Lorsque l’on est dans une démarche d’optimisation de son site ou de son blog dans le but d’améliorer son référencement, son trafic ou l’expérience utilisateur, il y a un paramètre à ne pas négliger : les performances du site internet.

Le temps d’accès d’un site a un impact sur plusieurs aspects : pour les internautes tout d’abord afin de leur assurer le meilleur confort possible pour visiter votre site mais aussi pour les moteurs de recherches et plus particulièrement leurs robots qui prennent en compte la qualité de l’hébergement pour votre référencement en n’hésitant pas à dévaloriser votre site si celui-ci est difficilement accessible.

Camille Roux qui nous avait déjà proposé une conférence filmée sur l’art de référencer son site web revient aujourd’hui avec une nouvelle vidéo sur les performances d’un site Internet qu’il coprésente avec Nicolas Chevallier d’Allogarage.fr. Comme la première conférence, celle-ci a eu lieu dans le cadre des Intellicore Tech Talks.

Voici les différents éléments qu’il aborde :

1. Introduction
   1. Pourquoi optimiser un site web?
   2. Sur quels paramètres agir?
2. Optimisation de chaque page
   1. Diminuer le nombre de requêtes
      1. Regrouper les scripts Javascript et les feuilles de style CSS
      2. Réduire le nombre d’images
         1. Images réactives (image map)
         2. Images intégrées (data:)
         3. Sprites CSS
   2. Réduire la taille des composants
      1. Compresser (Accept-Encoding, Content-Encoding)
      2. Compactage du JS et CSS
      3. Obfusction
      4. Comparatif
   3. Placer les feuilles de style en début de page
      1. Rendu d’une page
      2. Phénomène de page blanche
      3. <link> vs @import
      4. Désavantage de @import
   4. Déplacer les scripts en bas de page
      1. Comparaison JS au début/JS à la fin
      2. Pourquoi ce phénomène?
   5. Rappel
3. Optimisation de la navigation
   1. Pas de mise en cache
   2. GET conditionnel
   3. Entêtes d’expiration
4. Optimisations complémentaires
   1. Sprites CSS
   2. Pré-chargement des composants
   3. AJAX (XML vs JSON, GET vs POST, Mettre en cache)
5. En savoir plus
   1. Outils
      1. YSlow (plugin Firebug)
      2. AOL PageTest
   2. Sites web
6. Conclusion/Questions

Voici la vidéo ( 50min ) :

Ne négligez pas les risques !

Comme je le disais, dans la plupart des cas vous ne serez jamais confronté à de tels problèmes et je vous le souhaite… Malheureusement ce côté improbable ne motive pas forcément pour prendre le temps d’étudier le problème. Croyez moi il le faut pourtant ! Je suis bien placé pour en parler suite au piratage de Monetiweb début juin. La totalité des fichiers du blog ont été supprimés en une nuit : les fichiers WordPress, les images, les plugins, etc. Plus rien. Quand on est pris par le temps et qu’on souhaite avant tout apporter à ces utilisateurs du contenu original, travailler son référencement, développer la communauté du blog, on peut facilement oublier ou du moins reporter les enjeux de sécurité d’un blog. Ca a été mon cas, je le reconnais. Le problème n’était pas que je n’en avais pas conscience ou que je ne savais pas comment faire. Le vrai problème est que je n’ai pas pris le temps de faire en sorte que cela n’arrive pas ou que si cela arrive, les dégâts restent limités. Le résultat fut sans appel : Monetiweb a perdu 85% de ces images (je travaille encore à les recréer mais cela prendra beaucoup de temps) ! Tout ça donc pour vous dire qu’il est primordiale de ne pas négliger ces aspects : cela n’arrive pas qu’aux autres !

Sauvegardez votre bien le plus précieux : vos contenus

La première des choses à faire est de sauvegarder régulièrement ses contenus : les articles, les commentaires, les messages d’un éventuel forum, les pages partenaires, etc…C’est la richesse de votre blog, ce qui crée du trafic, une communauté et le principal élément à mettre en avant lors d’une stratégie de monétisation. Tous ces contenus sont présents dans la base de données du blog. Plusieurs solutions existent pour sauvegarder la base de données : de la plus manuelle (faire un export régulier de la base de données du blog via PHPMyAdmin) à la plus automatique (utiliser un plugin WordPress vous envoyant par mail automatiquement cette sauvegarde de la base de données comme WordPress Database Backup). Certains hébergeurs assurent des back up total de vos espaces et inclut donc la base de données dedans mais cette solution est loin d’être la plus facile à utiliser en cas de soucis.

Sauvegardez les fichiers de votre blog

Comme je vous le disais, voilà un conseil que j’aurais dû appliquer pour éviter de perdre toutes les images de Monetiweb. En effet rien n’est prévu par défaut dans WordPress pour sauvegarder vos fichiers. Si votre hébergeur ne vous propose pas de sauvegarde automatique, c’est donc à vous de vous en occuper. Pour l’anecdote, Google ne garde pas en cache les images (contrairement aux textes), il est donc impossible de récupérer des images une fois qu’elles ont été supprimées. Pour sauvegarder ces fichiers, vous pouvez demander à votre hébergeur de mettre en place des solutions de sauvegarde (moyennant finance en général) sinon vous pouvez utiliser simplement un client FTP pour récupérer l’ensemble de vos fichiers. Si vous êtes sur un serveur virtuel privé ou sur un serveur dédié, vous pouvez facilement programmer des sauvegardes automatiques CRON qui se chargeront de faire une archive ZIP contenant tous vos fichiers. Charge à vous d’aller récupérer régulièrement ces archives ou d’automatiser leur envoi sur un autre FTP. Enfin, sachez qu’il existe même un plugin WordPress permettant de faire des sauvegardes de fichiers en même temps que la base de données : BackUpWordPress.

Mettez à jour votre solution de blog

Les solutions de blogs continuent d’évoluer au fil du temps. Les mises à jour majeures sont essentiellement l’occasion d’apporter de nouvelles fonctionnalités mais les mises à jour mineures sont souvent provoquées par la découverte d’une faille de sécurité dans la version actuelle. Il est donc très important de porter une grande attention à ces mises à jour car dès qu’une faille de sécurité est identifiée, de nombreux pirates vont chercher à trouver quel blog est encore sous la version touchée afin d’utiliser la faille de sécurité pour sévir. Surveillez donc les mises à jour de votre plateforme de blog et prenez le temps de faire les mises à jour rapidement en cas de faille de sécurité corrigée. Le conseil qui en découle est de masquer la version de votre blog à vos visiteurs. Pour cela veillez à ne pas l’afficher dans votre footer par exemple ni dans les balise <head> du blog en supprimant « bloginfo(‘version’) » pour WordPress par exemple ou en utilisant le plugin Replace WP-Version. C’est contraire aux demandes de WordPress mais supprime des risques potentiels… à vous de choisir.

Mettez à jour votre serveur dédié

Dans le cas où vous hébergez votre blog sur une solution de type mutualisée (c’est-à-dire que vous ne disposez chez votre hébergeur que d’une fraction d’un serveur), vous n’avez pas à vous soucier des mises à jour de la machine, c’est votre hébergeur qui en est responsable. En revanche si vous êtes sur un serveur dédié, c’est à vous de veiller à ce que la machine dispose des dernières mises à jour de sécurité sur l’ensemble de ces services. En fonction de la distribution de votre machine, renseignez-vous sur les commandes à exécuter pour lancer les mises à jour et n’oubliez pas de la faire régulièrement (vous pouvez les automatiser via un script avec un peu de pratique)

Sécurisez vos accès à l’admin grâce à du SSL

Par défaut sur WordPress, vous accédez à l’interface d’administration en HTTP ce qui signifie que si quelqu’un de mal attentionné est présent sur votre réseau ou sur le wifi du café dans lequel vous bloguez, il peut être en mesure d’écouter ce que vous faites et de récupérer votre mot de passe par exemple. Pour remédier à cela, vous pouvez installer le plugin Force SSL qui va vous connecter en HTTPS (avec le petit cadenas affiché dans votre navigateur) et ainsi sécuriser vos échanges. Cela nécessite en revanche de disposer déjà d’un certificat SSL parfois fourni avec votre hébergement.

Empêchez l’accès à certains dossiers

Dans l’arborescence des fichiers de votre blog, il existe un ensemble de dossiers dont le contenu ne doit pas être accessible depuis Internet (le dossier contenant vos plugins par exemple). Dans tous ces dossiers il est donc important de placer simplement un fichier « index.html » vide (créez un nouveau document avec le bloc note, laissez son contenu vide et enregistrez le sous le nom « index.html »). Cela permettra d’afficher une page blanche plutôt que le contenu du dossier. Si vous êtes sous WordPress, les dossiers sont /wp-content/ et tous ses sous-dossiers.

Ne conservez pas le compte Admin

Par défaut à l’installation d’un blog, un utilisateur Admin est souvent créé par défaut avec un mot de passe (plutôt court) donné automatiquement. Ce compte peut représenter un risque car un pirate pourrait essayer de trouver le mot de passe par brute-force par exemple (essais successifs de tous les mots de passe possibles). Créez-vous donc un compte avec les privilèges d’administrateur et supprimez le compte Admin. Vous pouvez également ajouter un niveau supplémentaire d‘authentification en installant le plugin AskApache Password Protect qui va ajouter une demande de mot de passe supplémentaire.

Auditez la sécurité de votre blog

L’un des derniers conseils que je peux vous donner est de faire un audit en sécurité de votre blog via des services web externes comme WP Scanner pour WordPress ou via un plugin comme WP Security Scan. Ces solutions vont analyser la structure de votre blog, identifier d’éventuelles failles de sécurité sur votre base de données, sur les droits des fichiers ou sur vos password et vous indiquer les méthodes à mettre en œuvre pour résoudre les problèmes.

Avez-vous d’autres conseils à nous donner ?