Accueil » Sécurité Informatique » Quel thème choisir pour son site, comment l’optimiser et le sécuriser ?

Vous êtes plusieurs à me demander quel thème utiliser pour votre nouveau site web. J’utilise personnellement un thème qui est régulièrement personnalisé en fonction de l’évolution du web et des demandes des visiteurs. La plateforme WordPress permet cette personnalisation et fournit la structure initiale du site. WordPress est très populaire, c’est plutôt un défaut en sécurité informatique car ce qui est populaire attire forcément les pirates informatiques d’où la nécessité de bien faire attention à l’aspect sécurité.

L’article s’adapte très facilement à d’autres systèmes de gestion de contenu. Ainsi, si vous souhaitez créer un site web ou modifier votre site actuel, cet article pourrait vous intéresser car nous allons voir comment lier optimisation, sécurité et ergonomie pour votre thème. Let’s Go!

 

Quel thème choisir ?

Vous avez installé WordPress, tout semble fonctionner correctement, à cela près que vous vous retrouvez avec le thème WordPress par défaut. Celui-ci change chaque année et porte le même nom que l’année courante (en anglais), par exemple « Twenty Seventeen » pour l’année 2017. Ce thème convient très bien aux personnes qui ne souhaitent pas se lancer dans des travaux sur leur site et qui souhaitent donc garder le thème par défaut que des millions d’autres personnes utilisent.

Cela dit. Vous avez décidé de changer de thème, pour qu’il soit plus adapté au contenu de votre site. Et par adaptation on entend beaucoup de choses :

  • Un thème optimisé pour le référencement
  • Un thème sécurisé
  • Un thème dont l’ergonomie et l’apparence correspondent au sujet de votre site
  • Un thème qui permet une grande personnalisation
  • Un thème léger et rapide
  • Un thème gratuit (ou pas cher)
  • Un thème avec un support technique/client
  • Un thème qui regroupe la plupart ou toutes les fonctionnalités citées
  • etc…

Comme bien souvent, vos buts orienteront donc vos choix avant tout. Cela dit, je vais vous proposer des conseils judicieux par rapport aux choix à faire.

 

Le référencement

Commençons par le référencement, et prenons les grands points dans l’ordre. Lorsqu’on gère un site web, on souhaite la plupart du temps obtenir des visiteurs, c’est logique. Seulement pour obtenir ces visiteurs, il existe plusieurs façons dont voici les principales :

  • Créer un site avec du contenu unique et de qualité (cela permet de sortir du lot par la qualité)
  • Créer un site avec du contenu différent/inhabituel (cela permet de sortir du lot par l’originalité)
  • Créer un site optimisé pour les moteurs de recherche (cela permet aux moteurs de recherche de trouver et d’indexer plus facilement le site)
  • Créer un site avec beaucoup de contenu (cela permet d’attirer une clientèle différente et donc d’élargir la base de clients ou le nombre de visiteurs)
  • Faire de la publicité de façon générale (publicité payée, articles sponsorisés…etc).

Ces points dans leur ensemble font partie de ce que l’on appelle le référencement web. Il y a donc des moyens entièrement techniques et d’autres entièrement marketing.

Le rôle de Google, Bing et des autres moteurs de recherche est de proposer les sites les plus pertinents selon ce que les internautes recherchent. Il faut donc « plaire » à ces moteurs de recherche en gardant en tête que ces derniers cherchent avant tout à plaire aux internautes en leur proposant du contenu précis et de qualité.

Si cela vous intéresse, je vous recommande de vous renseigner sur ce que l’on appelle « SEO » pour Search Engine Optimization en anglais. Vous obtiendrez beaucoup de ressources à ce sujet qui en parlent bien mieux que moi, et vous apprendrez en détails les points cités ici.

 

Un thème sécurisé

C’est le point sur lequel je vais le plus appuyer. Le fait de télécharger le premier thème trouvé sur Internet sous prétexte qu’il est beau et gratuit est une erreur que beaucoup d’internautes font. Cela ne signifie pas qu’un thème payant est un bon choix, loin de là, mais cela signifie qu’il faut faire attention au(x) développeur(s) de ce thème et ne pas utiliser un thème trop vite.

Concrètement :

  • Y a-t-il un support technique ?
  • Le thème est-il tenu à jour avec une liste des mises à jour (changelog) ?
  • Par qui précisément le thème est-il développé ?
  • Est-ce que plusieurs thèmes sont issus du même développeur ?
  • Y a-t-il déjà eu des problèmes de sécurité avec un thème de ce développeur ?

Le deux premiers points sont liés, un thème non mis à jour n’ayant pas ou peu de support technique risque vite de devenir vulnérable à diverses failles web. C’est comme si vous installiez une version de Windows sans mises à jour de sécurité…ce n’est pas une bonne idée.

Les deux points suivants concernent le créateur du thème. Il est plus rassurant de savoir qu’un thème est développé par une personne ou entité de confiance, qui est reconnue pour ces thèmes. C’est une (petite) assurance quant à la qualité de celui-ci comparé à un développeur qui crée un thème et disparaît ensuite dans la nature.

Le dernier point concerne très précisément les soucis éventuels de sécurité par le passé. Il y a deux façons de voir les choses si un problème a déjà été repérée : soit il a été repéré et corrigé, c’est une bonne chose (thème mis à jour, support présent…etc). Soit il contenait déjà des failles de sécurité, et en contient donc potentiellement (beaucoup ?) d’autres…Je vous laisse juger en tenant compte des autres points.

 

Techniquement parlant

On entre dans la partie technique qui intéressera plutôt les développeurs et les intéressés par la sécurité web. Je vous conseille vivement, si vous avez un site web peu importe le sujet traité, de prendre connaissance du référentiel de sécurité Top 10 OWASP. Je parle de ce référentiel dans le guide sur la création de site web et dans le cours Cyberini, mais je vais donner les points les plus importants de ce Top 10.

Les failles les plus communes touchent aux bases de données et à l’injection de données arbitraire dans un site. Dans le jargon de la sécurité informatique, on parle d’injection SQL et de failles XSS. Ces deux failles viennent d’un problème assez similaire : on doit transférer des données depuis un endroit (formulaire, programme, script…etc) vers un autre (base de données surtout).

Par exemple :

  • On transmet des commandes SQL depuis un langage web comme PHP
  • On transmet des informations de l’utilisateur (un pseudo par exemple) via un formulaire HTML

Dans les deux cas, une altération de cette transmission, ou une transmission volontairement malveillante peut altérer à son tour le fonctionnement du site. Et peut causer de gros dégâts : vol d’informations, suppression de données, détournement de site…etc.

L’un des grands rôles d’un développeur est donc de s’assurer que les transmissions de données soient filtrées. Il existe pour cela diverses techniques souvent simples à mettre en place un utilisant des fonctions d’échappement de caractères spéciaux. Je vous renvoie vers les articles suivants si cela vous intéresse :

Je le répète, les failles web n’existent pas qu’au niveau de ces deux transmissions de données, il y a encore d’autres façons de se faire pirater, je vous renvoie vers le Top 10 OWASP pour les découvrir. En vous mettant en garde, là encore, sur le fait que le Top 10 reste un TOP et qu’il existe encore d’autres soucis de sécurité potentiels. Si vous voulez les découvrir de façon la plus sûre possible, vous pouvez faire appel à un professionnel en sécurité qui se placera dans la peau dans pirate pour essayer de trouver les failles de sécurité sur votre site avant qu’une autre personne ne les découvre…

Le cas dangereux des extensions (plug-in)

Il est difficile de parler de sécurité WordPress sans mentionner les extensions. En une phrase, les extensions sont développées par d’autres personnes et permettent d’ajouter des fonctionnalités à un site (créer des newsletters, ajouter un quiz, personnaliser son site…etc). Le répertoire officiel des extensions WordPress est très bien fourni, mais n’importe qui peut créer et partager des extensions.

Une extension est une série de fichiers que vous placez sur votre serveur web et que vous activez à travers votre panneau de configuration. Ces fichiers contiennent principalement du code source qui peut faire tout et n’importe quoi et que votre système exécutera sans aucun problème. Si ce code source est malveillant, votre site web peut être complètement détruit ou des données peuvent être dérobées.

Je vous réfère à l’article suivant pour plus d’informations : backdoor dans WordPress.

 

L’ergonomie et l’expérience utilisateur

Assez directement liée au référencement, l’expérience utilisateur est importante pour fidéliser les visiteurs. Un site rempli de publicités où l’on ne sait pas où cliquer pour accéder à un menu et où l’on ne sait pas où rechercher des informations est un site qui va vite épuiser l’internaute à jamais. Dans cette ère de l’information, tout va et doit aller très vite, les internautes veulent trouver l’information qu’il cherchent le plus rapidement possible et ne prennent donc pas la peine de fouiller de fond en comble un site. Il faut simplement marche arrière et visitent un autre site.

L’ergonomie concerne également les appareils mobiles. Google indique que dorénavant il y a plus de recherches issues d’un appareil mobile que d’un PC fixe. Cela signifie que si votre site s’affiche mal sur mobile, il y a des chances que vous perdiez la moitié de vos visiteurs, sinon plus.

 

La personnalisation pour sortir du lot

WordPress, ses thèmes et ses plugins vous permettent de créer un site rapidement sans même toucher à une ligne de code. Seulement cette automatisation ne permet pas toujours de créer un site sur mesure…Et cela pose problème lorsqu’on souhaite par exemple placer un élément sur la droite du site mais que celui-ci ne peut qu’être placé à gauche…

 

Un peu plus vite s’il vous plaît !

On l’a vu, les internautes veulent de l’information immédiatement et ne prennent pas le temps de fouiller tout un site pour trouver du contenu intéressant. Mais avant même de commencer à fouiller, il faut déjà que le site se lance…

 

Combien ça coûte ?

Toutes ces fonctionnalités sont bien pratiques mais prennent du temps à être développées. Et qui dit temps passé à développer dit souvent rémunération demandée. Il existe plusieurs thèmes et plugins gratuits comme ceux de l’équipe Woocommerce car l’aspect payant est transféré sur deux points :

  • Le contenu additionnel (vous recevez gratuitement le thème ou les plugins de base, mais vous payez pour toutes les extensions de ceux-ci)
  • Le support (voir point suivant)

 

Et en cas de problème ?

Nous arrivons à notre dernier point, le support technique. Le fait de pouvoir s’adresser à un développeur pour demander de l’aide ou signaler un problème est un grand plus. Seulement cela va presque systématiquement de paire avec un thème payant. Souvent, c’est même le support que vous payez uniquement tandis que les fichiers du thème en eux-mêmes sont livrés gratuitement.

 

Exemple de thème et vérifications manuelles

N’utilisant pas le thème que je vais citer, je ne saurais vous assurer à 100% qu’il est adapté au sens de cet article. Le choix du thème est également un choix subjectif qui vous appartient après tout.

Cela dit, l’une des plus grandes bases de données de thèmes est Themeforest disponible à l’adresse suivante (en anglais) :

https://themeforest.net/

Vous y trouverez une multitude de thèmes classés par catégories. Je me suis naturellement rendu dans la catégorie WordPress puis j’ai trié les thèmes par nombre de ventes. Nous allons étudier le thème le plus vendu, « Avada », et essayer d’expliquer pourquoi il a été vendu à plus de 300 000 exemplaires :

https://themeforest.net/item/avada-responsive-multipurpose-theme/2833226?s_rank=1

Un aperçu est disponible via le bouton « Live Preview » mais l’on va surtout nous intéresser aux fonctionnalités décrites dans cet article et les comparer avec ce qu’Avada nous propose.

 

Du côté référencement d’abord, le thème semble avoir été construit sur de bonnes bases, sans plus :

On nous dit simplement que la syntaxe HTML et CSS est valide, puis on nous recommande d’utiliser le fameux plugin WordPress Yoast SEO pour optimiser le référencement. Rien ne nous empêche de vérifier que la syntaxe est bien valide avec le site validator.w3.org :

https://validator.w3.org/nu/?doc=http%3A%2F%2Fdemo.theme-fusion.com%2F

Les quelques erreurs qui apparaissent ne nous rassurent pas vraiment même si elles ne jouent que très peu sur le référencement enfin de compte, et que beaucoup de sites ont des erreurs.

 

Du côté sécurité, on peut se rendre dans le fichier changelog pour obtenir l’historique des mises à jour et y voir des lignes comme les suivantes :

We are always proactive in preventing security issues, however nobody can assume they will never come up.
This is why we highly recommend to stay up to date with each new theme version and plugins.
- FIXED: Security fix to prevent additional calls to permalink structure (XSS) 
- FIXED: Security fix that adds AJAX request verification for Fusion Builder content importer
[...]

Les développeurs semblent conscients des problèmes de sécurité. À noter également qu’environ 10 problèmes de sécurité ont été corrigés en 2 ans et que l’on peut donc s’attendre à d’autres corrections dans le futur.

 

Concernant l’ergonomie et l’apparence, je vous laisse juger en visitant vous-même la démonstration. Le thème semble être adapté pour appareils mobiles, même si les nombreuses animations peuvent ralentir la navigation sur des périphériques peu puissants

 

Nous arrivons à l’aspect personnalisation. C’est peut-être ici qu’Avada marque le plus de points car il semble effectivement offrir énormément de possibilités de personnalisation :

Il y a tellement de possibilités que je trouve personnellement qu’on s’y perd un peu ! On sent aussi que tous ces paramètres deviennent lourds et inutiles une fois que le design a été finalisé…

 

Concernant l’aspect vitesse, Avada nous promet un excellent score pagespeed de 100% prouvant une vitesse et une optimisation parfaites du site :

Nous pouvons le vérifier nous-mêmes en nous rendant sur le site Pagespeed Insight de Google :

https://developers.google.com/speed/pagespeed/insights/?url=https%3A%2F%2Favada.theme-fusion.com%2Fveterinarian%2F

Oups, visiblement Google ne dit pas la même chose de mon côté…Il est très difficile et je dirais même impossible d’obtenir un score de 100% avec un thème si complet. Disons donc qu’il s’agit d’un argument marketing visant à nous faire comprendre que le site est rapide… Il reste à le croire ou non 🙂

 

Niveau prix, on est à 60 dollars. Le support pendant 6 mois ainsi que les mises à jour futures justifient ce prix.

 

En conclusion, Avada semble remplir les principaux critères permettant d’en faire un thème à succès. On notera notamment l’aspect personnalisation et création rapide (sans connaissances préalables) qui est probablement le motif d’achat principal. Si ce point est le plus important pour vous, il vous satisfera donc. De mon côté, je ne le choisirais probablement pas car je préfère personnaliser le thème « à la main » en changeant le code moi-même et en gardant un maximum de contrôle sur celui-ci.

Ce thème n’est qu’un exemple servant de référence, je vous encourage bien entendu à faire des recherches de votre côté en gardant les points cités dans cet article afin de trouver le thème qui vous plaît et qui vous assure stabilité, performance et sécurité.

La conclusion reflète donc l’introduction de cet article, il ne faut pas se ruer vers le premier thème sous prétexte qu’il est beau, rapide ou populaire, mais observer plus en détails les vrais critères de qualité d’un thème. Quitte à utiliser des outils pour les vérifier.

Je vous propose également la lecture des articles suivants :

3 Commentaires

  1. Jevousfaitconfiance a écrit:

    Pour Bitdefender trafic light votre site fait une tentative de fraude :p

    • Bonjour, et merci de l’avoir signalé. C’est une extension peu recommandable qui se contente, comme d’autres, de lire le mot « hacker » et de placer le site dans sa liste noire… 🙂 Mauvaise pub pour eux, je l’ai signalé à Bitdefender et j’attends leur réponse.

  2. Bonjour,
    Il faut surtout maintenir à jour son thème, son site, je vois trop souvent des sites avec de vieilles versions de WordPress, ou des plugins obsolètes, pareil pour les thèmes.
    Bien installer le thème, ne pas le laisser dans un sous-dossier, on doit pourvoir lire
    …/wp-content/themes/alpha/style.css
    et non …/wp-content/themes/alpha/alpha/style.css
    quand on tape l’url vers style.css, on doit pourvoir lire la version du thème, comme dans la démo, par exemple le thème Alpha chez ThemeForest, on voit bien que la démo à la Version 1.3.0: du 1 août 2017
    http://13mkui1abjdq4faknquoneh9.wpengine.netdna-cdn.com/wp-content/themes/alpha/style.css?ver=4.8
    Puis surtout ne pas toucher au thème, si on veut le personnaliser alors créer un thème enfant.
    Bravo pour votre article, pour le rappel de principes de bases.

Laisser un commentaire

Lire plus :
URGENT : Phishing Free Mobile, ne vous faites pas avoir !

Je publie ce post relativement dans l'urgence car je viens de faire face à une tentative de phishing free mobile...

Fermer