hacké – Climb to the Stars

[en]

The cottage industry of cheap WordPress websites is leaving in its wake a huge number of small business owners who do not have the technical skill or know-how to maintain their installations: do updates, fix problems, avoid getting hacked -- hell, deal with being hacked. This article explains how we came to this and where I fit in (tl;dr I help people figure out how to fix their site or problems).

Votre site WordPress est cassé? Vous avez des soucis avec, ou n’arrivez pas à faire certaines choses?

La personne qui vous a mis en place le site il y a quelques années a disparu dans la nature? Votre webmaster est aux abonnés absents? Votre hébergeur vous fait des misères parce que votre site s’est fait hacker?

Si j’étais en train de faire de la pub, je dirais que je connais WordPress comme ma poche 🙂

Trève de rigolade: deux mandats récents m’ont fait réaliser qu’il y a un revers de la médaille à la facilité d’installation et de mise en place de WordPress. Créer un site c’est assez simple, mais gérer les problèmes qui viennent avec le fait d’héberger une usine à gaz (je dis ça gentiment) PHP/MySQL super populaire sur un serveur web, c’est une autre histoire.

Depuis des années d’ailleurs, j’essaie à tout prix de décourager mes clients de faire leur site avec un WordPress.org installé sur leur hébergement (Infomaniak est un hébergeur populaire en Suisse). Pas que ce soit un mauvais outil, au contraire, mais gérer sa propre installation requiert des compétences (ou les fonds pour les acheter) que la plupart de mes clients n’ont pas. Comprendre certaines bases de la sécurité informatique, par exemple, avoir des notions d’administration système, ou du moins comprendre comment tout ça se goupille, pouvoir suivre des instructions techniques en cas de problème.

A la place, il y a WordPress.com, ou même, ce que je recommande souvent aujourd’hui, Squarespace. WordPress.com (notez la nuance, .org vs. .com) est un service où l’on crée un compte, comme Facebook ou Gmail. Pas besoin d’installer quoi que ce soit. Pas besoin de prendre un hébergement. Même pas besoin, si on ne veut pas, de prendre un nom de domaine.

Les avantages incommensurables de WordPress.com:

pas besoin de gérer un serveur web
pas besoin de faire de mises à jour
pas besoin de s’occuper de la sécurité (mis à part avoir un mot de passe correct et activer la double authentification)
ça va pas “se casser”

Mais alors, pourquoi tant de gens ont-ils des sites faits avec WordPress.org, alors qu’ils n’ont pas les moyens d’en assurer la maintenance?

La réponse est simple: les avantages de WordPress.com sont invisibles, et ses désavantages sont visibles.

Je l’ai vécu cent fois. Quand on veut un site web, souvent on a des idées assez précises sur:

le design graphique (je veux mes couleurs, ma police, mon logo ici…)
certaines fonctionnalités (je veux un agenda, je veux un site bilingue, je veux disposer les images de telle ou telle façon…)

WordPress.org permet une liberté quasi-totale de ce point de vue là, pour autant qu’on sache installer les bons plugins, les bons thèmes, ou simplement coder ce qu’on veut.

WordPress.com est plus limité. Côté graphisme ça a beaucoup évolué ces cinq dernières années, et il y a maintenant vraiment beaucoup de choix et de possibilités de personnalisation. Par contre pour les fonctionnalités, on doit faire avec ce que la plate-forme nous offre.

Vous voyez le piège? On n’imagine pas le lot d’emmerdes (et le coût!) que peut amener le fait de devoir gérer sa propre installation de WordPress, réparer des accidents ou des erreurs, la sécuriser pour ne pas se faire hacker. Par contre on voit tout de suite qu’on ne pourra pas avoir l’agenda dont on rêvait. Donc on prend WordPress.org.

Je ne mets pas la faute sur les clients. Un peu plus sur ceux qui, souvent pleins de bonne volonté (et peut-être d’un peu d’ignorance) ne posent pas clairement pour leur client les avantages et inconvénients des différentes options, ou le prix à payer (le jour où ton installation WordPress se fait hacker ça va te coûter cher) pour avoir ce à quoi ils tiennent (l’agenda). Ça s’appelle, en anglais, “éduquer le client”. C’est quelque chose auquel je tiens beaucoup. Ça permet de prendre des décisions informées.

Après, chacun fait avec ses connaissances, c’est pourquoi je ne juge pas trop sévèrement toute l’industrie foisonnante de “sites WordPress pas chers”. Mais quand même.

Bref, vous voyez comment on en arrive à la situation d’aujourd’hui. Des tas d’indépendants, d’artistes, d’associations, de petites entreprises (ou pas si petites!) qui ont entre les mains des sites WordPress.org qui datent d’il y a quelques années. Sans contrat de maintenance. Sans personne vers qui se tourner quand ça va mal, ou alors les prix affichés font faire demi-tour avant même d’avoir commencé à parler. Parce que la personne qui vous a fait votre site il y a 3 ans pour pas trop cher, il y a toutes les chances que ce ne soit plus trop son business aujourd’hui (s’étant rendu compte que pas trop cher, c’est aussi pas trop viable, surtout s’il faut assurer la suite).

Il n’y a pas de solution miracle. Voici déjà quelques conseils que je peux vous donner si vous avez une installation WordPress “à vous”:

faites les mises à jour (de WordPress, des thèmes, et des plugins); WordPress est un outil populaire, il n’est pas parfait, et des failles de sécurité sont régulièrement mises à jour; si vous ne faites pas les mises à jour cela veut dire que vous avez sur votre serveur une application avec des failles de sécurité connues que des personnes malveillantes peuvent exploiter.
ayez de bons mots de passe pour votre hébergement, le FTP, votre nom de domaine, vos utilisateurs WordPress, et votre base de données; on ne le répétera jamais assez, les mots de passe ne sont pas là pour empêcher quelqu’un qui vous viserait personnellement de venir lire vos e-mails (vous vous en foutez, et vous avez bien raison). Un mot de passe, c’est là pour empêcher que quelqu’un s’introduise chez vous, planque de la drogue dans votre matelas, installe de la vidéosurveillance dans les murs, lance des bombes puantes sur les gens depuis votre fenêtre, et saccage tout en laissant la musique à coin pendant que vous êtes en vacances. Au final, c’est vous qui vous retrouvez viré de votre appart et en taule, parce que vous étiez le seul pigeon de votre immeuble à avoir laissé la clé sur la porte.
installez WordFence, un plugin de sécurité super complet; il est compliqué, mais vous pouvez déjà faire un scan et voir ce que ça raconte. Ils ont un service “SOS je me suis fait hacker”, à un prix qui semble raisonnable. Pas testé, donc je ne sais pas ce que ça vaut, faites-moi un retour si vous l’utilisez.
utilisez WordPress.com si c’est possible; réfléchissez bien aux choses que vous désirez pour votre site qui ne sont pas possibles avec WordPress.com, et mettez-les dans la balance avec toutes les responsabilités qui viennent avec le fait d’avoir sa propre installation. A moins d’avoir les compétences, le temps, ou les fonds, faites des compromis et optez pour WordPress.com (ou Squarespace! On peut exporter-importer facilement le contenu d’une installation WordPress vers une autre installation, ou vers Squarespace).

Je conçois bien que ces conseils basiques donnent déjà mal à la tête à la plupart des gens, et c’est là que je peux intervenir. Ce que je fais:

je m’assieds à côté de mes clients devant leur ordi (parfois le mien) et on regarde tout ça ensemble
comme je connais bien ce terrain, on gagne du temps
je ne suis pas mariée à WordPress, ni une spécialiste exclusive de cet outil, donc je suis susceptible de chercher des solutions auxquelles quelqu’un de plus spécialisé ne penserait pas
je comprends ce que les gens du support technique racontent (parfois mieux qu’eux!)
je ne cherche pas à faire des heures de travail, mais à trouver la solution la plus réaliste compte tenu de la situation spécifique de la personne avec qui je travaille
je comprends les trucs techniques et en même temps j’explique bien aux êtres humains
quand je travaille avec quelqu’un, mon but et que cette personne “suive” un peu ce qu’on fait; il ne s’agit pas de comprendre tous les détails techniques, mais de ne pas être largué — et d’apprendre ce qui est utile d’apprendre; mon approche convient donc bien aux gens qui essaient de faire un maximum eux-mêmes, même s’ils n’ont pas des connaissances techniques immenses.

Bon. Alors ma question à vous, lecteurs. Comment est-ce que je condense cette tartine en quelque chose de “vendable”, ou du moins “communicable”? Qu’est-ce qui à votre avis “parle” le plus à ceux qui auraient besoin de mon aide?

Je suis preneuse de vos idées/retours — et aussi bien entendu de vos connaissances en détresse de WordPress.

Stephanie Booth on Fenêtre de tolérance émotionnelle: comment me ressourcer?07.12.2023
Merci beaucoup pour ce partage, Olivier! Sais-tu que le TDAH est une histoire de régulation de dopamine...? Je ne connais…
Olivier Bruchez on Fenêtre de tolérance émotionnelle: comment me ressourcer?07.12.2023
Merci pour ce post, ainsi que pour les autres de la série. Ils alimentent mes réflexions sur des sujets similaires…
Elodie on My Journey Out of Procrastination: Five Principles22.11.2023
Oui j'ai vu ça dans un autre de tes articles, et d'ailleurs je crois t'avoir dit quelque part que je…
Stephanie Booth on My Journey Out of Procrastination: Five Principles22.11.2023
C'est hyper intéressant ce que tu racontes, Elodie. (Pas rigolo mais intéressant.) Ça me fait penser au Prof Nader Perroud,…
Stephanie Booth on Triggers and Dopamine22.11.2023
Oui, mince, hein? Et en 2019 j'ai raté encore une fois l'occasion de faire le lien, quand un médic qui…