Les avantages d’un hébergement optimisé WordPress

Oui, tout ça pour ça, vous pouvez arrêter votre lecture ici si vous vouliez lire que WordPress était un CMS inconnu et incroyable nécessitant des compétences inconnues et incroyables. 

Si vous voulez connaître des pré-requis techniques d’hébergement WordPress et des points de vigilance sur les hébergements WordPress / WooCommerce, continuez votre lecture !

Les pré-requis techniques pour WordPress :

Très simple, il faut un nom de domaine, un serveur de fichiers (100Mo+) tournant en PHP8+ et une base de données SQL.

Mais quel dimensionnement optimal pour mon hébergement WordPress ?

« Ma bonne dame, mais ça dépend ! »
Voici les variables à prendre en compte pour bien dimensionner votre hébergement WordPress :

Dimensionnement d'un hébergement pour WordPress : Les variables clés

Le dimensionnement d'un hébergement pour WordPress est une étape cruciale pour garantir des performances optimales. Plusieurs variables doivent être prises en compte :

1. Trafic attendu : Estimez le nombre de visiteurs quotidiens. Un site à fort trafic nécessitera davantage de ressources CPU et RAM.
2. Complexité du site : Un site avec de nombreux plugins, thèmes lourds ou des fonctionnalités personnalisées sollicitera davantage la base de données, nécessitant un MySQL performant.
3. Taille du contenu : Les sites riches en médias (images, vidéos) requièrent un espace de stockage conséquent et une bande passante élevée.
4. Redondance et disponibilité : Pour une haute disponibilité, envisagez des solutions comme l'équilibrage de charge ou des architectures multi-serveurs.
5. Version PHP : WordPress fonctionne mieux avec PHP 8.1 ou supérieur. Assurez-vous que l'hébergeur supporte ces versions.
6. Système de cache : Un système comme Varnish ou Memcached peut réduire la charge serveur en stockant les pages fréquemment demandées.
7. Sécurité : Privilégiez les hébergeurs proposant des solutions de pare-feu, de protection DDoS et des certificats SSL.
8. Localisation du data center : Choisir un centre de données proche de votre audience cible réduit la latence.

En somme, le choix d'un hébergement pour WordPress doit être basé sur une évaluation précise des besoins actuels et futurs du site, tout en anticipant les évolutions technologiques et les exigences de sécurité.

Non mais c’est pareil que pour WordPress. Sabre de bois. 
OK, WooCommerce veut dire e-commerce donc plus gros enjeux et sans doute des contraintes additionnelles en termes de disponibilité, de vitesse d’exécution des tâches ou de capacité de traitement de la BDD (base de données.) Mais c’est le même système, WooCommerce est une extension de WordPress.

Voici quelques exemples de solutions et modules qui vous permettront d’améliorer la vitesse de votre WordPress depuis votre hébergement :

• Serveur HTTP/2 : Adopter le protocole HTTP/2, par rapport à son prédécesseur HTTP/1.1, permet une meilleure multiplexation, réduisant ainsi la latence. Des serveurs comme NGINX ou Apache, dans leurs versions récentes, supportent ce protocole.
   
• PHP et MySQL : Assurez-vous d'utiliser les versions les plus récentes de PHP  et MySQL.
   
• OPcache : Activez l'OPcache pour précompiler le code PHP, réduisant ainsi le temps d'exécution des scripts. Des outils comme Zend OPcache peuvent être configurés pour cette tâche.
   
• Optimisation de la base de données : Utilisez des plugins comme WP-Optimize pour nettoyer régulièrement votre base de données, en supprimant les révisions inutiles, les transitoires expirés et les tables orphelines.
   
• Serveur dédié ou VPS : Pour les sites à fort trafic, envisagez de migrer vers un serveur dédié ou un VPS. Chez Les Vikings, nous avons des VPS optimisés pour les WordPress et WooCommerce, en mensuel sans engagement !
   
• Tuning du serveur : Ajustez les paramètres de votre serveur, comme le max_execution_time ou le memory_limit, pour qu'ils soient adaptés à la charge de votre site.
   
• MariaDB : Considérez l'utilisation de MariaDB comme alternative à MySQL. MariaDB est une bifurcation de MySQL qui offre des performances améliorées et de nouvelles fonctionnalités.
   
• Nginx Reverse Proxy : Si vous utilisez Apache comme serveur web, envisagez d'ajouter Nginx comme reverse proxy. Cela permet de gérer efficacement les connexions entrantes et de servir du contenu statique plus rapidement.
   
• Memcached ou Redis : Ces systèmes de mise en cache en mémoire peuvent accélérer les requêtes de base de données et réduire la charge sur le serveur. Ils sont particulièrement utiles pour les sites avec un trafic élevé.
   
• Varnish Cache : C'est un accélérateur d'application web qui peut être installé devant n'importe quel serveur HTTP. Il cache le contenu et le sert aux visiteurs, réduisant ainsi la charge sur le serveur d'origine.
   
• Fail2Ban : Bien que principalement utilisé pour la sécurité, Fail2Ban peut améliorer les performances en bloquant les adresses IP qui génèrent des requêtes suspectes ou malveillantes, réduisant ainsi la charge inutile.
   
• ConfigServer Security & Firewall (CSF) : C'est à la fois un pare-feu et une suite de sécurité qui peut aider à protéger votre serveur contre les attaques tout en optimisant les performances.
   
• Mod_deflate et Mod_expires : Ces modules Apache permettent respectivement de compresser le contenu avant de l'envoyer au navigateur et de définir des en-têtes d'expiration pour le contenu statique, réduisant ainsi le temps de chargement.
   
• PHP-FPM (FastCGI Process Manager) : Il s'agit d'une alternative robuste et performante à FastCGI pour PHP, permettant de gérer des pools de processus PHP.
   
• Tweaks au niveau du système : Augmentez les limites de fichiers ouverts, ajustez les paramètres TCP (comme tcp_fin_timeout et tcp_tw_reuse), et optimisez d'autres paramètres du noyau pour améliorer les performances.
   
• Optimisation des requêtes SQL : Utilisez des outils comme le "Slow Query Log" pour identifier et optimiser les requêtes SQL qui prennent beaucoup de temps.
   
• Let's Encrypt avec OCSP Stapling : Si vous utilisez le SSL, l'OCSP Stapling peut accélérer la négociation SSL en attachant la réponse OCSP à la poignée de main initiale, réduisant ainsi le temps nécessaire pour établir une connexion sécurisée.
   
• Mod_pagespeed : Développé par Google, ce module Apache (également disponible pour Nginx) automatise plusieurs optimisations, comme la minification des ressources, la mise en différé du JavaScript, et l'optimisation des images.
   
• OPcache : C'est un cache d'opcode pour PHP qui stocke le bytecode précompilé de PHP en mémoire, évitant ainsi le coûteux processus de compilation à chaque requête.
   
• Brotli : C'est un algorithme de compression développé par Google, similaire à gzip, mais offrant de meilleurs taux de compression pour le web.
   
• LiteSpeed Cache : Si vous utilisez le serveur web LiteSpeed, ce module de mise en cache peut considérablement accélérer les performances de WordPress, Magento, Joomla, et d'autres applications.
   
• APCu : C'est un cache de données utilisateur pour PHP, permettant de stocker des données PHP en mémoire pour des accès rapides.
   
• Mod_qos : Ce module Apache permet de contrôler et de limiter l'utilisation des ressources par les clients, protégeant ainsi votre serveur contre les surcharges.
   
• KeepAlive : Bien que ce soit une configuration plutôt qu'un module, l'activation de KeepAlive permet de réutiliser les connexions TCP pour plusieurs requêtes HTTP, réduisant la latence.
   
• HTTP/3 avec QUIC : C'est la dernière version du protocole HTTP qui utilise QUIC (un protocole de transport multiplexé, sécurisé) pour réduire la latence.
   
• ImageMagick : C'est une suite logicielle pour créer, éditer et composer des images bitmap. Elle peut être utilisée pour optimiser et compresser des images directement depuis le serveur.
   
• Elasticsearch : Pour les sites avec une grande quantité de contenu ou des fonctionnalités de recherche avancées, Elasticsearch peut accélérer les requêtes de recherche.
   
• Prefetch, Preconnect, Preload : Ces directives permettent au navigateur de charger des ressources ou d'établir des connexions avant qu'elles ne soient nécessaires, améliorant ainsi la perception de la vitesse.
   
• TTFB Optimizer : Réduire le Time to First Byte (TTFB) est crucial. Des outils comme TTFB Optimizer peuvent aider à identifier et à corriger les goulots d'étranglement.

Enfin, le plus simple, c’est sans doute de nous contacter !
Parce que tout ça, on l’a déjà dans nos hébergements optimisés WordPress ! (Pas tout, enfin, ça dépend, c’est optimisé selon les situations quoi !)

Ca fait beaucoup de texte. Une petite illustration pour respirer avant de repartir à la guerre.

Un hébergeur, ce n’est pas que le propriétaire d’une machine. Enfin, pas dans notre conception de la mission d’hébergement, WordPress ou autre.

Héberger, c’est avoir la responsabilité de la partie logicielle de la machine, ce qu’on appellera souvent « l’infogérance.» Cela va concerner par exemple, pour WordPress, du PHP et du SQL

PHP

PHP, par exemple, a vu plusieurs mises à jour majeures ces dernières années. Passer de PHP 5.6 à PHP 7.4 peut offrir une amélioration de performance allant jusqu'à 50%. Passer de PHP 7.4 à PHP 8.1, peut permettre d’avoir une amélioration des performances de x1.5 ou x2 sur certains temps d’exécution notamment à longue durée.

Et passer de PHP 5.6 à PHP 8.1 ? Non mais, si votre site est en PHP 5.6, faut nous contacter d’urgence, parce que PHP 5.6 n’est plus supporté officiellement depuis le 1er janvier 2019.

Bref. En tant qu’hébergeur, on s’occupe de la version PHP de votre serveur, mais nous pouvons également vous accompagner pour la montée en version PHP de votre site e-commerce ou web pour améliorer ses performances.

MySQL

MySQL, de son côté, avec sa version 8.2, a introduit des fonctionnalités améliorant la gestion des bases de données pour des sites à fort trafic.

Garder ces composants à jour n'est pas seulement une question de performance. Chaque nouvelle version apporte des correctifs de sécurité essentiels. Un site sous PHP 5.6, par exemple, est vulnérable à des attaques depuis 4 ans.

De plus, les plugins WordPress sont souvent optimisés pour les versions récentes de PHP et MySQL. Utiliser une version obsolète peut donc entraîner des incompatibilités, comme un plugin e-commerce ne fonctionnant pas correctement avec une ancienne version de MySQL et vous empêchant d’enregistrer vos données – ce qui est fâcheux en e-commerce.

Allez, 15 solutions et techniques pour améliorer la sécurité de votre hébergement WordPress WooCommerce :

• Fail2Ban : Cet outil surveille les journaux d'accès pour détecter les tentatives de connexion échouées et bloque automatiquement les adresses IP suspectes.
   
• ModSecurity : Un pare-feu d'application web (WAF) pour Apache et Nginx qui bloque les requêtes malveillantes avant qu'elles n'atteignent votre application.
   
• Suhosin : Une extension avancée pour PHP qui protège contre un grand nombre d'attaques connues sur les applications PHP.
   
• Chroot : Isoler les environnements des utilisateurs pour qu'ils ne puissent pas voir ou interagir avec d'autres comptes sur le même serveur.
   
• Certbot : Pour obtenir et renouveler automatiquement les certificats SSL/TLS de Let's Encrypt, garantissant des connexions sécurisées.
   
• ClamAV : Un antivirus open-source qui peut être utilisé pour scanner régulièrement le serveur à la recherche de malwares.
   
• ConfigServer Security & Firewall (CSF) : Un pare-feu avancé qui offre une interface pour gérer les règles iptables.
   
• Rkhunter & Chkrootkit : Outils qui scannent votre serveur à la recherche de rootkits, permettant une détection précoce des compromissions.
   
• Mise à jour régulière : Assurez-vous que tous les composants du serveur, y compris PHP, MySQL, Apache, et autres, sont régulièrement mis à jour pour éviter les vulnérabilités connues.
   
• Restrictions d'accès : Limitez l'accès à l'administration de WordPress par IP ou utilisez des méthodes d'authentification à deux facteurs.
   
• Désactivation de XML-RPC : Si vous n'en avez pas besoin, désactivez XML-RPC pour éviter les attaques par force brute.
   
• Backup régulier : Mettez en place des solutions de sauvegarde automatique comme rsnapshot ou BorgBackup pour avoir des copies régulières de votre site.
   
• Séparation des bases de données : Utilisez des serveurs de bases de données distincts ou des conteneurs pour isoler les données et limiter les risques.
   
• Permissions strictes : Assurez-vous que les fichiers et répertoires ont les permissions appropriées, évitant les permissions d'écriture inutiles.
   
• Monitoring : Utilisez des outils comme Logwatch ou GoAccess pour surveiller les journaux et être alerté en cas d'activité suspecte.

Si vous avez réussi à lire jusqu’ici… Vous êtes vraiment tenace. Grande qualité.

Bon, un site internet WordPress ou WooCommerce ou Prestashop ou Magento ou n’importe quoi, ça se sauvegarde.

On passe du temps sur ces petites choses, on produit du contenu, on se crée des bases de données, des process commerciaux et autres automatisations, on gère des commandes voire des business entiers. Donc. Ca se sauvegarde, et bien.

Les solutions ne sont pas importantes, ce qui compte pour bien sauvegarder votre WordPress :

• La sauvegarde doit passer par l’hébergement et non par l’applicatif
  Ben oui, si l’applicatif est sauvegardé, c’est en cas de piratage. Donc si c’est l’applicatif qui est en charge de la sauvegarde… [Erreur fatale]
   
• La sauvegarde doit être distante. 
  Cela veut dire qu’elle doit être hébergée ailleurs que sur l’instance qui héberge le site. C’est prévu dans nos offres d’hébergement optimisées WordPress.
   
• La sauvegarde doit être quotidienne
  Même plusieurs fois par jour dans le cas des e-commerce. Des sauvegardes incrémentales / incrémentielles quotidiennes et une sauvegarde complète hebdomadaire par exemple. Avec un arriéré de plusieurs semaines (oui, on est pas forcément averti d’une corruption de données ou d’un piratage dans la minute !) Et il faut bien garder plusieurs versions des sauvegardes.
   
• Tester les sauvegardes (évitez l’effet Sauvegarde WordPress de Schrödinger) 
  Votre WordPress est sauvegardé, c’est impeccable. Vérifiez. Les incidents sont rares, si vous mettez en place votre sauvegarde, que ce n’est jamais testé et que vous en avez besoin dans 3 ans… Quitte ou double. J’aime pas le quitte ou double en e-commerce bizarrement.
   
• Chiffrez vos sauvegardes
  OpenSSL par exemple, mais des sauvegardes chiffrées c’est quand même mieux (les sauvegardes aussi peuvent se faire pirater.)
   
• Automatisez la sauvegarde
  La base, c’est de travailler avec un opérateur qui sauvegarde automatiquement vos sites WordPress et autres. Mais c’est pas ce qu’on fait chez Les Vikings ? Mais si, absolument. Et tout le reste aussi.

On va imaginer qu’on a un WordPress costaud à faire tourner. Plusieurs dizaines de milliers de visiteurs par mois avec des pics chaque jour. Des pics, donc une sollicitation plus importante que si le trafic est lissé.

Serveur dédié haute performance :

• CPU : Intel Xeon-E 2288G - 8c/16t - 3.7 GHz/5 GHz
• RAM : 64 Go DDR4 ECC 2666 MHz
• Stockage : 2 x 960 Go SSD NVMe en RAID 1 (pour la redondance et la rapidité d'accès aux données)
• Bande passante : 1 Gbps avec trafic illimité (idéal pour un site à fort trafic)

Caractéristiques supplémentaires :

• Version PHP : PHP 8.1
• Base de données : MySQL 8.2 avec optimisation InnoDB pour une meilleure performance des requêtes.
• Système de cache : Varnish Cache pour le cache HTTP et Redis pour le cache d'objet.
• Sécurité : Pare-feu configuré avec Fail2Ban et ModSecurity. Protection DDoS avancée. Certificat SSL Let's Encrypt pour une connexion sécurisée.
• Localisation du data center : Selon la cible principale du groupe, par exemple, un data center en Europe (Strasbourg ou Paris) si la majorité de l'audience est européenne.

Services supplémentaires :

• Monitoring : Utilisation de solutions comme Nagios ou Prometheus pour surveiller en temps réel les performances et la santé du serveur. En interne nous avons une solution nommée Vikings Central qui nous permet de monitorer nos actions tant côté accompagnement e-commerce sur WordPress que côté parc serveur, en remontant les informations de différentes sondes et en détectant les erreurs 4xx et 5xx
• Sauvegardes : Sauvegardes quotidiennes, stockées dans un emplacement distant pour plus de sécurité.
• CDN : Intégration avec Cloudflare ou Akamai pour une distribution rapide du contenu à l'échelle mondiale.

De 30€ HT / mois à [infini]€ HT / mois

Si vous avez un site WordPress naissant qui vient d’être crée, franchement, la configuration serveur qu’on vient de voir là, c’est overkill (j’adore ce mot.) 
Cette configuration en serveur dédié tournerait autour de 250€ HT / mois, avec pondération selon les tâches que nous aurions à accomplir en infogérance / devOps.

Nous avons des VPS optimisés pour WordPress qui permettent d’avoir la plupart des avantages cités précédemment mais pour 30€ HT / mois, sans engagement. 
Ca vaut le coup d’en parler, non ?