Côté hébergeur (O2switch)

• Tiger Protect / TigerGuard : protections serveur d'O2switch (anti-malware, surveillance). Activez-les.
• Sauvegardes wpTiger : sauvegardez le site avant toute manip importante, et planifiez des sauvegardes régulières.
• Options de sécurité wpTiger : ex. « Masquer les auteurs ».

Côté WordPress

La sécurisation fine se fait avec une extension dédiée : voir le Guide 4 · Sécurité AIOS (pare-feu, anti-force brute, 2FA, renommage de la page de connexion).

Installez l'extension LiteSpeed Cache dans WordPress : cache serveur, optimisation des images et des fichiers. C'est le combo cache + hébergement le plus efficace chez O2switch, et un vrai bonus SEO.

• Finalité : collecter pour une raison précise et annoncée.
• Minimisation : seulement les données vraiment nécessaires.
• Transparence : dire qui collecte quoi, pourquoi, combien de temps.
• Durée limitée : ne pas garder les données « pour toujours ».
• Sécurité : protéger les données (HTTPS, accès, mots de passe).
• Droits : permettre aux personnes d'agir sur leurs données.

• Mentions légales : éditeur, hébergeur, contact.
• Politique de confidentialité : données collectées, finalités, durées, droits.
• HTTPS partout (voir le parcours O2switch).
• Bandeau cookies conforme : détaillé dans le guide Cookies (bandeau).
• Formulaires sobres et consentis (Mission 4).
• Registre des traitements : la liste de ce que vous collectez et pourquoi (utile même pour une TPE).

• Permissions (caméra, localisation, contacts…) : demandez-les au moment utile et expliquez pourquoi.
• Fiches de confidentialité des stores : App Store et Google Play imposent de déclarer les données collectées.
• SDK tiers & traceurs (analytics, pub) : soumis au consentement, comme les cookies sur le web.
• Données sur l'appareil : stockez le minimum, chiffrez le sensible.
• Suppression de compte : proposez un moyen simple de supprimer ses données.

• Accès : savoir quelles données vous détenez.
• Rectification : corriger une donnée fausse.
• Effacement : le « droit à l'oubli ».
• Opposition : refuser un traitement (ex. prospection).
• Portabilité : récupérer ses données.

• HTTPS, mots de passe forts, mises à jour, sauvegardes (voir les parcours O2switch & AIOS).
• Accès limités : chacun n'accède qu'à ce dont il a besoin.
• En cas de fuite de données : notifier la CNIL sous 72 h, et informer les personnes si le risque est élevé.

Checklist conformité (web + mobile)

WordPress.org vs WordPress.com

• WordPress.org (celui qu'on utilise) : logiciel libre et gratuit, installé sur VOTRE hébergement. Contrôle total.
• WordPress.com : service hébergé, plus limité, avec abonnement. À ne pas confondre.

• Articles : le blog / les actualités.
• Médias : images et fichiers.
• Pages : les pages fixes.
• Apparence : thème, menus.
• Extensions : fonctionnalités.
• Utilisateurs : comptes & rôles.
• Réglages : configuration.

• Hello Elementor : ultra-léger, conçu pour Elementor. Idéal pour partir d'une base vierge et tout piloter au constructeur.
• Astra : léger, polyvalent, très répandu et bien documenté.
• OceanWP : riche en réglages prêts à l'emploi. Il s'accompagne de l'extension Ocean Extra qui débloque ses options avancées.

Voici la pile installée sur l'environnement de démonstration de la formation. Certaines peuvent rester désactivées selon le projet : l'important est de savoir à quoi sert chacune.

• Compresser AVANT l'envoi : < 200 Ko (Squoosh, TinyPNG).
• Format : .webp de préférence.
• Bonnes dimensions : pas de 5000 px pour afficher en 600 px.
• Texte alt : décrivez chaque image (accessibilité + SEO).
• Nommer : plombier-agen-douche.webp plutôt que IMG_8421.jpg.

• Mises à jour régulières.
• Mots de passe forts + 2FA.
• Sauvegardes testées.
• Limiter les tentatives de connexion.

• Panneau gauche : widgets et réglages de l'élément sélectionné.
• Canvas (droite) : l'aperçu réel, en direct.
• Barre du bas : la plus utile (ci-dessous).

Menu ☰ → Réglages du site. Vous définissez l'identité visuelle une seule fois, appliquée partout.

Le conteneur est une boîte qui organise vos widgets. On imbrique des conteneurs à l'infini. Il remplace l'ancien Section → Colonne.

• Plus léger : moins de code → plus rapide → meilleur SEO.
• Plus souple : imbrication illimitée.
• Meilleur responsive : on inverse direction/ordre par appareil.

• Bibliothèque Elementor : blocs et pages prêts à insérer.
• Enregistrer comme modèle : clic droit sur un conteneur réussi.
• Mes modèles : Modèles → Modèles enregistrés.
• Kits : sites complets à importer puis adapter.

• En-tête : logo + menu, sur toutes les pages.
• Pied de page : coordonnées, liens, mentions.
• Modèle d'article : la mise en page de tous les articles d'un coup.
• Conditions d'affichage : où chaque modèle s'applique.

WooCommerce ajoute : un catalogue de produits, un panier, un tunnel de commande, la gestion des paiements, des commandes et des clients.

• Carte bancaire : via une passerelle type Stripe ou PayPal (extension dédiée). C'est l'essentiel pour vendre.
• PayPal : paiement par compte PayPal ou CB.
• Virement bancaire : manuel, sans frais, mais nécessite un suivi.
• Paiement à la livraison / chèque : selon votre activité.

• CGV (conditions générales de vente) : obligatoires pour la vente en ligne.
• Droit de rétractation : 14 jours pour les particuliers (avec exceptions).
• Mentions légales & politique de confidentialité : obligatoires (voir Guide 6).
• Prix TTC affichés clairement pour les particuliers, frais de livraison indiqués avant paiement.

WordPress fait tourner une part énorme du web : c'est donc la cible n°1 des attaques automatisées. La majorité visent la page de connexion (essais de mots de passe en masse) et les extensions/thèmes non à jour.

Le tableau de bord affiche un score de sécurité : plus vous activez de protections, plus il monte. L'objectif n'est pas le 100 % à tout prix, mais d'activer les protections clés sans casser le site.

AIOS permet de renommer l'URL de connexion (ex. votresite.fr/mon-acces-secret). Les robots qui tapent l'URL standard tombent sur du vide.

• Détecter l'identifiant « admin » : AIOS signale et aide à le changer.
• Forcer les mots de passe forts : outil intégré d'évaluation.
• Identifiant ≠ pseudo affiché : ne laissez pas le nom de connexion apparaître publiquement.

Changer le préfixe de la base de données

Par défaut, WordPress nomme ses tables avec le préfixe wp_ (ex. wp_users, wp_options). Les attaques automatisées : notamment les injections SQL : misent sur ce préfixe connu. En le remplaçant par un préfixe aléatoire (ex. x7k2_), AIOS coupe l'herbe sous le pied à une grande partie de ces attaques.

Surveillance & nuisances

• Détection de changement de fichiers : alerte si des fichiers sont modifiés à votre insu (signe d'intrusion).
• Protection contre le spam de commentaires : réduit drastiquement le spam.
• Blocage des bots / robots malveillants.

La 2FA exige, en plus du mot de passe, un code temporaire (appli type Google Authenticator) pour se connecter. Même si un mot de passe fuite, le compte reste protégé.

• Renseigner le titre SEO et la méta-description de chaque page.
• Analyser le contenu selon une requête cible.
• Générer le sitemap XML automatiquement.
• Gérer les données structurées et le partage sur les réseaux.

Dans les réglages Yoast, configurez le modèle de titre (ex. %%title%% %%sep%% %%sitename%%) et le séparateur. Vous évitez ainsi de tout saisir manuellement.

Yoast vérifie notamment si la requête cible est présente :

• dans le titre SEO et le premier paragraphe ;
• dans l'URL (slug) ;
• dans au moins un sous-titre (H2/H3) ;
• dans le texte alternatif d'une image ;
• avec une densité raisonnable (sans bourrage) ;
• avec des liens internes/externes.

• Phrases courtes et paragraphes aérés.
• Sous-titres réguliers pour structurer.
• Voix active plutôt que passive.
• Mots de transition pour fluidifier.

Dans le métabox Yoast, onglet réseaux sociaux, définissez l'image de partage (Open Graph), le titre et la description affichés sur Facebook, LinkedIn, etc.

• Deux extensions SEO actives en même temps.
• Titres dupliqués sur plusieurs pages.
• Méta-descriptions vides ou identiques partout.
• Bourrage de mots-clés pour « faire vert ».
• Contenu trop court ou copié.
• Oublier de soumettre le sitemap à la Search Console.

En France et dans l'UE, le RGPD et la directive ePrivacy imposent de recueillir le consentement préalable de l'internaute avant de déposer des cookies non strictement nécessaires (mesure d'audience, publicité, réseaux sociaux, vidéos externes…). L'autorité de référence est la CNIL.

• Refuser aussi facilement qu'accepter : un bouton « Tout refuser » dès le premier écran, au même niveau que « Tout accepter ».
• Pas de cases pré-cochées : le consentement doit être un acte positif.
• La navigation ne vaut pas consentement : scroller ou cliquer ailleurs ≠ accepter.
• Choix granulaire : pouvoir accepter par catégorie (statistiques, marketing…).
• Rien ne se dépose avant le choix : les traceurs attendent le « oui ».
• Pouvoir changer d'avis : un moyen de revenir sur son consentement à tout moment.
• Conserver la preuve du consentement.

On utilise une CMP (Consent Management Platform). Sur l'environnement de formation, c'est CookieAdmin – Cookie Consent Banner (par Softaculous) qui est installé : il configure facilement un bandeau de consentement avec prise en charge RGPD / CCPA. D'autres CMP existent (Complianz, CookieYes, Axeptio, Tarteaucitron…) ; comparez-les selon la conformité CNIL, le blocage automatique des scripts, le français et le tarif.

Afficher un joli bandeau ne sert à rien si Google Analytics, YouTube ou un pixel publicitaire se chargent quand même dès l'arrivée. La CMP doit empêcher ces scripts de s'exécuter tant que l'internaute n'a pas accepté.

• Google Analytics / Tag Manager
• Vidéos YouTube & Google Maps intégrées
• Pixels Meta (Facebook), LinkedIn, etc.
• Polices ou widgets externes qui traceraient l'utilisateur

• Avec consentement : Analytics ne se charge qu'après acceptation (via la CMP). Simple et conforme, mais on perd les visiteurs qui refusent.
• Mesure d'audience exemptée : certaines solutions configurées de façon stricte (selon les critères CNIL) peuvent être exemptées de consentement. Plus technique.