsi que mettre en place gratuitement, notre propre plugin de protection basé sur l’API de geoplugin.net.

Alternativement, il existe aussi le plugin iQ Block Country qui fonctionne bien. Il sera cependant nécessaire de télécharger le fichier GeoLite2-Country.mmdb sur MaxMind.com.

Bloquer pays, sécurité WordPress, plugin gratuit.
Sauvegardes, backups, dans le cloud, pour WordPress (hébergeur avec sauvegardes, backups fiables)

Meilleure solution (plugin) de sauvegarde (backups) WordPress ?

10. Backups locaux vs backups distants

Voir à 46:16

Dans cette séquence, Nicolas nous livre un coup de gueule contre le stockage de backups locaux :

Inutiles !

Et bien sûr, vous y découvrirez les meilleures solutions de backups WP, à la fois fiables et peu coûteuses.

L’assistance EasyHoster peut vous fournir ses dernières sauvegardes en date, à tout moment, sur simple demande par ticket.

Hébergement optimisé pour WordPress

L’hébergement optimisé WordPress d’EasyHoster est la solution idéale pour les utilisateurs ne disposant pas de grandes compétences en informatique.