Forum Programmation.web Bonnes pratiques pour un site web ?

Posté par  . Licence CC By‑SA.
Étiquettes :
4
9
nov.
2021

Salut,

Je ne fais pas du tout de web ; j'ai, au mieux, acheté quelques noms de domaines à une époque lointaine ou fait des petits travaux par-ci par-là…
Bref, je me suis engagé à déployer un Wordpress sur un serveur mutualisé OVH pour une petite association assez pauvre mais sympathique…c'est du bénévolat (mais j'ai du temps…c'est l'avantage quand on veut apprendre).

Du coup, je me demandais quelles étaient les bonnes pratiques et je cherche des conseils en tout genre.

Vaut-il mieux que je déploie WP en local, que je fasse le site avec quelques plugins et arrangements graphiques puis que je l'exporte sur le serveur mutualisé ou dois-je directement bricoler en ligne et non en local ?
Si je dois travailler en local, quel serveur me conseillez-vous ? Faudra-t-il aussi installer un serveur capable de gérer WP sur le serveur d'OVH ou bien, je pourrai simplement choisir mon type de serveur là-dessus ?

Faudra-t-il absolument utiliser HTTPS pour un site qui n'aura ni utilisateurs enregistrés, ni achats…juste un formulaire de contact ? 

Bref, je pars de loin, n'hésitez pas à me donner simplement de bonnes pistes, je ferai toutes les recherches nécessaires ensuite. Merci pour votre lecture et votre aide ! :)

  • # Installateur dédié?

    Posté par  (site web personnel) . Évalué à 5.

    • [^] # Re: Installateur dédié?

      Posté par  . Évalué à 3.

      Je ne connaissais pas la fonctionnalité…Au final, ça ne demande presque aucune compétence ; c'est "d'autant mieux" puisque mon but est surtout de créer une documentation claire et précise pour l'association, qu'elle puisse se débrouiller avec son serveur et Wordpress.

    • [^] # Re: Installateur dédié?

      Posté par  . Évalué à 6.

      Je suis venu ici pour dire la même chose :). Faut viser le long terme dans ton cas, et maintenance minimale. Le WP du module 1 clic se met à jour tout seul, et les certifs Let's encrypt sont inclus.

  • # C'est quoi le besoin ?

    Posté par  (site web personnel, Mastodon) . Évalué à 6.

    Si ça se trouve, quelque chose comme un accès sur Garradin pour lequel il y aura à la fois la gestion des membres, la compta et un site externe peut suffire. Tu n'aurais qu'à t'occuper de bricoler un beau site et faire un formulaire de contact. On peut faire des trucs plutôt chouettes comme celui-là. Et la participation peut être très faible.

    Ça me paraît plus simple et ce n'est pas toi qui va t'enquiquiner par la suite avec le serveur (et avec Wordpress…).

    « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

    • [^] # Re: C'est quoi le besoin ?

      Posté par  . Évalué à 1.

      Salut,

      Le besoin est surtout informatif ; c'est pour présenter des activités et offrir un formulaire de contact. Pas besoin de compta ou de membres. :)

  • # oui pour HTTPS, surtout si formulaire

    Posté par  . Évalué à 4.

    Sans HTTPS le navigateur risque d'afficher un warning, surtout dans le cas d'un formulaire, pour les utilisateurs lambda ça fait mauvais genre. Et puis même si la seule info sensible est le mail de l'utilisateur pour le formulaire de contact, ça mange pas de pain de ne pas envoyer ça en clair

  • # Oulà

    Posté par  (site web personnel) . Évalué à 6.

    Bon, déjà, le choix du logiciel est à revoir, mais c'est une question de mode et d'écrasement marketing.

    Je t'aurai bien recommandé de remplacer le Worst-Press par Spip.

    Bien sûr, cela signifie de recommencer à prendre en main un nouvel outil.

    Comme dit plus haut, OVH propose du clic tout en un. C'est un très bon choix pour le long terme, et tu n'as pas à te prendre la tête.

    Deux choses :
    - Ajoute et active (et test) un des plugins de Cache. Cette m*rde infâme de WP est généralement livré sans, ce qui est problématique (comme c'est pas par défaut, il y a souvent des incompatibilités… mais WP n'a pas été fait pour que tout aille bien, au contraire, c'est le support qui est vendu)
    - Met en place un système de sauvegarde des données et de la base de données. Et test les restaurations.

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

    • [^] # Re: Oulà

      Posté par  . Évalué à 3.

      en effet, backup et restauration…
      dans les plugins fait pour cela, j'aime bien "duplicator"
      qui est capable de sortir une archive contenant le code et la base de donnée, avec une petit code php à coté

      tu colles les 2 fichiers sur ton nouvel hébergement, tu vas sur la page php fournit,
      hop, ca decompresser l'archive, de demandes les nouveaux ID de base de données, reinette le tout…

      ideal pour la maquette/recette chez toi, puis l'envoie au client ou la mise en production
      et inversement évidemment, reprendre une copie du site du client, la tester chez toi, la renvoyer ensuite

    • [^] # Re: Oulà

      Posté par  (site web personnel) . Évalué à 5.

      Bon, déjà, le choix du logiciel est à revoir…

      Et pas qu'un peu ! Un WP pour afficher une simple présentation et un formulaire de contact, et après on s'étonne du réchauffement climatique… Faut arrêter de prendre des fusils pour tuer des mouches !

      Un bête fichier html suffit (à la place du moteur de génération de pages de WP), un simple script PHP pour enregistrer les données saisies (et éventuellement envoyer un mail, pas besoin d'une base de données pour si peu), et tu auras non seulement un truc fiable (pas de plug-ins, pas de mise à jour tous les quatres matins), ultra léger, facile à sauvegarder et à remettre en place, et cerise sur le gâteau, bien plus rapide que n'importe quel WP avec cache.
      Faut juste trouver quelqu'un qui sait faire, ça se trouve assez facilement, il existe encore des "artisans" du web, qui font tout à la main au lieu de surconsommer. Je le sais car c'est mon coeur de métier de faire des trucs cousus-main pour mes clients.
      Soit tu connais quelqu'un qui sait faire, soit tu demandes de l'aide (ici ou ailleurs), suivant l'objet de l'asso en question, il y aura bien des artisans pour donner quelques minutes de leur temps.

      • [^] # Re: Oulà

        Posté par  . Évalué à 4.

        Un bête fichier HTML suffit, un simple script PHP pour enregistrer les données saisies (et éventuellement envoyer un mail), et tu auras […] un truc fiable

        … qui va être dynamique (responsive), qui supporte bien l'Unicode et les modes de saisie non occidentaux, les balises ARIA, encode bien le mail, filtre les bots, assainit les entrées… Quelques minutes ?

        Ça ne semble pas être un très bon conseil ;).

        • [^] # Re: Oulà

          Posté par  (site web personnel) . Évalué à 1.

          Quelques minutes ?

          Oui.

        • [^] # Re: Oulà

          Posté par  . Évalué à 2.

          assainit les entrées

          Quête sans fin.

          Depuis longtemps, on sépare l'entrée utilisateur du reste. C'est bien plus simple.

          "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

          • [^] # Re: Oulà

            Posté par  . Évalué à 1.

            Oui, mais l'un n'empêche pas l'autre. Assainir, ce n'est pas seulement enlever les injections malicieuses, mais aussi vérifier les formats (genre un mail n'est pas un code postal). Peut-être que je me trompe de mot :-/.

      • [^] # Re: Oulà

        Posté par  . Évalué à 1.

        Je comprends vraiment ta philosophie et je suis à peu près convaincu de son bien-fondé, mais les "artisans" du web, je n'en connais pas vraiment et je ne saurais pas faire. De l'HTML/CSS avec un truc joli, à la limite, mais dès que ça touche à PHP et une interface type "blog" pour que les membres puissent ajouter eux-mêmes (de temps en temps) des nouveautés, je vais me perdre…

        • [^] # Re: Oulà

          Posté par  (site web personnel, Mastodon) . Évalué à 2.

          et une interface type "blog" pour que les membres puissent ajouter eux-mêmes (de temps en temps) des nouveautés

          Ce n'était pas dans le cahier des charges initial que les membres doivent pouvoir ajouter eux-même des pages (d'une part tu as dit avoir besoin d'un page de présentation et peut-être d'une page de contact, d'où la proposition d'un site statique et non une usine à gaz ; d'autre part tu as indiqué qu'il n'y a pas de gestion des membres…)

          De l'HTML/CSS avec un truc joli, à la limite, mais dès que ça touche à PHP et une interface

          Bah il faut bien connaître PHP pour pouvoir s'en sortir avec les plugins qui poseront problème. Pour WordPress c'est nécessaire aussi pour les thèmes (l'habillage).
          Par contre, si tu sais faire un peu de HTML et CSS, le langage de templating de SPIP déjà évoqué te permet de créer rapidement ton thème ou d'adapter un existant. Bonus, son système de cache est efficace et te donnera un site comme static, et si peu d'usagers et de modifications concurrentes de contenus, tu peux utiliser SQLite.

          “It is seldom that liberty of any kind is lost all at once.” ― David Hume

          • [^] # Re: Oulà

            Posté par  . Évalué à 2. Dernière modification le 13 novembre 2021 à 12:42.

            Ce n'était pas dans le cahier des charges initial que les membres doivent pouvoir ajouter eux-même des pages (d'une part tu as dit avoir besoin d'un page de présentation et peut-être d'une page de contact, d'où la proposition d'un site statique et non une usine à gaz ; d'autre part tu as indiqué qu'il n'y a pas de gestion des membres…)

            Pour ma défense, je n'ai pas demandé d'alternative à WP, mais bien des bonnes pratiques à user. :D
            Mais effectivement, je n'étais pas assez clair, je présente mes excuses.

            Par contre, si tu sais faire un peu de HTML et CSS, le langage de templating de SPIP déjà évoqué te permet de créer rapidement ton thème ou d'adapter un existant. Bonus, son système de cache est efficace et te donnera un site comme static, et si peu d'usagers et de modifications concurrentes de contenus, tu peux utiliser SQLite.

            SPIP a l'air vraiment intéressant…j'aime beaucoup son côté épuré et efficace. Je me suis trop avancé sur le projet actuel pour en présenter un autre, cependant.

    • [^] # Re: Oulà

      Posté par  . Évalué à 2. Dernière modification le 11 novembre 2021 à 09:20.

      Prendre un autre logiciel en main ne m'embête pas trop, mais l'interface de WP a été testée et plaît aux nombreux utilisateurs de l'association ; la possibilité d'évolution facile est aussi à prendre en considération.

      Mais merci du conseil, je me rends bien compte que c'est peut-être un peu "trop" ; néanmoins, tu imagines bien que je ne suis pas grand décideur. Je veux bien essayer de peser dans la balance, mais je ne me leurre pas trop, je reste tout à fait amateur dans le domaine pour répondre aux interrogations de tout le monde.

      Je penserai à la sauvegarde/restauration ; je vais voir comment m'y prendre.

      Je ne pensais pas que WP avait si mauvaise…press.^

      • [^] # Re: Oulà

        Posté par  (site web personnel, Mastodon) . Évalué à 4.

        Je ne pensais pas que WP avait si mauvaise…press.

        C'est objectivement une passoire ce truc. Je vais cependant essayer de détailler un peu avec les premiers liens sur lesquels je tombe appuyant ma pensée.


        CMS critic, comparant Wordpress/Drupal/Joomla en 2017 concluait

        According to CVE data, if you compare market share to incident rate, Drupal comes out with the least number of incidents to market-share ratio and since 2005, Joomla has had the most amount of found vulnerabilities, with 327.
        […]
        Overall, Drupal offers the system with the most focus on security and the dedicated team of volunteers have done well to keep vulnerabilities statistics low in recent times. Whereas, Joomla offers the least amount of security based on statistics and the least amount of people working for their in-house security team. With the popularity that comes with WordPress it’s almost impossible to create a wholly secure environment, but with careful planning and cautious use of plug-ins it’s possible to increase security to a suitable level.

        Concernant justement les extensions, qui sont quasiment nécessaire (je doute que tu arrives à avoir quelque chose sans devoir en installer)

        The major security vulnerability with WordPress, and most CMS, is the entry points created using third party plug-ins and extensions, which make up 56% of known vulnerabilities in WP. Overall, the security is at the level it needs to be to protect such a vast number of sites, and security suggestions are updated frequently by the maintenance team to guide users on the best security practices.

        D'après Get Astra en fin décembre 2020, le classement n'a pas vraiment changé mais on attire l'attention sur les XSS

        46% of the vulnerabilities found in Drupal were cross site scripting – XSS. XSS is a code injection attack wherein an attacker injects malicious scripts into websites to gain unauthorized access. Cross site scripting has also been a major vulnerability in WordPress with roughly 39% vulnerabilities caused due to XSS. Joomla’s 15% vulnerabilities were XSS too.

        Attention qu'une lecture rapide (juste les pourcentages) peut laisser croire que WP est mieux que les autres, mais il faut ramener aux parts de marché (et on se rend compte que WP est la principal source des sites non sécures…)

        nom cms % marché
        WordPress 59.7
        Joomla 06.7
        Drupal 04.7
        Magento 02.3

        Mieux, malgré les améliorations de version en version, 70% des sites WP sont vulnérables à une attaque

        type CVE % 2014-2019
        XSS 35.5
        code execution 14.3
        bypass something 11.8
        gain information 11.8
        SQLi 08.4

        Mais comme tu as posé la question, Get Astra a listé toute les bonnes pratiques à adopter avec WordPress auxquelles je rajouterai de ne pas installer de plugin…

        “It is seldom that liberty of any kind is lost all at once.” ― David Hume

        • [^] # Re: Oulà

          Posté par  . Évalué à 1.

          Salut,

          Merci beaucoup ! 

          Bon, ça déborde complètement mes compétences de compréhension, mais je ne peux pas dire que je ne suis pas alerté désormais. Comme je le disais plus haut, je me suis trop avancé pour faire marche arrière alors je vais appliquer les bonnes recettes, je vais faire au mieux .

          Merci beaucoup pour tout ça, hein ! :)

  • # Un web propre (mais pas poli)

    Posté par  (site web personnel) . Évalué à 3.

    https://motherfuckingwebsite.com/

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.