Débuter sur WordPress : 10 erreurs techniques à ne pas commettre

Lorsque l'on se lance dans la création d'un site WordPress, il est facile de tomber dans certains pièges techniques, surtout si l'on est débutant. Si WordPress est un outil puissant et flexible, il n'en reste pas moins qu'il nécessite quelques bonnes pratiques pour éviter de se retrouver avec un site lent, vulnérable aux attaques ou difficile à gérer. Dans cet article, nous allons passer en revue les 10 erreurs les plus fréquentes que les débutants font sur WordPress, et comment les éviter pour garantir que votre site reste performant et sécurisé. Que vous soyez en pleine création de votre premier site ou que vous cherchiez à améliorer un site existant, ces conseils vous permettront d'éviter les pièges les plus courants.

1. Ne pas changer l’URL de connexion par défaut (wp-admin)

Laisser l’URL de connexion par défaut (wp-admin ou wp-login) est une des erreurs techniques les plus courantes. Les hackers, lorsqu’ils attaquent un site, commencent par vérifier si ces URLs standards sont accessibles, ce qui rend votre site vulnérable à des attaques par force brute.

La solution ?

Il est essentiel de changer cette URL en la remplaçant par une chaîne de caractères aléatoire, avec des lettres et des chiffres. Cela peut se faire de deux manières : soit en ajoutant une fonction personnalisée dans le thème, soit en utilisant un plugin tel que WPS HideLogin.

Evidemment, ce n’est pas ma vraie adresse de connexion, bande de filous ! 🙂

Cette nouvelle URL doit être soigneusement mémorisée, sauvegardée dans la barre de favoris ou partagée de manière sécurisée, car elle sera la seule porte d’accès au tableau de bord WordPress. Bien que d’autres portes d’accès au site puissent exister, cette mesure limite considérablement l’accès direct au back-office, ce qui réduit les risques d’attaques.

2. Utiliser le préfixe de base de données par défaut (wp_)

L’une des premières erreurs que beaucoup de particuliers commettent est de laisser le préfixe de base de données par défaut (wp_) lors de l’installation de WordPress. Ce préfixe est bien connu des hackers et peut les aider à cibler plus facilement le site pour des attaques SQL. La solution la plus simple consiste à personnaliser ce préfixe dès l’installation, au moment où WordPress vous demande de configurer la connexion à la base de données. En choisissant un préfixe unique et personnalisé, comme d38z6d4_, vous rendez le site plus difficile à attaquer.

Si toutefois cette étape a été négligée lors de l’installation, il est possible de la rectifier après coup, bien que cela demande quelques manipulations techniques. Un moyen efficace est d’utiliser un plugin dédié, comme, qui permet de modifier le préfixe sans avoir à toucher manuellement à la base de données. Cela réduit les risques d’erreurs humaines et améliore la sécurité de manière significative.

3. Négliger la gestion des utilisateurs et des rôles

Il est fréquent que les particuliers attribuent le rôle d’administrateur à trop de personnes sur leur site WordPress. Souvent, le propriétaire du site, souhaitant avoir un contrôle total, se met en administrateur et donne ce même rôle à d’autres utilisateurs, tels que des salariés ou des membres d’une association, sans se rendre compte des implications de sécurité. Chaque compte administrateur représente une potentielle faille, car il permet un accès complet à toutes les fonctionnalités, y compris les plus sensibles, comme la gestion des plugins ou des paramètres du site.

Plugins pour éditer les rôles des utilisateurs sur WordPress
Ne nombreux plugins existent pour configurer les rôles des utilisateurs WordPress

La meilleure pratique consiste à limiter le rôle d’administrateur à la personne responsable du site (le freelance ou le webmaster), ainsi qu’au client principal. Pour les autres utilisateurs, tels que les contributeurs de contenu, il est préférable d’attribuer un rôle d’éditeur. Ce rôle leur permet de créer et de gérer des pages et des articles sans toucher aux fonctionnalités critiques du site. Il est essentiel de sensibiliser les utilisateurs aux différences entre les rôles de WordPress, pour éviter des erreurs qui pourraient compromettre la sécurité du site.

Dans certains cas plus complexes, il est possible d’utiliser un plugin de gestion des rôles, permettant de créer des rôles sur mesure avec des autorisations spécifiques. Cependant, pour un particulier, cela peut être trop compliqué. Un tableau comparatif des rôles de base de WordPress peut aider à mieux comprendre les permissions de chaque utilisateur :

RôleCapacités
AdministrateurAccès complet à toutes les fonctionnalités du site.
ÉditeurPeut créer, éditer et publier des contenus, mais ne peut pas gérer les plugins ou les thèmes.
AuteurPeut créer et publier uniquement ses propres articles.
ContributeurPeut écrire des articles, mais ne peut pas les publier sans validation d’un éditeur.
AbonnéPeut seulement lire et commenter des articles publiés.

4. Choisir un hébergement inadapté

Une erreur fréquente des débutants est de choisir un hébergement bon marché, pensant qu’il n’y aura pas de différence. Cependant, un hébergement de mauvaise qualité peut avoir des conséquences importantes : des temps de chargement trop longs, des pannes régulières, et des failles de sécurité. Cela peut nuire à l’expérience utilisateur et à votre référencement, tout en rendant le site vulnérable.

Pour éviter ces problèmes, il est important de choisir un hébergement fiable, même si cela représente un investissement légèrement plus élevé. Voici quelques hébergeurs de qualité que je recommande :

  • OVH : Un acteur français bien établi, offrant des solutions adaptées à tous les types de sites, du petit blog aux sites plus complexes.
  • Hostinger : Un hébergeur accessible qui propose des services rapides et fiables à un prix abordable, idéal pour ceux qui débutent avec WordPress.
  • O2switch : Hébergeur français avec une offre tout-en-un, reconnu pour ses performances, son support client réactif et ses services adaptés aux utilisateurs de WordPress.
Hébergeur OVH
Hébergeur Hostinger
Hébergeur 02Switch

En choisissant un bon hébergement, vous vous assurez que votre site fonctionnera de manière fluide et sera sécurisé, tout en évitant les désagréments liés à des temps d’arrêt ou des lenteurs.

5. Ne pas configurer correctement les permaliens

Une erreur fréquente que l’on rencontre chez les novices de WordPress est de laisser la structure des permaliens par défaut, avec des URLs du type « www.monsite.com/?p=123 ». Ce format n’est ni esthétique, ni optimisé pour le SEO.

Pour améliorer la lisibilité des URLs et aider les moteurs de recherche comme Google à mieux comprendre le contenu d’une page, il est recommandé d’utiliser une structure basée sur le titre du post (/%postname%/). Ce format, « www.monsite.com/nom-du-post », est plus clair et donne immédiatement des informations sur le contenu de la page, améliorant ainsi le référencement naturel. Il est également possible de personnaliser les permaliens à chaque création de page ou d’article pour affiner encore l’optimisation.

6. Ne pas installer un plugin de sécurité

Bien que WordPress soit relativement sécurisé par défaut, installer un plugin de sécurité peut offrir une protection supplémentaire. Un plugin comme WordFence peut surveiller les tentatives de connexion, bloquer les attaques par force brute, et protéger les fichiers sensibles. Cependant, il ne faut pas considérer qu’un seul plugin règle tous les problèmes de sécurité.

La sécurité d’un site repose sur plusieurs petits ajustements, comme ceux mentionnés précédemment (changement de l’URL de connexion, gestion des rôles, etc.). En complément, des plugins comme WPS HideLogin et WPS LimitLogin peuvent renforcer certains aspects spécifiques de la sécurité. Même si ce n’est pas une obligation, c’est toujours mieux d’ajouter ces couches de protection.

Différents plugins de sécurité sur WordPress
Différents plugins de sécurité sur WordPress

7. Ne pas désactiver ou supprimer les thèmes et plugins inutilisés

L’une des erreurs fréquentes est de laisser des plugins ou thèmes inutilisés actifs sur un site WordPress. Cela peut non seulement ralentir le site, car chaque extension consomme des ressources sur le serveur, mais cela représente aussi un risque de sécurité.

Les hackers peuvent exploiter les fichiers ou les tables laissées par ces plugins non utilisés, surtout s’ils ne sont plus mis à jour. Il est donc essentiel de désactiver et de supprimer tout plugin ou thème inutile pour alléger le site et réduire les vulnérabilités. Assurez-vous également que les plugins actifs sont régulièrement mis à jour par leurs auteurs, car les extensions obsolètes peuvent contenir des failles de sécurité.

8. Ne pas optimiser les images

Une erreur fréquente des débutants est de téléverser des images non optimisées sur leur site WordPress, ce qui ralentit le site et affecte l’expérience utilisateur ainsi que le SEO. Pour les photos, il est préférable d’utiliser des images au format JPEG plutôt que PNG, car elles sont moins lourdes.

Pour les logos ou illustrations, le format SVG est recommandé pour une qualité optimale sans alourdir le site. Avant de téléverser une image, il est important de la compresser avec un outil comme Compressor.io, qui permet de réduire la taille des fichiers sans perte notable de qualité. De plus, un plugin peut être installé pour convertir les images en format WebP, un format plus léger et performant, bien que non pris en charge par iOS.

9. Utilisation de thèmes et plugins piratés

L’une des erreurs graves que certains débutants font, dans le but d’économiser, est d’utiliser des thèmes ou plugins piratés. Ces versions non officielles peuvent sembler être une solution rapide pour obtenir des fonctionnalités premium, mais elles posent de sérieux risques. En effet, les thèmes et plugins piratés contiennent souvent du code malveillant ou des failles de sécurité, qui peuvent être exploitées par des hackers pour compromettre votre site. Cela peut entraîner des pertes de données, des sites défigurés, ou même l’utilisation de votre site comme relais pour des attaques.

En plus du danger pour la sécurité, ces versions piratées ne bénéficient pas des mises à jour régulières que proposent les versions légitimes. Or, les mises à jour sont essentielles pour corriger les failles de sécurité et maintenir la compatibilité avec les nouvelles versions de WordPress.

Il est toujours préférable d’investir dans des plugins et thèmes de source officielle, que ce soit directement via le répertoire officiel de WordPress ou via des plateformes fiables comme ThemeForest ou Envato. Si le coût est un obstacle, il existe souvent des alternatives gratuites ou freemium qui offrent des fonctionnalités similaires tout en garantissant la sécurité et les mises à jour régulières.

10. Penser que « ça ne m’arrivera jamais »

Ah, l’erreur classique. Beaucoup de propriétaires de sites pensent : « Pourquoi un hacker s’intéresserait à mon petit blog sur les recettes de grand-mère ? » Spoiler alert : les hackers ne se soucient pas vraiment de vos madeleines au miel ou de la taille de votre audience. Ils cherchent des portes dérobées, des failles, des sites non protégés, et malheureusement, si vous ne prenez pas la sécurité au sérieux, votre site peut devenir leur prochain terrain de jeu.

Vous pourriez un jour découvrir que votre site est devenu une plateforme pour vendre des montres contrefaites, ou être totalement hors ligne.

C’est un peu comme penser que laisser la porte de votre maison grande ouverte n’attirera pas les voleurs « parce que vous habitez dans un quartier tranquille ». En réalité, hackers et cybercriminels ne font pas de discrimination : que vous soyez un petit blog ou un géant de l’e-commerce, vous êtes une cible potentielle.

Alors, arrêtez de croire que « ça ne vous arrivera jamais » et prenez des mesures simples pour protéger votre site avant de vous retrouver à expliquer à vos visiteurs pourquoi votre page d’accueil propose soudainement des offres de viagra à prix cassé.

Un bon conseil : mieux vaut prévenir que guérir 😉

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *