Les extensions WordPress indispensables

Certaines extensions WordPress couvrent des fonctionnalités bien spécifiques et ne concernent donc que certains types de sites web. Mais d’autres sont incontournables pour tout site. Je vous propose un rapide tour d’horizon des extensions WordPress indispensables selon moi, que j’utilise le plus souvent, voire systématiquement.

Plugins de sécurité

La sécurité est un aspect essentiel de tout site web, d’autant plus s’il est dynamique (i.e. comportant une base de données). C’est notamment le cas des sites développés sous WordPress. Je vous invite d’ailleurs à vous référer à cet article pour plus d’information : Comment sécuriser votre site WordPress efficacement.
Il ne sera pas question ici des mesures de sécurité à mettre en place sur votre hébergement web (protocole SSL, MODSEC, etc.), cela fera peut-être l’objet d’un prochain article.

Wordfence Security

Parmi les plugins de sécurité, Wordfence est sans aucun doute mon favori. Il ne m’a jamais fait défaut jusque là et, même s’il peut sembler assez peu intuitif pour un débutant, il est très complet.

Fonctionnalités de la version gratuite :

1. Pare-feu d’application web (WAF) : bloque les attaques courantes (injections SQL, XSS, etc.).
2. Scan de sécurité : scanne fichiers, thèmes et plugins pour détecter malwares, backdoors et autres vulnérabilités.
3. Bloqueur d’intrusion : bloque les IP malveillantes connues et les utilisateurs ayant un comportement suspect.
4. Surveillance en temps réel : affiche les attaques et tentatives de connexion en temps réel.
5. Protection de connexion : limite les tentatives de connexion échouées, bloque les attaques par force brute et propose l’authentification à deux facteurs (2FA).
6. Protection contre les fuites de données : scanne les mots de passe compromis.
7. Monitoring des DNS : surveille les modifications DNS non autorisées.
8. Analyse du trafic en direct : identifie le trafic humain et robotique.
9. Protection de contenu : détecte et supprime automatiquement les fichiers malveillants.
10. Audit de sécurité : enregistre toutes les actions des utilisateurs.
11. Alertes et rapports : notifications par e-mail et rapports détaillés.

Fonctionnalités premium :

1. Blocage par géolocalisation : bloque l’accès à partir de certains pays.
2. IP intelligence : accès à une base de données en temps réel des IP malveillantes.
3. Scans plus fréquents : fréquence de scans augmentée.
4. Suppression des menaces : assistance pour supprimer les fichiers infectés.
5. Assistance prioritaire

La version gratuite est suffisante dans l’immense majorité des cas, d’autant que d’autres mesures de sécurité peuvent (doivent) s’y adjoindre.

Parmi les concurrents de Wordfence, on peut citer Sucuri Security, Solid Security, All-In-One Security (AIOS), SecuPress, etc. Ces plugins n’ont pas tous les mêmes fonctionnalités, je vous recommande de les explorer dans le détail pour choisir celui qui vous conviendra le mieux. Notez que la plupart disposent d’une version gratuite et d’une version premium.

WPS Hide Login

WPS Hide Login est une extension très légère vous permettant de déporter vos URLs de connexion au tableau de bord WordPress (wp-admin et wp-login.php). Ces URLs sont en effet le point de départ privilégié par les hackers, une bonne pratique est donc d’utiliser une URL personnalisée. En cas de tentative d’accès par les URLs habituelles, le visiteur (humain ou robot) sera redirigé vers une URL de votre choix, limitant ainsi les risques d’attaque par force brute.

WPS Hide Login couvre une fonctionnalité non prise en charge par Wordfence, mais ne sera pas utile si vous lui avez préféré SecuPress par exemple.

Headers Security Advanced & HSTS WP

Headers Security Advanced & HSTS WP vous permettra de très facilement mettre en place les security headers (entêtes de sécurité), qui renforcent la sécurité web en configurant les réponses HTTP pour prévenir diverses attaques. Il n’est pas à proprement parler un indispensable, puisque les security headers peuvent être déclarés dans le fichier .htaccess situé à la racine de votre site. Mais il vous facilitera grandement la tâche si vous n’avez pas les connaissances techniques nécessaires, il vous suffira en effet de l’installer et de l’activer, rien de plus !

WPVivid Backup

Le plugin WPVivid Backup vous permettra de réaliser des sauvegardes manuelles ou planifiées de votre site WordPress (fichiers et/ou base de données). Ainsi, en cas de mauvaise manipulation (suppression accidentelle de fichiers ou données par exemple), vous pourrez aisément remettre en place un backup. Il est fortement recommandé de définir un support de stockage distant (Google Drive ou autre cloud), cela vous évitera de perdre irrémédiablement votre site comme lors de l’incendie l’un datacenter d’OVH en mars 2021.

Parmi les nombreuses alternatives, on pourra citer UpdraftPlus ou Duplicator.

Anti-spam

Le spam n’est pas à proprement parler un problème de sécurité, mais il peut devenir un vrai poison si vous ne mettez aucun filtre en place pour limiter les commentaires indésirables sur vos articles de blog ou les soumissions de formulaires de contact malvenues.

Parmi les meilleures extensions anti-spam, je citerai Akismet Anti-spam. D’autres plugins tels que WP Armour utilisent un mécanisme de “honeypot” (pot de miel) pour détecter si un visiteur est bien humain. Ces plugins ajoutent un champ aux formulaires, invisible pour un visiteur humain mais qu’un robot ne pourra s’empêcher de remplir, s’identifiant de fait comme tel. Un gros avantage de ce type d’extensions est qu’elles ne nécessitent pas d’API ni de transmission de données à des tiers, assurant ainsi leur conformité au RGPD.

Plugins SEO

Ce serait une erreur de penser qu’utiliser un plugin SEO suffit à garantir un référencement optimal de votre site web. Le SEO est un métier à part entière, nécessitant des outils spécifiques et une excellente connaissance des bonnes pratiques à adopter. Néanmoins, un plugin SEO vous facilitera la tâche, vous pourrez en effet aisément définir vos méta-données et disposer d’indicateurs de la qualité de votre SEO on-page (balises de titre, méta-description, maillage interne et externe, etc.). La plupart des extensions SEO vous permettront en outre de créer automatiquement un sitemap (plan de site) et de mettre en place des schémas de données structurées (schema.org) qui permettront aux moteurs de recherche de mieux comprendre la nature de vos contenus.

Mon plugin SEO favori est Rank Math SEO, mais vous pourrez lui préférer SEOPress, Yoast SEO, etc.

Plugins RGPD

Le RGPD (Règlement Général sur la Protection des Données personnelles) ne doit surtout pas être négligé ! Votre site web doit impérativement y être conforme si vous ne voulez pas risquer d’être sanctionné par la CNIL.

La création des pages liées au RGPD (mentions légales, politique de confidentialité et, pour un site e-commerce, conditions générales de vente) ne nécessite pas de plugin. En revanche, il existe des extensions permettant de mettre en place facilement une bannière de consentement à l’utilisation des cookies.

En ce qui me concerne, ma préférence va à Complianz, mais d’autres plugins tels que CookieYes, CookieBot ou GDPR Cookie Compliance feront tout aussi bien l’affaire. Il existe également des solutions sans plugin telles que tarteaucitron.js, mais que je recommanderai davantage à des personnes ayant de bonnes connaissances techniques.

Plugins de performances

LiteSpeed Cache

Si votre hébergement web utilise la technologie LiteSpeed Cache (o2switch par exemple), ne cherchez pas plus loin, le plugin du même nom est la solution idéale !

Ses fonctionnalités clés sont :

1. Mise en cache de pages : mise en cache des pages à l’échelle du site pour une réduction significative du temps de chargement.
2. Mise en cache privée : mise en cache pour les utilisateurs connectés avec des règles spécifiques.
3. Mise en cache de REST API : accélération des requêtes de l’API REST de WordPress.
4. Mise en cache des fils RSS : mise en cache des flux RSS pour une récupération rapide.
5. Minification et combinaison des fichiers CSS, JavaScript et HTML : réduction de la taille des fichiers et du nombre de requêtes.
6. Cache objet persistant (support Redis et Memcached) : LiteSpeed Cache utilise Redis ou Memcached pour stocker les objets PHP en mémoire, réduisant les requêtes répétitives à la base de données et améliorant les performances du site. Pour cela, Redis ou Memcached doit être activé sur votre hébergement, sans quoi cette option sera sans effet.
7. Optimisation des images : compression et conversion des images en WebP pour une performance optimale.
8. Lazy load des images et iFrames : chargement différé des images et iFrames pour améliorer le temps de chargement initial.
9. Préchargement : préchargement intelligent des URLs basé sur le comportement des utilisateurs pour des temps de chargement optimaux.
10. Intégration CDN (Content Delivery Network) : support pour divers services CDN comme Cloudflare, QUIC.cloud, etc.
11. Edge Side Includes (ESI) : permet l’inclusion de contenus dynamiques dans des pages mises en cache.
12. Nettoyage de la base de données : nettoyage automatique des révisions de posts, des commentaires spam, des brouillons automatiques, etc.
13. Optimisation des tables : optimisation des tables de la base de données pour des performances améliorées.
14. Support de WooCommerce et autres plugins : optimisation spécifique pour WooCommerce et autres plugins majeurs.
15. Protection anti-DDOS et CAPTCHA : fonctionnalités de sécurité intégrées pour protéger contre les attaques.
16. Contrôle granulaire des paramètres : contrôle avancé des règles de cache, y compris le TTL (Time To Live) et les exclusions de cache.
17. Planificateur de tâches Cron : planification des tâches d’optimisation pour les heures de faible trafic.

En revanche, si votre hébergement web n’utilise pas la technologie LiteSpeed Cache, WP Rocket est une excellente alternative, quoique relativement onéreuse. La meileure alternative gratuite est selon moi WP Fastest Cache.

EWWW Image Optimizer

EWWW Image Optimizer n’est pas recommandé si vous utilisez les fonctionnalités d’optimisation d’images de LiteSpeed Cache, si ce n’est pour une une optimisation en masse ponctuelle. EWWW Image Optimizer vous permettra en effet de définir les dimensions maximum (largeur et hauteur) de vos images et de redimensionner en masse toutes vos images qui les excéderaient.

Autre point de vigilance, n’activez pas le lazy load (chargement différé) s’il est déjà activé dans votre plugin de cache. Cela pourrait en effet provoquer un “double lazy load”, néfaste (conflits entraînant des erreurs d’affichage, dégradation des performances).

Notez que les bonnes pratiques en termes d’optimisation d’images ne se limitent pas à l’utilisation d’un plugin, il est crucial de travailler vos images en amont (i.e. avant téléversement dans votre médiathèque). J’y consacre d’ailleurs un article détaillé.

Autres extensions en vrac

Nous avons vu les plugins qui me paraissent incontournables pour tout site WordPress, mais d’autres méritent selon moi toute votre attention même s’ils restent dispensables.

1. Easy Table of Contents : permet d’ajouter automatiquement une table des matières à vos articles de blog (voire à vos pages). Cela est fortement recommandé, d’une part pour améliorer l’expérience utilisateur, mais aussi pour améliorer votre SEO on-page.
2. Flexy Breadcrumb : permet d’ajouter un fil d’ariane via un shortcode aux pages et articles, facilitant la navigation et également conseillé pour le SEO.
3. Loco Translate : certains thèmes ou plugins ne sont pas entièrement traduits en français et des chaînes en anglais peuvent donc subsister sur votre site. Loco Translate vous permet d’ajouter les traductions manquantes.
4. Advanced Custom Fields : il est souvent très utile de définir des types de contenus et des champs personnalisés et tout particulièrement lorsque vous utilisez un constructeur de pages tel que Divi qui les prend en charge nativement. C’est d’ailleurs l’option que j’ai retenue pour réaliser mon portfolio : Réalisations. Advanced Custom Fields est parfait pour cela, même dans sa version gratuite.
5. Matomo Analytics – Ethical Stats. Powerful Insights : Matomo est un outil de suivi de trafic web, vous trouverez davantage d’informations à ce sujet dans cet article : Matomo Analytics : une alternative sérieuse à Google Analytics. Si vous ne disposez pas d’une instance Matomo, l’utilisation du plugin conviendra parfaitement.
6. WP Mail SMTP : ce plugin améliore la délivrabilité de vos emails en utilisant les paramètres de votre serveur SMTP plutôt que la fonction mail standard de PHP. Il sera tout particulièrement recommandé dans le cas d’un site e-commerce si vous souhaitez être certain que vos emails de suivi de commandes parviennent bien à vos clients.

Conclusion

Je me suis efforcé d’établir une liste complète des plugins WordPress qui me semblent indispensables. Cependant, le répertoire officiel de WordPress est extrêmement fourni, il est donc impossible de tous les connaître. Peut-être avez-vous des préférences différentes des miennes ? N’hésitez pas à les partager en commentaire !