Dégustez ce merveilleux petit Bouillon
Dégustez ce merveilleux petit Bouillon

WPMarmite News n°25 : Sécurité, FSE et traçage

Parmi les nombreuses idées reçues qui circulent sur WordPress, il y en a une assez tenace. Votre CMS favori serait, paraît-il, mal sécurisé.

Pour ceux qui en doutent, une étude Patchstack relative aux failles de sécurité au sein de l’écosystème WordPress devrait remettre les pendules à l’heure.

Menée sur 50 000 sites et rendue publique il y a quelques jours, cette étude rapporte notamment dans ses conclusions que 96% des failles de sécurité sur WordPress proviennent de code tiers (extensions et thèmes tiers).

Sur les 582 failles de sécurité détectées dans son analyse, disponible sous la forme d’un livre blanc, Patchstack – une plateforme de sécurité dédiée aux développeurs et aux agences web – rapporte que seulement 22 ont été trouvées au sein du Core (Noyau) de WordPress.
Ce qui accrédite plutôt la thèse que WordPress reste un CMS sécurisé (même si aucun n’est infaillible, bien entendu).

Les trous dans la passoire, vous les trouverez essentiellement au sein de plugins tiers, responsables de 82% des failles de sécurité ! Pour les plus curieux, on relève que la majorité des attaques sont liées à du cross-site scripting (injection de contenu malveillant).

Que retenir de tout ça ? On ne le répétera jamais assez, il est PRI-MOR-DIAL de sécuriser votre site. Quelques bonnes pratiques permettront de fortement limiter le risque de piratage :

  • Mettez-le à jour (Core, thème et extensions) dès que possible.
  • Sauvegardez-le régulièrement, et conservez des copies de ces sauvegardes sur des espaces de stockage tiers, si possible.
  • Utilisez une ou plusieurs extensions pour le sécuriser (iThemes Security, par exemple, est multi-tâches). A propos d’iThemes Security, Julio Potier, le développeur de SecuPress, a récemment indiqué qu’il avait découvert une faille de sécurité mineure sur cette extension. Comme quoi, vous voyez, même les spécialistes peuvent être touchés !
  • N’installez que des extensions sérieuses, si vous en trouvez une sur un site douteux ou non officiel, vous êtes en risque.

La plupart d’entre-vous doit déjà être au parfum, et c’est tant mieux. Mais ce n’est pas le cas de tout le monde. Dans l’étude 2020 menée par Sucuri, un autre spécialiste de la sécurité informatique, on apprend que 6% des professionnels interrogés ne s’occupent pas des tâches de sécurité de base sur leur site (ex : les mises à jour).

Toujours selon cette étude, 27% des personnes victimes d’un piratage ont indiqué avoir subi une perte de revenus, tout en dégradant l’image de marque de leurs clients, ce qui est tout aussi peu réjouissant. Morale de l’histoire : ne prenez surtout pas la sécurité par dessus la jambe.

Si les thèmes sont beaucoup moins concernés par des failles de sécurité que les plugins, une autre inquiétude grandit autour d’eux : l’arrivée prochaine du Full Site Editing (FSE).

Que vont devenir nos bons vieux thèmes ? Sont-ils voués à disparaître ? Le blog de WPTavern s’est penché sur la question (en anglais) et, comme souvent, c’est très intéressant et instructif.

Le Full Site Editing, justement, il en sera question dans plusieurs rubriques de ce nouveau Bouillon.

Le sujet agite la communauté WordPress depuis de longues semaines. Et vous allez voir, on n’est pas près d’arrêter d’en parler.

Pour le reste, je vous laisse découvrir cette nouvelle édition de WPMarmite Pro, qui s’annonce croustillante. Le couvert est dressé, régalez-vous 🥘.

PS : WPMarmite Pro vient de passer le seuil des 4000 abonnés, merci de votre confiance ❤️ Pour nous soutenir, rendez-vous à la fin de cette édition ⬇️

🚀 Toujours pas chez o2switch ? 🚀

Faites comme WPMarmite, choisissez o2switch. Non seulement les performances sont au rendez-vous mais le support est exceptionnel.

J’héberge mon prochain site chez o2switch

📻 Les actualités WordPress 📻

Voici les nouvelles fraîches de la communauté WordPress, régalez-vous !

  • Un premier feu vert à l’intégration du Full Site Editing sur WordPress 5.8 : Un premier feu vert a été donné à l’intégration du Full Site Editing (FSE) dans le Core (Noyau) de WordPress 5.8. Une seconde validation (ou un refus), définitive cette fois, sera donnée ce mardi 27 avril. On saura à ce moment-là si le FSE sera définitivement livré lors de la sortie de WP 5.8, prévue le 20 juillet. Cependant, notez bien que toutes ses “fonctionnalités” n’apparaîtront pas dès WP 5.8, comme indiqué dans l’article (en anglais). Vous pourrez bénéficier du reste au fur et à mesure, lors des sorties des versions suivantes de WP.
    Le FSE, c’est le sujet qui agite la communauté WordPress depuis plusieurs semaines. Pour rappel, il s’agit d’un ensemble de projets qui permettront de créer la structure entière d’une page (header et footer inclus, et plus seulement son contenu) à l’aide des blocs Gutenberg. Une vidéo de présentation de près d’1h30 est disponible dans le lien de l’actualité, pour info.
  • Des blocs pour personnaliser vos zones de widgets intégrés à l’Outil de personnalisation sur Gutenberg 10.4 : La dernière version de l’extension Gutenberg (10.4) est disponible depuis quelques jours. Elle propose notamment une nouveauté très intéressante : la possibilité d’ajouter des blocs natifs au sein des zones de widgets prévues par votre thème (ex : dans le footer), directement dans l’Outil de personnalisation. Des améliorations ont aussi été apportées au niveau du design, de l’interface utilisateur, de la performance et sur certains blocs (ex : le bloc “Navigation”).
  • WP Media, la start-up derrière WP Rocket et Imagify, rejoint group.ONE : La start-up française WP Media, et donc ses produits-phares WP Rocket, Imagify et RocketCDN, est rachetée par l’entreprise danoise group.ONE, spécialiste de l’hébergement web.
    L’équipe de WP Media a indiqué qu’à travers ce changement majeur, elle voit là “une nouvelle occasion d’aider encore plus de personnes à disposer d’un site web ultra-rapide”.
    Suite à cette acquisition, WP Media reste une marque indépendante et à part entière. Son identité, son organisation et son équipe ne changent pas. Aucun changement n’est à noter si vous utilisez l’une de leurs extensions.  
  • Deux extensions dédiées au framework Genesis ne seront plus disponibles dès le 3 mai : Les extensions Genesis Simple Edits (100 000 installations actives) et Genesis Simple FAQ (10 000 installations actives) ne seront plus disponibles au téléchargement sur le répertoire officiel à partir du 3 mai.
    StudioPress, l’entreprise derrière le framework Genesis, a justifié son choix en précisant : “Comme Genesis, et l’écosystème qui l’entoure, a évolué, certains de ces plugins ne sont plus des parties nécessaires de l’expérience Genesis. Par exemple, nous avons récemment intégré la fonctionnalité du plugin Genesis Simple Edits dans le noyau du Framework Genesis. De même, Genesis Simple FAQ n’est plus nécessaire dans un monde où l’éditeur Gutenberg et les Genesis Blocks existent, puisque le bloc Accordéon fait exactement la même chose que Genesis Simple FAQ.”
  • Quand Wix répond à WordPress : Il y a quinze jours, j’ai pas mal disserté sur la campagne marketing de Wix, qui s’en prenait directement à WordPress dans une série de publicités diffusées en vidéo. Avishai Abrahami, le PDG de Wix, a depuis publié une réponse à Matt Mullenweg. Réponse dans laquelle il réfute les accusations portées par Mullenweg (c’est le jeu).
    Pour prolonger un peu le débat, si le cœur vous en dit, lisez cet article (en anglais) qui essaie de prendre un peu de distance sur ce clash, et tente d’analyser ses retombées.
  • Traçage publicitaire : des contributeurs à WordPress proposent de bloquer un outil de Google : Une proposition émise par certains contributeurs à WordPress propose de bloquer par défaut, dans le Core de WP, un nouvel outil de traçage publicitaire créé par Google pour son navigateur Chrome. Appelé FLoC (Federated Learning of Cohorts), ce dispositif “permet d’anonymiser un utilisateur parmi des milliers d’autres internautes semblables, aux historiques de recherche similaires”détaille le site Geeko.
    Les opposants à cet outil lui reprochent notamment son côté discriminant, étant donné qu’il “place les gens dans des groupes en fonction de leurs habitudes de navigation pour réaliser de la publicité ciblée”, indique l’article sur WordPress.org. Pour le moment, la demande est en discussions. En cas d’issue positive (le blocage de l’outil), un patch pourrait être inclus dans une prochaine mise à jour mineure, voire sur WP 5.8.
  • L’extension Rank Math va s’intégrer à Divi :  L’extension SEO Rank Math, qui vient de passer la barre des 800 000 installations actives, a annoncé qu’elle proposerait d’ici la fin du mois d’avril (donc dans les prochains jours) une intégration de son extension à Divi. Les utilisateurs des deux outils pourront optimiser le référencement de leurs contenus directement depuis l’interface du page builder.
  • La fin de la prise en charge d’Internet Explorer 11 sur WP se déroulera en deux phases : On en sait plus sur la fin de la prise en charge d’Internet Explorer 11 (IE 11) sur WordPress, actée il ya une quinzaine de jours (voir WPMarmite Pro n°24). Elle se déroulera en deux phases. WordPress 5.8 mettra notamment fin à la prise en charge d’IE 11. D’autres ajustements, plus mineurs, auront aussi lieu au niveau du code avec les sorties de WP 5.9 et versions supérieures.
  • Décès de Puneet Sahalot, le fondateur d’IdeaBox : Puneet Sahalot, le fondateur de l’agence IdeaBox Creations, est décédé il y a quelques jours d’un accident de voiture, a-t-on appris sur le compte Twitter de l’entreprise. IdeaBox Creations développe et maintient plusieurs excellents plugins WordPress, dont PowerPack for Beaver Builder et PowerPack for Elementor.

🔥 Les dernières sorties 🔥

Les éditeurs de thèmes et d’extensions mettent régulièrement à jour leurs produits. Voici ce que vous pouvez en retenir :

  • L’extension Jetpack Boost officiellement disponible sur le répertoire officiel : Je vous en avais parlé dans WPMarmite Pro n°21, c’est désormais officiel. Automattic, le contributeur majeur à WordPress, propose depuis quelques jours, sur le répertoire officiel, une nouvelle extension appelée Jetpack Boost. Son objectif consiste à améliorer la vitesse de chargement de vos pages. Trois modules permettent par exemple d’activer le lazy load (chargement différé) sur vos images, ou encore d’optimiser la structure de votre code CSS.
  • Gravity Forms 2.5 débarque (enfin) ce mardi 27 avril : Dans les tuyaux depuis plusieurs mois, la prochaine mise à jour majeure de l’extension Gravity Forms doit débarquer ce mardi 27 avril. À en croire les concepteurs du plugin de création de formulaires de contact, il s’agit de “l’une des plus importantes mises à jour jamais réalisées”.
    Gravity Forms 2.5 proposera l’introduction de nouvelles fonctionnalités, une expérience utilisateur repensée, une refonte du constructeur de formulaire, ou encore des évolutions niveau design et accessibilité.
    Notez que cette mise à jour se fera au fur et à mesure : un petit nombre d’utilisateurs la recevra chaque jour sur son interface d’administration, à partir de mardi. Pour ceux qui ne souhaitent pas attendre, il sera possible de télécharger la nouvelle version sur son espace client.
  • Qode Interactive lance des addons gratuits pour Elementor : La boutique de thèmes premium Qode Interactive, qui commercialise plus de 400 thèmes, dont le célèbre Bridge (160 000 ventes sur ThemeForest), propose désormais de nouveaux produits gratuits avec pour objectif “d’aider chacun à créer de plus jolis et meilleurs sites web”.
    Pour commencer, vous pouvez découvrir QI Addons for Elementor, qui propose 60 widgets pour le constructeur de page.
    D’ici quelques semaines, Qode Interactive prévoit de lancer son premier thème gratuit, puis des extensions spécifiques autour du SEO, des réseaux sociaux etc.
  • PlugStat, un outil pour découvrir le nombre d’installations actives et de téléchargements d’une extension par nom du développeur : Lancé par l’un des développeurs de WP Fluent Forms, PlugStat est un outil qui permet de découvrir le nombre de téléchargements et d’installations actives d’une extension en la recherchant par le nom de son développeur. L’outil est très sympa : on découvre par exemple que les extensions conçues par Automattic enregistrent plus de 661 millions de téléchargements ! Par contre, l’outil de recherche par nom d’auteur n’est pas encore tout à fait au point. Il fonctionne très bien pour les “grosses” extensions, mais ne trouve pas toujours des extensions moins connues.
    Rien à dire sur le lien “Search Plugins”, en revanche, qui permet aussi de rechercher des extensions via le nom de leur concepteur, puis de les télécharger.

🔥 Formez-vous à Elementor 🔥

Pour ajouter une nouvelle corde à votre arc, WPMarmite a conçu la formation vidéo Maîtrisez Elementor (plus de 20h de cours).

Découvrir le programme

⛳️ Les Ressources à conserver ⛳️

Poursuivons cette newsletter avec quelques ressources que je souhaite partager avec vous. Allez, c’est parti !

  • Tout savoir sur le Full Site Editing, la prochaine évolution majeure de WordPress : Vous vous demandez ce qui se cache derrière le terme un peu barbare de Full Site Editing (FSE), et souhaitez tout comprendre sur la question ? Allez donc lire cette interview sur le sujet. Le Blog du modérateur a interrogé Jean-Baptiste Audras, le directeur technique de l’agence WordPress Whodunit et représentant de l’équipe Core de WP (entre autres), qui connaît un minimum le sujet ;-).
    Et pour ceux qui comprennent bien l’anglais, vous pouvez aussi écouter ou lire la transcription d’un épisode de podcast de WP Tavern, qui a échangé sur le FSE avec Anne McCarthy. Responsable des relations avec les développeurs chez Automattic, McCarthy s’occupe aussi du programme de sensibilisation autour du FSE. Elle revient notamment sur l’impact que ce projet va avoir sur l’écosystème WordPress.
  • Rank Math vs Yoast SEO : quel est le meilleur plugin en 2021 ? Rank Math et Yoast SEO sont deux des plus célèbres extensions pour optimiser le SEO de votre site WordPress. Utiliser les deux est contre-productif, mais laquelle choisir si vous hésitez entre les deux ? Ce test (en anglais) les compare sous plusieurs aspects (ex : optimisation des mots-clés, du contenu, facilité d’usage), ce qui vous donnera un aperçu précis des différences entre les deux.  
    En parlant de SEO, je suis aussi tombé sur ce guide intéressant – en français en plus – pour optimiser votre SEO on page.
  • Comment ajouter des GIFs sur WordPress pour améliorer vos conversions ? Vous savez qu’on adore les GIFs sur WPMarmite. Cet article (en anglais) a forcément suscité mon intérêt, d’autant que j’y ai découvert quelques outils et conseils bien pratiques. Vous découvrirez notamment comment créer et optimiser des GIFs et 3 extensions qui leur sont dédiés. Sans oublier des astuces pour résoudre des problèmes classiques rencontrés sur des GIFs.
  • Comment concevoir vos personas WordPress pour créer du contenu marketing plus pertinent : Spécialiste du marketing digital pour les entreprises de l’écosystème WordPress, Ellipsis vous propose un article détaillé (en anglais) vous expliquant son cheminement pour créer les personas de ses clients. Elaborer vos personas (des représentations fictives de vos clients idéaux) est très important pour bien comprendre votre audience cible et s’adresser à elle en lui proposant du contenu marketing adapté à ses attentes.

🛠 L’extension de la quinzaine 🛠

Des dizaines de milliers d’extensions existent. Et celle que nous vous avons dénichée ci-dessous devrait être utile pour vos projets.

Customer Reviews for WooCommerce

Une fois n’est pas coutume, mettons l’accent sur une extension WooCommerce. Très pratique, Customer Reviews for WooCommerce permet de recueillir des avis clients sur des produits de votre boutique qu’ils ont récemment achetés. Cela fonctionne notamment via un principe d’envoi d’e-mails automatiques.

L’objectif final consiste à augmenter vos conversions. En effet, un avis positif génère de la preuve sociale et peut favoriser l’acte d’achat chez d’autres visiteurs.

Les emails peuvent être personnalisés (ex : couleurs, limitation à des catégories particulières de produits) et les clients peuvent donner leur avis sur tous les produits de leur commande sur une page unique.
Ils peuvent également y joindre des photos ou des vidéos, pour témoigner de l’usage qu’ils ont fait du produit ou de son apparence.

💡 Connaissez-vous ModernPlugins ? 💡

WPMarmite a lancé quelques extensions gratuites sous la bannière de ModernPlugins. Découvrez-les ci-dessous :

  • Modern Admin Comments : Ajoutez un éditeur de texte enrichi aux commentaires de l’administration et ne plus avoir à bidouiller du HTML.
  • Safe Block Editor : Limitez les possibilités de l’éditeur de WordPress (Gutenberg) et éviter que vos clients ruinent leurs contenus.
  • Modern CTT : Insérez des blocs Click to Tweet entièrement personnalisables à vos publications.

🚨 Les événements à venir 🚨

WordCamp, meetup, atelier, conférence : découvrez ce qui va prochainement animer la communauté WordPress.

  • Le WordPress Translation Day FR a lieu ce vendredi 30 avril : La Journée de traduction de WordPress en français (WordPress Translation Day FR) a lieu ce vendredi 30 avril de 14h à 18h, en visioconférence. “L’objectif est d’accueillir, orienter et accompagner un maximum de nouvelles personnes pour les initier à la traduction du cœur de WordPress, mais aussi des thèmes, des extensions et de la documentation relative au fonctionnement de ce CMS”, précise l’article consacré à cet événement.
    Si y participer vous intéresse, rendez-vous sur le Slack de la communauté WordPress-fr, puis dans le canal #wptranslationday.
  • Un webinaire sur les Signaux Web essentiels de Google organisé par Elementor : Elementor organise un webinaire gratuit sur les « Core Web Vitals » (Signaux Web essentiels) ce mercredi 28 avril, à 17 heures (heure française). Plusieurs experts du SEO vont se pencher dans le détail sur la mise à jour Google Page Experience, qui sera déployée progressivement à partir de la mi-juin. Avec cette mise à jour, Google va lancer son algorithme “Core Web Vitals”, “qui a pour objectif de faire du temps de chargement des pages un pseudo-critère de pertinence du moteur”, toujours selon le Blog du modérateur, qui rapporte des propos du spécialiste SEO Olivier Andrieu. Aux dernières nouvelles, “ce projet n’aurait qu’un impact très faible sur les classements”.

Merci d’avoir lu cette 25e édition de WPMarmite Pro. Je vous donne rendez-vous dans 2 semaines pour faire le plein d’actus WordPress 👋

Alex

PS : Vous appréciez WPMarmite Pro ? Soutenez-nous en passant par nos liens affiliés pour vous équiper (ex : o2switchElementorWP Rocket), formez-vous sur WPMarmite Pro ou faites un gentil backlink vers WPMarmite à partir de votre site. Merci 🙏😉