Installez et configurez WordPress
En résumé
Il vous faut récupérer les fichiers d'installation de WordPress pour pouvoir l'installer. Vous pouvez télécharger l'archive de WordPress à cette adresse. Ensuite, il faut la décompresser et mettre en ligne les fichiers sur votre serveur grâce à un client FTP. Vous pouvez télécharger le logiciel Filezilla, le client FTP dont je parle dans cette vidéo, à cette adresse.
En vous rendant sur l'adresse de votre site, vous allez ensuite devoir renseigner les informations d'accès à la base de données : ces éléments ont été fournis par votre hébergeur. Pour des raisons de sécurité, changez le préfixe des tables.
Ça y est ! WordPress est installé ! Il ne vous reste plus qu'à choisir un titre pour votre site (que vous pourrez changer par la suite) et créer un compte d'administration.
Annexes
Installer WordPress sur votre ordinateur
Comme nous l'avons vu dans la vidéo, pour pouvoir installer WordPress, il faut disposer d'un serveur web et d'une base de données (MySQL). Il est néanmoins possible d'installer WordPress sur votre ordinateur directement (on appelle cela "en local").
Pour cela il est nécessaire d'installer sur votre ordinateur un logiciel permettant de créer le serveur et la base de données. Il existe plusieurs logiciels de ce type mais nous allons nous concentrer ici sur la gamme AMP (pour Apache MySQL PHP). Selon votre système d'exploitation, il en existe plusieurs : WAMP, MAMP, XAMPP, etc.
Je vais détailler ici l'utilisation de WAMP qui s'utilise sous Windows (le W de Windows) mais la logique est similaire sur tous les autres, même si l'interface diffère légèrement.
WAMP
Commencez par récupérer le programme à cette adresse : http://sourceforge.net/projects/wampserver/ (le téléchargement prend quelques secondes après avoir cliqué sur 'download' ) et installez-le. Sur windows il s'agit d'un fichier exécutable (.exe) et il suffit de double cliquer dessus et de suivre les instructions.
Notez bien le répertoire dans lequel vous allez installer WAMP, car sera important plus tard.
Le chemin par défaut de ce dossier estC:\wamp.
Si tout se passe comme prévu, vous disposez maintenant d'un répertoire WAMP sur votre ordinateur. Ouvrez le à l'aide de votre explorateur Windows.
Ce dossier contient lui-même un répertoire www qui est l'équivalent du répertoire du même nom dont je parle dans la vidéo : c'est le dossier qui contient l'ensemble des fichiers qui seront gérés par votre serveur web.
Pour éviter d'écraser les fichiers existants et pour pouvoir travailler sur plusieurs projets, je vous conseille de créer un répertoire qui contiendra votre installation de WordPress et dans lequel vous décompressez les fichiers, comme indiqué dans la vidéo.
Ce qui donnera par exemple : C:\wamp\www\MonSuperSite
Lorsque vous lancez WAMP (depuis le menu Démarrer ou depuis son répertoire d'installation en double cliquant sur le fichier 'wampmanager.exe'), vous devez voir une icône comme celle ci-dessous dans la barre des tâches.
L'icône indiquant que le serveur n'a pas encore démarré
Si l'icône est rouge, il vous suffit de faire un clic gauche dessus et de choisir l'option "Start All Services".
Démarrer les services de WAMP
En ouvrant votre navigateur et en vous rendant à l'adresse IP 127.0.0.1 vous arriverez sur la page d'accueil de WAMP.
Pour vous rendre à cette adresse, il vous suffit de taper dans la barre d'adresse de votre navigateur :
127.0.0.1
ou le mot localhost
La page devrait ressembler à celle-ci : sur mon écran, j'ai deux projets accessibles, Exam1et Exam2 ; vous, vous devriez voir dans la partie "Vos Projets" le nom du répertoire que vous avez créé précédemment (MonSuperSite dans l'exemple).
Page d'accueil de WAMP
Création de la base de données
La dernière étape consiste à créer la base de données que vous allez pouvoir connecter à votre WordPress.
Pour cela rendez-vous dans PHPMyAdmin (en faisant un clic gauche sur l'icône de wamp en bas à droite de votre écran ou en tapant dans la barre d'adresse de votre navigateur : http://127.0.0.1/phpmyadmin/).
Lancement de phpMyAdmin.
Votre navigateur affiche désormais la page d'authentification de phpMyAdmin.
Page d'authentification de phpMyAdmin.
Par défaut, contrairement à ce que vous trouverez chez un hébergeur, le login est 'root' et il n'y a pas de mot de passe. Il suffit d'appuyer sur 'Entrée' ou cliquer sur 'Exécuter' pour passer à la page suivante.
Il est bien sûr possible de changer cela et d'ajouter un mot de passe par la suite si vous le souhaitez.
Dans ce nouvel écran, cliquez sur l'onglet "Base de données" en haut à gauche puis de choisir un nom ("mon-blog", "mon-site-wordpress"...) – l'important étant de s'en souvenir au moment de la configuration de WordPress – et cliquez sur Créer.
Création d'une nouvelle base de données.
Et voilà !
Il vous reste à copier les fichiers de WordPress contenu dans le fichier ".zip" que vous avez téléchargé à cette adresse dans le répertoire que vous avez créé. Dans l'exemple il s'agissait du répertoire C:\wamp\www\MonSuperSite
Vous retrouverez votre site en tapant directement dans la barre d'adresse de votre navigateur : 127.0.0.1/MonSuperSite (en remplaçant, "MonSuperSite" par le nom du répertoire que vous avez créé).
Il ne vous reste plus qu'à reprendre la lecture de la vidéo à partir de 2'00" !
Les bonnes pratiques de sécurité
Mises à jour
Le premier point, et peut-être le plus important, lorsque vous voulez sécuriser votre site WordPress est de le maintenir à jour. Il n'y a pas grand-chose à faire : WordPress vous indique ce qui est à jour et ce qui ne l'est pas et vous propose d'installer les mises à jour automatiquement.
Passez régulièrement dans votre interface d'administration et acceptez les mises à jours proposées !
Le fichier .htaccess
Vous pouvez ensuite refuser l'accès aux fichiers du dossier de configuration de WordPress. Pour cela, il faut ajouter un fichier.htaccess à la racine de votre site : il permettra de contrôler les accès aux différents fichiers et répertoires de votre site.
Ce fichier existe certainement déjà : il vous suffit alors de l'éditer avec l'éditeur de texte de votre choix (Notepad++, gedit, Bloc-notes, etc.) et d'y ajouter les lignes ci-après avant son contenu.
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Options All -Indexes
<Files .htaccess>
order allow,deny
deny from all
</Files>
Si le fichier n’existe pas déjà, créez un nouveau fichier texte dans un éditeur de texte ajoutez-y les lignes précédentes. Enregistrez le fichier sous le nom.htaccess. Si votre éditeur ne le permet pas, enregistrez le fichier sous le nom fichier.htaccess puis renommez-le pour supprimer le mot fichier.
Le point devant .htaccess est très important !
Plugins
Il existe de (très) nombreux plugins pour sécuriser votre site WordPress, mais je vous en conseille deux spécifiquement :
Login Lockdown : pour limiter le nombre d'essais possibles lorsque l'on essaye de se connecter à la partie administration et que l'on se trompe de mot de passe.
Theme Authenticity Checker : pour vérifier le code des thèmes que vous pourrez installer sur votre CMS.
Je vous explique comment installer un plugin dans le dernier chapitre de la deuxième partie de ce cours.
Readme.html
Dans votre FTP, supprimez le fichierreadme.html. C'est tout bête, mais il donne beaucoup d'informations à quelqu'un qui souhaiterait attaquer votre site !
Function.php et Header.php
Je vous explique comment utiliser l'éditeur de WordPress dans le dernier chapitre de la deuxième partie de ce cours.
À partir de l'éditeur de WordPress, ouvrez la pagefunction.php de votre thème et ajoutez les lignes suivantes :
add_filter('login_errors', create_function('$a', "return null;"));
remove_action('wp_head', 'wp_generator');
Faites de même avec le fichier header.php et supprimez la ligne :
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
Sauvegardes
Malgré ces précautions, on ne peut pas empêcher totalement le risque d'attaque.
Il est également possible (et plus fréquent !) de faire une erreur et de perdre des informations.