Copie de Bleu et Blanc Coloré Dégradé Musique YouTube Miniature

Les rôles des utilisateurs WordPress & woocommerce

by with 71 Comments AstucesWoocommerceWordpress

Quand vous donnez accès à votre site internet, il est important de garder un contrôle total tout en permettant aux différents utilisateurs de faire leur travail de façon efficace. WordPress utilise un concept de rôles, conçu pour donner au propriétaire du site la possibilité de contrôler ce que les utilisateurs peuvent ou ne peuvent pas faire sur le site.

Tout d’abord, les rôles d’utilisateur WordPress que nous allons voir :

WordPress est livré avec six rôles par défauts auxquels s’ajoutent les deux rôles du plugin Woocommerce.

 

Rôles d’utilisateurs existants dans WordPress

Super administrateur :

Dans les sites multiples, il existe un rôle d’utilisateur appelé Super Admin. Ce rôle a toutes les capacités par défaut. Cependant, dans un seul site, le rôle d’administrateur équivaut à super administrateur.

Administrateur :

Les administrateurs ont accès complet à tous les aspects administratifs du site. Certaines des capacités uniques qui définissent le rôle d’administrateur incluent la suppression des pages et des publications d’autres utilisateurs, la mise à jour du noyau, la création et la suppression d’utilisateurs, etc. De plus, les administrateurs peuvent ajouter, supprimer et gérer des plugins et des thèmes sur le site. Et, les administrateurs auront également la liberté de modifier les détails des autres utilisateurs, y compris les mots de passe. Concrètement, vous pouvez restreindre l’accès de l’administrateur aux seuls propriétaires de sites et uniquement aux personnes de confiance qui peuvent avoir un contrôle total sur votre site.

Éditeur :

c’est lui qui gère le contenu. Il peut ajouter, publier et effacer tout contenu et médias créés par tous les utilisateurs. Il peut aussi gérer les commentaires.

Auteur :

C’est lui qui écrit le contenu. Il peut créer, éditer, publier et effacer son propre post mais pas ceux des autres utilisateurs.

Contributeur :

Version basique de l’auteur, il ne peut pas publier de contenu ce qui donne une possibilité de contrôle supplémentaire.

Abonné :

Le Rôle avec le moins de permissions, cet utilisateur peut seulement mettre à jour son profil, laisser des commentaires et lire le contenu du site

Rôles d’utilisateurs Woocommerce

A ceux de WordPress, s’ajoutent les deux rôles Woocommerce.

Client :

le rôle Client est attribué par défaut à toute personne qui s’inscrit sur votre boutique. Les utilisateurs sous ce rôle n’auront pas d’autres fonctionnalités, à l’exception de la possibilité de gérer leurs propres comptes. Cependant, vous pouvez créer des rôles personnalisés pour segmenter vos clients à l’aide de ce plugin. Cela vous permettra d’offrir de manière sélective des remises, d’attribuer des capacités d’achat, de contrôler l’accès aux produits, etc. Les magasins avec des prix personnalisés ou les magasins de gros peuvent bénéficier beaucoup de cette approche. Nous en discuterons en détail plus loin dans l’article.

Gérant de boutique :

C’est le rôle que vous confié à l’utilisateur qui gère votre boutique mais qui n’aura pas accès au code comme un administrateur.

Il existe des plugins (extensions) pour gérer et ajouter d’autre rôle utilisateur que vous pouvez trouver sur la bibliothèque de WordPress où en naviguant sur internet, notre équipe reste à votre disposition en cas de besoin.

Bleu et Blanc Coloré Dégradé Musique YouTube Miniature (11)

15 rappels de Sécurité essentiels pour WordPress

by with One Comment AstucesWordpress

Nous savons tous qu’internet peut se révéler vulnérable. Les plus grands groupes du web ont des attaques régulières de hackers et de pilleurs de données. WordPress n’est pas à l’abri. En avril 2013, plus de 90000 sites WordPress ont été attaqués…

La sécurité de WordPress est un sujet crucial et essentiel pour tout administrateur système soucieux de préserver son site. Quand on réalise le temps de travail, d’écrits, et de réflexions que représente la création d’un site, il est dangereux d’être approximatif en ce qui concerne sa protection.

Les hackers sont toujours à la recherche de nouvelles failles. De multiples solutions de sécurité s’offrent à vous des plus simples ou plus pointues.

Mesures de sécurité essentielles à WordPress

1- Le compte Admin

En premier lieu, quelque soit la méthode d’installation choisie, créez toujours un nouveau compte ADMIN avec un login + mot de passe ultra sécurisé.

Si possible évitez de choisir un login avec votre prénom ou la racine de votre domaine.

2- Mot de passe

Il faut toujours utiliser des mots de passe complexes associant lettres, symboles et chiffres.

Il vous faut employer de préférence un générateur de chaîne aléatoire de plus de 8 caractères. Vous aurez ainsi un login bien plus sûr.

3- Pensez à restreindre le nombre d’essais d’identification

Plusieurs plugins permettent de vous protéger des attaques par “force brute”, c’est-à-dire les tentatives pour deviner votre mot de passe par une recherche de toutes les combinaisons possibles.

Installez une extension qui bloque les tentatives répétées d’une même adresse IP. (WPS Limit Login par exemple). Si un robot tente d’entrer sur votre site, cela bloque l’accès pendant un certains temps. Une fois l’extension installée, vous pouvez paramétrer le nombre d’essais que vous voulez avant blocage et le temps de connexion après le blocage.

4- Pensez à masquer la version de votre WordPress

Votre version donne des informations aux hackers pour trouver d’éventuelles failles de sécurité. Dans le fichier function.php de votre thème, ajoutez ce bout de code :

remove_action("wp_head", "wp_generator");

Le numéro de version WP se trouve également dans le fichier readme.html situé à la racine de votre WordPress (fichier à supprimer également)

5- Faites des sauvegardes

Les backups du système sont à effectuer au moins toutes les semaines pour prévenir un piratage ou un crash disque.  Il vaut mieux prévenir que guérir!

Sous WordPress les solutions pour la sauvegarde ne manquent pas.

6- Soyez prudent lorsque vous téléchargez des templates

Les thèmes gratuits télécharger au hasard du web peuvent révéler de nombreux virus.

Pour vous protéger, installez un plugin de type TAC, comme par exemple : Theme Authenticity Checker, celui-ci scanne et analyse les thèmes à la recherche d’un éventuel virus.

7- Faites des mises à jour régulières

C’est du basique mais cela reste essentiel, toujours avoir la dernière version, c’est essentiel !

  • Mettez à jour votre WordPress car cela permet d’avoir les tous derniers correctifs des failles de sécurité.
  • Voyons aussi comment mettre à jour vos plugins afin d’avoir toujours la version la plus récente/secure et aussi pour éviter tout risque d’incompatibilité.
  • Il n’y a pas que les plugins et WordPress, mettez à jour votre thème.

Encore une fois avant toute mise à jour, pensez à sauvegarder votre site.

8- Ajoutez/changez les clefs de sécurité secrètes

Les clés d’authentification SALT créent un cookie d’identification qui protège votre installation.

Si ces codes ne sont pas présents dans votre fichier wp-config.php, vous pouvez les générer et les ajouter en vous rendant sur https://api.wordpress.org/secret-key/1.1/salt/

wordpress-salt-keys

9- Protégez vos fichiers

Bloquez la navigation dans vos dossiers WordPress. Par défaut, n’importe qui peut accéder au contenu de vos dossiers WordPress (wp-content) via un simple navigateur.

Pour protéger le fichier wp-config via votre .htaccess, ajoutez:

<Files wp-config.php>
 order allow,deny
 deny from all
</Files>

Pour cacher les répertoires sensibles toujours via le htaccess:

Options All -Indexes

Enfin pour protéger le fichier htaccess lui-même:

<Files .htaccess>
 order allow,deny 
 deny from all 
</Files>

10- Changez le préfixe “wp_”

Par défaut le préfixe des tables de la base MYSQL pour WordPress est “wp_”. Ce préfixe est connu de tous et peut être vulnérable en cas d’injection.

Utilisez le plugin Brozzme DB Prefix,  un outil en un clic pour modifier votre préfixe de base de données (base de données et wp-config.php). Pour appliquer un nouveau préfixe, il vous suffit de vérifier que le wp-config.php est inscriptible et que les droits Alter de la base de données sont activer.

Une seule entrée est nécessaire : le nouveau préfixe de base de données. Le plugin va s’occuper de tout. Vous n’avez qu’à appuyer sur le bouton si vous êtes ok avec le préfixe généré. Bien sûr, le préfixe peut être modifié pour répondre à vos besoins.

11- Masquez les erreurs de connexion

WordPress renvoie un message bien trop explicite en cas de problème de connexion, ajouter la ligne suivante à votre functions.php du thème permet d’afficher un message d’erreur banalisé:

add_filter('login_errors',create_function('$a', "return null;"));

12- Désactiver l’éditeur de fichiers

Empêchez l’édition de vos fichiers directement depuis WordPress, ajouter simplement la ligne suivante à votre functions.php:

define('DISALLOW_FILE_EDIT',true);

13- Déplacer votre PhpMyAdmin

Cette application Web permet de gérer vos bases de données, située généralement à l’adresse suivante: /monsite.com/phpmyadmin, il est fortement recommandé de la déplacer (voir avec votre hébergeur ou infogérance).

14- Déplacer votre page de login

A l’aide d’un simple plugin tel que WPS Hide Login vous pouvez changer votre URL de connexion WordPress et limiter ainsi les attaques par “Brut Force” des hackers.

15- Choisissez un hébergement spécialisé WordPress

Laissez votre hébergeur se préoccuper de la sécurité. Avec un hébergeur WordPress, votre site est entre de bonnes mains, certes plus cher que le mutualisé, ce type d’hébergement maintient, protège, répare et optimise votre site.

Aller plus loin pour sécuriser WordPress

Sur un site WordPress, deux notions essentielles sont à penser le filtrage et la désinfection. Un utilisateur peut s’infiltrer par des moyens multiples et le codage sert à détecter le piratage (chaines de caractères suspects, emails incorrects). Un bon codage sert à bloquer ces tentatives d’intrusions. La désinfection se fait à l’aide un antivirus efficace qui scanne les failles de sécurité de votre site.

Pensez à vous informer régulièrement sur les nouvelles failles de sécurité. Elles sont nombreuses et en étant vigilant, vous pouvez les devancer et être toujours bien protégé. Pensez à être constant dans vos vérifications de sécurité, car elles ne peuvent jamais être sûres à 100%.

Voici quelques sites pour suivre les alertes et failles détectées: Vigilance.fr ou bien encore Blog.secupress.fr

En bonus, retrouvez ci après 4 solutions pour renforcer la sécurité de WordPress:

  • Passer votre WordPress en HTTPS, c’est la meilleure façon de protéger les données de vos utilisateurs et de vous défendre contre l’usurpation d’identité. Les sites sécurisés via SSL bénéficient en outre, d’un avantage pour leur référencement dans les pages de résultats de recherche.
  • Un moyen détourné pour se protéger est de camoufler son WordPress, pour se faire il existe le plugin HideMyWp. Ce dernier déplace certains répertoires et masque le fait que vous utilisiez un WP. Attention toutefois sa configuration peut être périlleuse…
  • Enfin, l’antivirus que je préfère : WordFence. C’est un plugin freemium, c’est à dire que les options de base sont gratuites et certaines réservées aux utilisateurs premium. Très efficace et performant, je vous invite à lire le tutoriel complet de cet antivirus pour WordPress.
  • Enfin si pour votre WordPress il est déjà trop tard, consultez notre guide : WordPress piraté, comment réagir ?

Enfin et pour conclure : Protégez votre travail par de vrais mots de passe sécurisés, faites des sauvegardes régulières, installez un antivirus qui scanne régulièrement votre site et vos fichiers. Ce sont là des actes de préventions importants.

La création d’un site WordPress demande du temps, il mérite d’être à l’abri !

Bleu et Blanc Coloré Dégradé Musique YouTube Miniature (9)

Connaissez-vous le plugin de sécurité : Sucuri ?

by with One Comment AstucesPluginWordpress

À l’instar des plugins iTheme Security et WordFence, aujourd’hui, je vous propose une présentation du plugin Sucuri Security – Auditing, Malware Scanner and Hardening.

Un plugin pour auditer la sécurité en 12 points

Une fois l’installation et l’activation du plugin effectuées, vous pourrez constater que par défaut, WordPress contient certaines lacunes en matière de sécurité.

Sucuri vous aide à combler les failles de WordPress

L’idéal est, d’utiliser cette section, le plus tôt possible (par exemple, juste, après l’installation de WordPress) et voici pourquoi :

  1. Sucuri, vérifie que votre version de WordPress est à jour. (Premier point essentiel).
  2. Le plugin vérifie, l’éventuelle installation d’un firewall lié à votre site. En cas de recherche infructueuse, Sucuri vous propose, en version premium, l’installation de son propre firewall. Veuillez noter que les prestations premium de ce plugin ne s’adresse pas au petit budget.
  3. Sucuri vérifie, si la version de WordPress est visible en mode public et vous propose de camoufler le numéro de version, le cas échéant. Moins, vous donnerez d’indices aux hackers ou autres sur votre CMS, mieux cela vaudra.
  4. Sucuri vous propose de restreindre l’accès à la possibilité exécuter du code php depuis le répertoire upload de WordPress. Attention, certains plugins nécessitent de lever cette restriction pour bien fonctionner.
  5. Sucuri peut même, dans certains cas vous proposer de bloquer, l’accès, au répertoire Wp-content. Il s’agit d’une option que je déconseille d’activer pour différentes raisons. Vos images et l’exécution des fonctionnalités de vos thèmes WordPress risquent de ne plus être accessibles. Votre site semblera cassé.
  6. Le plugin de sécurité WordPress vous propose d’imposer certaines restrictions d’accès au répertoire wp-includes
  7. J’apprécie le plugin de Sucuri pour l’option suivante. Il permet de vérifier la version du PHP utilisé sur votre serveur pour votre site.
  8. Sucuri vérifie l’état de vos clés permettant de définir l’accès à votre site ou blog sous WordPress. Ces clés vous aident, par exemple, à générer, aléatoirement et de manière renforcée des mots de passe très difficiles à craquer.
  9. Le plugin supprime le fichier txt indiquant le véritable numéro de version de votre version de WordPress.
  10. Sucuri vérifie l’existence d’un éventuel compte administrateur avec l’id admin et vous propose une procédure le cas échéant pour le supprimer.
  11. Il vous permet de bloquer l’édition de plugin et vos thèmes depuis WordPress pour renforcer la sécurité de votre site.
  12. Sucuri vous avertit si le préfixe des tables de la base de données est celui par défaut ( wp_ ). Attention, si vous souhaitez modifier ce préfixe pour vos tables, il vous faudra, certainement modifier la ligne adéquate du fichier config.php pour faire correspondre la base de données avec avec les fichiers de votre site sur votre serveur. Dans le cas contraire, vous n’aurez certainement plus accès à votre blog.

Un plugin pour savoir si votre site est sain

L’onglet Malware Scan de Sucuri vous permet rapidement d’analyser votre site à la recherche de codes malveillants. Malheureusement, en cas de résultat positif, Sucuri ne vous offre pas le moyen de corriger gratuitement le code infecté. Pour cela, il faut passer par des prestations premium.

Onglet Dashboard

Cet onglet récapitule tous les changements effectués sur votre site (de la tentative de connexion, au changement de thème, en passant par la mise à jour d’un article, par exemple).

Très pratique , en cas de piratage, cet onglet vous présente des logs complémentaires à ceux de votre serveur pour bien diagnostiquer une panne ou un piratage.

Ne soyez pas affolé par cette section, les tentatives infructueuses de connexions, avec les identifiants admin et le nom de domaine, sont très courantes.

Menu Setting

C’est un menu très important à bien paramétrer selon vos besoins. Pensez à désactiver la notification par mail pour toutes les tentatives de connexion infructueuses sinon vous allez être inondés de mails. Pensez, par contre à la notification, par mail, de tentative de connexion réussie.

Vous avez d’autres options intéressantes, mais sachez que le plugin est en anglais.

Onglet Post Hack

En cas de piratage et de restauration de votre site, cette section peut s’avérer utile pour réinitialiser des plugins, des mots de passe et les clés spécifiques à WordPress. Attention, tout de même, cette section n’est à utiliser, qu’en cas d’extrême nécessite.

Ce que j’aurais souhaité en matière de sécurité

Même si cette présentation du plugin Sucuri Security – Auditing, Malware Scanner and Hardening n’est pas exhaustive, voici quelques éléments que j’aurais voulu voir dans ce plugin.

Pour moi, il manque, un point important : la possibilité de changer les URLs de connexion et d’inscription sous WordPress (wp-admin, wp-login…). Que cela ne tienne, vous pouvez utiliser le plugin WPS Hide Login pour combler ce manque.

Enfin, j’aurais aimé une section plus poussée pour l’analyse du site, un peu comme celle de Wordfence. Ce dernier peut nous aider gratuitement même à désinfecter un site, le cas échéant.

J’aurais aussi aimé trouver un filtre pour gérer les crawlers (robots) qui tenteraient d’exploiter des failles liées aux erreurs 404 comme dans Wordfence.

Enfin pour terminer, j’aurais aimé, une gestion plus explicite, des attaques de type brute Force.

Toujours est-il qu’aucun plugin de sécurité WordPress n’est infaillible, mais ce n’est pas pour autant qu’il faut négliger leur configuration. Si vous hésitez dans votre choix, en matière de plugin pour sécuriser votre site sous WordPress, je vous invite à essayez ses deux plugin

  • iTheme Security
  • WordFence
Bleu et Blanc Coloré Dégradé Musique YouTube Miniature (8)

Rediriger automatiquement la page Panier vers la page Commande

by with 24 Comments AstucesCodeCSSWoocommerceWordpress

Si vous n’utilisez pas vraiment la boutique e-commerce de WooCommerce mais que vous souhaitez seulement profiter du tunnel d’achat (site d’abonnement à des options payantes, site de formations, etc.), peut-être que vous n’avez pas besoin que votre acheteur passe par l’étape de la page Panier.

Dans ce cas, rien de mieux que de simplifier le parcours d’achat de votre utilisateur et rediriger la page Panier directement vers la page Commande pour améliorer au mieux votre taux de conversion.

Dans le cadre d’un abonnement par exemple, il y a peu d’intérêt à afficher la page Panier puisqu’il y a un récapitulatif de l’achat sur la page Commande.

Pour ajouter cette fonctionnalité à votre boutique, copiez-collez le code suivant dans le fichier functions.php de votre thème enfant:

				
					// Rediriger la page Panier directement vers la page Commande dans WooCommerce

add_action('template_redirect', 'wpm_wc_redirect_cart_to_checkout');

function wpm_wc_redirect_cart_to_checkout() {
// Si on est sur la page panier et que celui-ci n'est pas vide
	if (is_cart() && !WC()->cart->is_empty()) {
		wp_redirect(wc_get_checkout_url());
		exit;
	}
}

Et voila, grâce à ces quelques lignes de code, vos utilisateurs seront maintenant automatiquement redirigés vers la page Commande de WooCommerce lorsqu’il essayeront d’afficher leur page Panier.

Attention cependant à la boutique en ligne sur laquelle vous utilisez ce code car l’utilisateur ne pourra pas changer les quantités de produits dans le panier depuis la page commande.

Bleu et Blanc Coloré Dégradé Musique YouTube Miniature (6)

Modifier l’URL du logo de la page de connexion de WordPress

by with One Comment AstucesCodeCSSWordpress

Lorsque vous arrivez sur la page /wp-admin de votre site, vous avez le logo de WordPress affiché au dessus du formulaire de connexion à l’administration.

Par défaut, le lien pointe vers l’URL du site francophone de WordPress: w-insideconcept.com

Si vous voulez modifier cette URL par celle de votre propre site, copiez-collez le code suivant dans le fichier functions.php de votre thème enfant:

				
					// Modifier l'URL du logo de connexion sur la page d'administration 

add_filter( 'login_headerurl', 'wpm_custom_login_url' );

function wpm_custom_login_url($url) {
// On définit la nouvelle URL du lien ici
  return 'https://www.exemple.com';
}

Pensez juste à MODIFIER l’Url https://www.exemple.com par votre propre Url.

Bleu et Blanc Coloré Dégradé Musique YouTube Miniature (5)

Ajouter un badge « Rupture de stock » sur les produits indisponibles

by with One Comment AstucesCodeCSSWoocommerceWordpress

Lorsque vous utilisez la gestion de stock de WooCommerce et qu’un de vos produits est en rupture de stock, rien mis à part une petite ligne en rouge sur la page du produit ne le précise.

Seule une petite ligne discrète en rouge « Rupture de stock » est affichée. Pas forcément très clair pour notre client donc.

 

 

Nous allons plutôt afficher une badge « Rupture de stock » en rouge et gros sur l’image au niveau de la boutique et à coté du titre sur notre page produit. Cela améliorera grandement l’expérience client.

Voici comment procéder : copiez-collez le code suivant dans le fichier functions.php de votre thème enfant:

				
					/* Indiquer la rupture de stock */

add_action( 'woocommerce_before_shop_loop_item_title', 'wpm_display_sold_out_loop_woocommerce' );// On l'affiche sur la page boutique
add_action( 'woocommerce_single_product_summary', 'wpm_display_sold_out_loop_woocommerce' );// On l'affiche sur la page du produit seul

 
function wpm_display_sold_out_loop_woocommerce() {
    global $product;
 	//Si le produit est en rupture de stock, on affiche :
    if ( !$product->is_in_stock() ) {
        echo '<span class="soldout">' . __( 'Rupture de stock', 'woocommerce' ) . '</span>';
    }
}

Vous pouvez utiliser le CSS suivant pour modifier l’apparence du badge :

				
					.soldout {
	padding: 3px 8px;
	text-align: center;
	background: red;
	color: white;
	font-weight: bold;
	position: absolute;
	top: 6px;
	right: 6px;
	font-size: 12px;
}

Bien sûr, n’hésitez pas à modifier l’apparence via le CSS pour coller au maximum au design de votre site et de votre boutique WooCommerce !