Allez, c’est presque terminé, courage ! On vient de configurer le DNS, et le nom de domaine pointe bien vers mon nouveau serveur OVH. Seulement, le wordpress pré-packagé n’est pas à jour, et franchement, je n’aime pas utiliser les CMS pré-installés par les hébergeurs… Je sais que sur certains hébergement mutualisés, ils peuvent être bridés, donc on va prendre l’archive du CMS directement à la source, en le téléchargeant ici.
Quand on a récupéré l’archive, on la décompresse avec winRAR, puis on ouvre le dossier « wordpress » généré, et on sélectionne tout, puis on fait un petit « ajouter à l’archive », on nomme l’archive de destination, qu’on enregistre au format ZIP, par exemple : wordpress.zip
Logiciels nécessaires pour la suite
On va utiliser deux logiciels principalement, tous les deux pour se connecter au serveur, en console SSH et en mode FTP (sur le port 22).
- winSCP, client SSH/FTP, qui va nous servir à transférer et éditer certains fichiers
- putty, pour piloter le serveur
Ils sont tous les deux gratuits et fonctionnent très bien 🙂
On efface l’ancien wordpress
Tout d’abord, on se connecte en SSH au serveur, pour effacer tout ce qui est dans le dossier WordPress :
cd /var/www rm -R wordpress/*
On se retrouve avec un dossier vierge de tout fichier 🙂 Maintenant, on se connecte en FTP, et on envoie wordpress.zip à la racine du site, dans /var/www/wordpress
Une fois l’archive uploadée, on la dézippe via putty :
cd /var/www/wordpress unzip wordpress.zip
Voilà, vos fichiers de CMS sont bien sur le serveur, au bon endroit, y a plus qu’à créer une nouvelle base de donnée.
Un petit détour par Phpmyadmin
Maintenant, on va se créer une base de donnée propre, avec des préfixes de table différents de wp_, parce que c’est faciliter le boulot des pirates de laisser tout le paramétrage par défaut… J’ai eu une petite surprise pendant la création de la vidéo, puisqu’il y a encore quelques jours, il était impossible de se connecter sur un site présentant un certificat auto-signé avec Firefox ou Chrome (blocage par Windows 10). Là, bizarrement, c’est passé (3 ou 4 mises à jour de Windows depuis).
C’était vraiment pas pratique, puisqu’il était impossible d’accéder « normalement » à Phpmyadmin. Le cauchemar.
On était obligé de renommer le raccourci de Chrome, pour ajouter une directive permettant d’ignorer les alertes SSL. Si ça vous arrive, faites un clic-droit sur le raccourci pointant vers chrome.exe, et, dans l’onglet « raccourci », ajouter » –ignore-certificate-errors » à la cible (qui devient donc « C:Program Files (x86)GoogleChromeApplicationchrome.exe » –ignore-certificate-errors). Adaptez le chemin du fichier en fonction de votre configuration.
Bref, on se connecte à Phpmyadmin, on créé une nouvelle base de donnée, un nouvel utilisateur, son mot de passe, on supprime l’ancienne base de donnée installée par OVH, et on peut lancer l’installation de WP en se rendant sur le nom de domaine qu’on a choisi (dans mon cas : fifou.me). Si vous ne savez pas comment on fait tout ça, je vous renvoie au tuto créé pour installer une base de donnée sur Phpmyadmin.
On installe WP
Voilà, on y est, le sacro-saint installateur de WP. Rien de compliqué, quelques champs à remplir, et c’est fini ! N’oubliez pas de bien utiliser des préfixes différents pour les tables de la base de données ! Sinon, votre site sera moins difficile à pirater… Installer WordPress ne prend que quelques secondes, mais si vous avez un doute, jetez un coup d’oeil au tuto vidéo pour installer wordpress !
Pourquoi il était aussi casse-couille ce tuto ?
J’ai hésité à le faire, puisque j’étais en train de préparer l’installation du certificat SSL. Le truc, c’est que, si vous suivez ces petits tutoriels, c’est que vous n’avez pas encore vraiment l’habitude de travailler sur le web. Hors, vous devez être conscient d’une chose, c’est très important : le web est une putain de jungle ! Si vous n’êtes pas un minimum parano, vous aurez des surprises (mauvaises, en général).
Il est capital que vous sécurisiez votre site, et que vous sachiez que derrière la vitrine du web, c’est une véritable guerre qui est engagée dans le cyber-espace. Les Panama-Papers, par exemple, c’est une histoire de business qui a mal tourné, et qui est est devenue publique à cause d’un plugin WordPress mal sécurisé…
Ici, utiliser un CMS pré-installé, c’est un mauvais départ, d’autant plus que l’utilisateur de la base de donnée avait un nom un peu facile à casser, comme le nom de la base et le préfixe des tables. Là, on a tout changé : fichiers, base, utilisateur, préfixe des tables. Mais c’est pas fini. Vous verrez par la suite qu’on va blinder le wordpress, pour minimiser les risques de piratage. Vaut mieux « trop » de sécurité, que pas assez…
Prochaine étape, on installe un certificat SSL pour faire les yeux doux à Google, et se prémunir des attaques de type Man-in-the-middle.
