La balise canonical est une arme contre la duplication de contenu des sites internet. Elle s’insère dans l’entête des pages html de cette façon:
<head>
...
<link rel="canonical" href="https://aide-memoire.blog-machine.info" />
...
</head>

Son principe est simple: Si plusieurs pages ont un contenu dupliqué ou très proche, vous indiquez grâce à cette balise que ces contenus se rapportent à une seule et même page, celle spécifiée dans la balise canonical.

Cette balise peut donc être utilse pour se prémunir du scrapping, ou gérer des problèmes d’url multiples.

J’ai cherché longtemps sur WordPress un plugin capable de mettre en place simplement des balises canonical, et je n’en ai pas trouvé. Les seuls plugins susceptibles de faire ça sont des plugins SEO qui font une multitude d’autres choses en même temps. C’est le genre de plugin « tout-en-un » que je déteste car on en perd vite le contrôle tant ils sont « trop » complets…

J’ai fini par trouver sur un site chinois un petit script PHP, à mettre dans le fichier functions.php de votre thème WordPress, qui vous intégrera automatiquement des balises canonical sur toutes les pages de votre blog:

function any_head_canonical( $output = '' ){
if( is_home() ){$output = home_url( '/' ); }
if( is_category() ){ global $cat; $output = get_category_link($cat); }
if( is_tag() ){ global $tag_id; $output = get_tag_link($tag_id); }
if( is_page() ){ global $page_id; $output = get_page_link($page_id); }
if( is_single() ){ $output = get_permalink(); }
if( $output != '' ){ echo '<link rel="canonical" href="',$output,'">'; }
}
add_action('wp_head', 'any_head_canonical');

Source: https://seonoco.com/1290 (site en chinois)

Je vous en parlais il y a peu de temps, un des meilleurs moyens de sécuriser l’espace admin de WordPress est d’en changer l’URL. Mais il existe une autre porte d’accès, que vous ne connaissez peut-être pas, mais qu’un hacker peut utiliser pour pirater votre site: l’API WordPress XML-RPC.

Cette API permet a des programmes tiers de se connecter à votre blog pour éventuellement en modifier le contenu. C’est par exemple le cas des applications mobiles WordPress qui offrent une interface plus adaptées au écrans tactiles que l’admin web WordPress. Pour vous afficher les données de votre sites, ces applications utilisent XML-RPC.

L’URL de cette API est toujours la même: www.adressedevotreblogwordpress.com/xmlrpc.php. Il est donc aisé pour les pirate de passer par là pour tenter une attaque bruteforce (essayer de se connecter avec de nombreux login/mots de passe).

Alors, si vous n’utilisez pas de logiciels tiers pour accéder à votre blog, je vous conseille de désactiver XML-RPC. Seulement voilà, c’est encore une lacune de WordPress, il n’y a pas d’option pour désactiver ça. Il faut passer par un plugin. Il en existe de nombreux, en voici un:

Télécharger QR-Code

Manage XML-RPC

Développeur: brainvireinfo

Prix: Gratuit

Manage XML-RPC va vous ajouter un menu « XML-RPC setting » dans lequel vous pourrez désactiver XML-RPC (cochez les 2 options « Disable XML-RPC ») ou n’autoriser que certaines adresses IP à se connecter à votre API WordPress.

Utiliser un plugin WordPress n’est pas le seul moyen pour couper l’accès à XML-RPC, mais c’est probablement le plus simple à mettre en place. Voici d’autres méthodes alternatives:

– Supprimer le fichier xmlrpc.php en FTP. Inconvénient: celui-ci reviendra surement lors de la prochaine mise à jour de WordPress…

– Modifier le virtualhost de votre serveur en y ajoutant les lignes suivantes, juste avant </VirtualHost>:
<files xmlrpc.php>
order allow,deny
deny from all
</files>


– Ajouter ces lignes dans le fichier .htaccess de votre WordPress
<files xmlrpc.php>
order allow,deny
deny from all
</files>


Il y a de nombreuses méthodes pour hacker un site. L’une d’entre elle est ce qu’on appelle l’attaque bruteforce qui consiste à utiliser un « dictionnaire » de noms d’utilisateurs et de mots de passe dans les formulaires de connexion des espaces d’administration. C’est la raison pour laquelle il faut éviter d’utiliser des login et mots de passe trop évident, et trop courts…

Auparavant, le nom d’utilisateur par défaut de WordPress était tout simplement « admin ». Autant vous dire que ça facilitait la tache des hackers qui n’avaient plus qu’a trouver le mot de passe… D’ailleurs, si vous utilisez encore le login admin, je vous conseille d’aller vite le modifier…

Mais pour être vraiment tranquille, pourquoi ne pas tout simplement changer l’adresse de la page de connexion à l’admin? C’est un fonctionnalité que certains CMS proposent, mais hélas pas WordPress…

C’est pour palier à ce manque qu’a été créé le plugin Lockdown WP Admin. Il vous permettra de rendre indisponible les adresses connues que sont /wp-admin/ et /wp-login.php afin de mettre l’adresse de votre choix à la place.

Télécharger QR-Code

Lockdown WP Admin

Développeur: Sean Fisher

Prix: Gratuit

Si vous utilisez WordPress pour des choses un peu plus avancées que du blogging de base, vous avez surement dû ajouter 2 ou 3 trucs dans le fichier functions.php de votre thème WordPress.

Mais si vous êtes du genre à changer la déco régulièrement, il faudra que vous copiiez à chaque fois les fonctions ajoutées dans le fichier functions.php de votre ancien thème vers celui du nouveau…

Pour éviter cela, il y a une astuce: Mettre les ajouts de functions.php dans un plugin. Comme ça, les thèmes passent, les plugins restent…

Nous allons donc créer un plugin WordPress de base. Rien de plus simple, il suffit de mettre un fichier php de n’importe quel nom dans le répertoire wp-content/plugins/
Dans ce fichier vous mettez juste
<?php
/*
Plugin Name: Le nom de votre plugin perso
*/
//Là, vous mettez vos ajouts de functions.php
?>

Et c’est tout! Vous n’avez plus qu’a activer le plugin dans l’admin de WordPress, vous supprimez bien ce que vous aviez dans functions.php (sinon ça fera doublon, forcement…), et ça roule…

Si vous voulez, vous pouvez mettre une entête un peu plus complète au debut du fichier de votre plugin. Ce n’est pas obligatoire, mais c’est plus joli…
<?php
/*
Plugin Name: Le nom de votre plugin perso
Description: Mon plugin perso qui remplace un morceau de functions.php
Author: David
Version: 1.0
*/
//Là, vous mettez vos ajouts de functions.php
?>

Si comme moi vous utilisez beaucoup WordPress, et surtout avec de nombreux plugins, vous vous êtes peut-être déjà posé la question « Mais pourquoi est-on limité à 2 colonnes dans l’interface d’admin pour l’édition des articles? ». C’est vrai, si on a de nombreux blocs à afficher, ça peut vite faire une page assez longue… Et on ne voit plus tout du premier coup d’oeil.
C’est d’autant plus regrettable que les écrans d’ordinateurs sont de plus en plus grands, et surtout plus larges…

Alors au lieu d’attendre une possible évolustion de WordPress, je me suis mis en quête d’un plugin… Je n’en ai trouvé qu’un seul permettant de passer a un affichage 3 colonnes dans l’éditeur de billets de WordPress. Son nom est justement « Three Column Screen Layout ».

Il propose de nombreux arrangements possibles sur la base de 3 colonnes… plus ou moins larges… ou en partageant en 2 la colonne sous l’éditeur de texte… Bref, c’est très souple, simple a utiliser, et ça permet de garder un maximum d’informations au dessus de la barre de flottaison qu’est le bas de l’écran?

Télécharger QR-Code

Three Column Screen Layout

Développeur: Chad Hovell

Prix: Gratuit

Depuis déjà quelques temps, WordPress applique de lui-même ses mises à jours mineures sans que vous n’ayez rien à faire. Vous ne le savez peut-être pas, mais il est possible d’appliquer le même processus aux mises à jours des extensions.
Pour ne plus avoir à vous soucier de mettre à jour vous-même les extensions de votre blog WordPress, il suffit de rajouter la ligne suivante dans le fichier functions.php de votre thème:

add_filter( 'auto_update_plugin', '__return_true' );

Mais vous pensez bien qu’il n’est pas anodin que WordPress n’active pas cette option par défaut! En effet WordPress ne développant lui-même les extensions, il ne peuvent pas savoir quel effet aura la mise à jour d’un extension sur votre blog, car au pire, ça peut tout casser! 😉
Les mises à jours sont pourtant importantes, car la plupart des hackers passent par des failles dans des plugins non mis à jour pour s’introduire dans des blogs WordPress…

C’est pourquoi je vous propose également le plugin WordPress Mail On Update.

Ce petit plugin vous avertira par email dès la mise à jour d’une extension est disponible, afin que vous veniez la faire vous-même. C’est le genre de petit truc très pratique qu’il faudrait intégrer par défaut dans WordPress… (message aux développeurs)

Télécharger QR-Code

mail-on-update

Développeur: Sven Kubiak, Matthias Kindler

Prix: Gratuit

Bref, vous avez le choix: Si vous êtes du genre à ne pas avoir le temps de faire les mises à jours vous-même, je vous conseille les mises à jours automatiques, sinon plutôt le plugin Mail On Update qui vous avertira de venir le faire…

Vous ne le savez peut-être pas, mais WordPress fait du ménage tout seul: En effet, WordPress supprime automatiquement tout ce qui est dans la corbeille plus de 30 jours, c’est valable aussi bien pour les pages et les articles que les commentaires.

Personnellement, il m’est arrivé d’utiliser la corbeille comme une sorte d’archivage, pour y mettre des articles que je voulais garder dans un coin, mais que je ne comptais pas mettre en relecture… Et zou, disparus!

Pour éviter que cela se produise, il existe un petit bout de code à ajouter dans le fichier functions.php de votre thème WordPress:

function my_remove_schedule_delete() {
    remove_action( 'wp_scheduled_delete', 'wp_scheduled_delete' );
}
add_action( 'init', 'my_remove_schedule_delete' );

Concrètement, ça enlève l’action planifier de vidage de la corbeille, intégré par défaut dans WordPress.

Pour ceux qui ne savent pas ce qu’est un suffixe ordinal, il s’agit du « er » de « 1er » en français, ou du « st » de « 1st » en anglais.

WordPress est capable de les géré, mais uniquement en anglais. Ca lui vient directement du langage PHP qui a une fonction pour ça, mais ça ne marche qu’en anglais. Pas de version française.

Par chance, en français, il n’y a que le premier jour du mois qu’on appelle « premier », alors qu’on utilise les nombres pour les autres jours. Ca simplifie bien les choses.

Du coup, il suffit de voir si c’est le premier jour du mois pour lui coller un « er »! 🙂

<?php
//on affiche le jour de la semaine et le jour du mois
//si vous ne voulez pas le jour de la semaine, enlevez le "l"
the_time('l j');
//on detecte si c'ets le premier jour du mois, et on lui met "er" le cas échéant
if (get_the_time('j')==1) echo "er";
//et on termine en affichant le mois (en lettre) et l'année (sur 4 chiffres)
the_time(' F Y');
?>