WP Tiger propose une suite d'outils permettant de gérer facilement vos sites WordPress, depuis votre hébergement WordPress o2switch.

WP Tiger permet de lier la puissance de votre hébergement cPanel avec les fonctions de WordPress, pour vous permettre de gérer simplement votre site WordPress.

L'outil s'organise en deux parties :

• La page d’accueil de l'outil va lister toutes les installations de WordPress présentes sur votre hébergement. Il y a deux types d'installations : les sites actifs, et les sites de “préproduction”.
• Chaque instance de WordPress dispose d'une page de gestion qui propose une suite d'outils, organisés en différentes catégories.

La page de gestion d'une instance de WordPress est organisée en plusieurs catégories :

• Gestion des utilisateurs : permet de créer, supprimer, modifier les utilisateurs d'une instance de WordPress. Une option permet de se connecter rapidement à l'administration du site également.
• Gestion des extensions : permet d'activer, désactiver, supprimer, installer une version antérieure (rollback) ou mettre à jour les extensions d'une instance de WordPress
• Sécurité : permet d'activer des règles de sécurités, qui peuvent être ajoutées dans le .htaccess du site ou dans une extension créée pour le site (snippet)
• Gestion des sauvegardes : permet de créer et stocker une sauvegarde du site sur un serveur distant. La sauvegarde peut être restaurée également.
• Créer une préproduction : Permet de créer une préproduction du site.
• Actions avancées : Donne accès à deux outils permettant de faire des opérations de rechercher/remplacer dans la base de données du site.

La page d'accueil va lister toutes les instances de WordPress détectés sur l'hébergement. Les instances sont partagées sur trois onglets, un pour chaque catégorie. Pour chaque instance, un bloc récapitulatif s'affiche.

Chaque bloc fournit un résumé de l'instance de WordPress détectée en deux onglets :

Dans l'onglet “Détails techniques” :

• Chemin : affiche le dossier avec lequel est associé le domaine et l'instance de WordPress. Le chemin est cliquable et ouvre le gestionnaire de fichier de cPanel.
• Protocole : affiche si le site est configuré en HTTP ou HTTPS
• Extensions : affiche le nombre d'extensions active, inactives, à jour, à mettre à jour
• Bases de données : affiche le nom d'utilisateur et le nom de la base de données utilisés par le site

Dans l'onglet “Informations” :

• Version de WordPress : affiche la version de WordPress qui a été détectée par l'outil
• Mise à jour : affiche si le site utilise la dernière version de WordPress. Pour le moment, l'outil ne fait pas la différence entre les versions majeures et mineures. Par exemple, si le site est à jour sur la dernière version mineure de la branche utilisée mais que ça n'est pas la dernière branche de WordPress, l'outil affichera qu'une mise à jour est possible.

Un certain nombre d'actions son également disponibles dans chaque bloc :

• Phpmyadmin : lien de connexion rapide vers la page de gestion phpmyadmin de la base de données utilisée par le site
• Gérer le site : lien vers la page de gestion de l'instance de WordPress
• Supprimer : permet de supprimer l'instance de WordPress
• Administration : un lien vers wp-admin qui vous connecte sur un compte administrateur

En cliquant sur Gérer le site, vous accédez à la page de gestion de l'instance WordPress choisie. La page affiche le même bloc récapitulatif que sur la page d'accueil de WP Tiger. S'ensuivent les différentes catégories de gestion, le tout sur différents onglets.

La partie Gestion des Utilisateurs permet de gérer les utilisateurs.

Le bouton Nouveau Compte WordPress vous permet d'ajouter un nouvel utilisateur. Il vous faut renseigner les différents champs demandés : le nom d'utilisateur, son adresse mail, le mot de passe et le rôle WordPress à lui attribuer (administrateur, éditeur, auteur, contributeur, abonné). Puis cliquez sur Créer le nouveau compte WordPress.

La liste des différents utilisateurs apparaît. Depuis cette liste, vous permet :

• de modifier le mot de passe d'un utilisateur en remplissant le champ Mot de passe du nouveau mot de passe et en cliquant sur Enregistrer les modifications
• de changer le rôle d'un utilisateur en faisant votre choix dans le menu déroulant Rôle et en cliquant sur Enregistrer les modifications
• d'accéder directement à l'interface WordPress d'un utilisateur en cliquant sur Connexion Rapide
• de supprimer un utilisateur en cliquant sur la poubelle

Le bouton Réinitialiser vous servira lorsque vous aurez fait une modification (mot de passe ou changement de rôle) mais que vous ne souhaitez pas l'enregistrer. Ce bouton permet de revenir aux derniers paramètres enregistrés.

Il y a également des options de recherche qui vous permettent de filtrer les utilisateurs selon leur rôle ou de rechercher un utilisateur à l'aide de son nom d'utilisateur.

La partie Gestion des Extensions fait la liste de toutes les extensions installées sur l'instance WordPress.

Ce tableau affiche plusieurs informations et vous permet de gérer les extensions :

• Statut : indique si l'extension est active ou non.
• Version : indique la version courante de l'extension.
• Actions : vous permet d'activer ou de désactiver une extension.
• Supprimer : vous permet de supprimer une extension.

Pour toutes les extensions présentes sur le site WordPress, des fonctionnalités complémentaires s'affichent :

• Vérifier l'intégrité : vous permet de vérifier que les fichiers de l'extension installée n'ont pas été modifiés.
• Mettre à jour : s'affiche lorsque la version courante de l'extension ne correspond pas à la dernière version publiée. Cliquez sur le bouton pour installer la dernière version de l'extension.
• Version et Installer: vous permettent d'installer une version spécifique ou antérieure de l'extension. Cela peut être utile lorsque les mises à jour d'une extension ne sont plus compatibles avec d'autres paramètres de votre instance de WordPress (thème, extensions, etc.)

La partie Sécurité comporte différentes options agissant sur la sécurité de votre site internet. Ces options sont catégorisées entre les “Règles htaccess” agissant sur le fichier .htaccess et les “Snippets” rajoutant des portions de code via un plugin (extension) WordPress. Cette partie se termine par d'autres actions vous permettant d'effectuer plusieurs contrôles.

Les règles htaccess agissent directement sur le fichier .htaccess. Vous trouverez ci-dessous les explications des différentes options. Nous conseillons de toutes les activer.

• Désactiver le listing des fichiers dans les dossiers sans index : cette option vous permet de désactiver le listing des fichiers “index of” dans les répertoires web dans le cas où les fichiers à afficher par défaut (par exemple index.html, index.php) n'existent pas. En activant cette option, vous réduisez la visibilité de l'accès à vos fichiers et cela vous permettra de sécuriser vos données sensibles (sauvegarde de base de données, fichiers personnels, listing d'adresses mail, mots de passes, etc.) en désactivant la liste des fichiers qui s'affichent lorsqu'on accède à un dossier sans index.
• Masque l'identifiant des auteurs : cette option permet de complexifier le rôle d'un pirate qui cherche à trouver votre mot de passe grâce à votre identifiant.
• Bloque l'accès à la page de commentaires pour les navigateurs sans UserAgent ou Referer : Permet d'éviter le spam et les abus sur les commentaires, en bloquant certaines requêtes mal-formées ou effectuées par des robots.
• Ajoute les règles de sécurité Block Bad Queries : Le BBQ (Block Bad Queries) est un pare-feu qui sécurise le site en ajoutant des règles de sécurité dans le .htaccess pour bloquer certaines attaques courantes et connues, par exemple à la recherche d'une faille ou d'un plugin ou thème qui ne serait pas à jour.
• Bloque le téléchargement des fichiers .sql : Les fichiers .sql contiennent des informations sensibles qui ne devraient pas être accessibles. Bloquer leur téléchargement permet d'éviter toute attaque malveillante.
• Bloque l'accès au fichier error_log qui contient les erreurs PHP : Une erreur PHP peut être source d'une faille de sécurité. En bloquant l'accès au fichier qui répertorie les erreurs, vous sécurisez votre site internet.
• Bloque l'accès aux fichiers readme et licence : Ces fichiers situés à la racine de votre site et/ou plugins, contiennent des informations exploitables (telles que leur version) et orientent les pirates sur les failles qu'ils peuvent exploiter. Bloquer cet accès permet donc d'augmenter votre sécurité.
• Bloque l'accès au fichier xmlrpc.php : XML-RPC est un protocole permettant de se connecter à distance à WordPress. Son fichier peut être exploité à des fins malveillantes et devrait être bloqué s'il n'est pas utilisé sur le site.
• Interdit l'exécution de PHP dans le dossier uploads : Votre dossier uploads contient l'ensemble des médias téléchargés et divers fichiers créés par certaines extensions. Cette option vous permet d'interdire l'exécution de fichier PHP, donc l'écriture ou le téléchargement, dans ce dossier qui, par définition, n'est pas prévu pour cela.
• Force une redirection vers la version HTTPS du site : Attention, avant de cliquer sur cette option, veillez à avoir généré un certificat SSL avec l'outil Lets Encrypt SSL. Une fois avoir généré votre certificat, vous pouvez utiliser cette option afin qu'en cas d'appel à votre site en version Http, l'utilisateur soit automatiquement redirigé vers sa version Https.

Les “Snippets” sont des portions de code qui vont s'appliquer via un plugin (extension) WordPress. Lorsque vous activez une ou plusieurs de ces options, une extension appelée o2s-wp-tiger sera générée et apparaîtra dans la partie “Gestion des Extensions”. Vous trouverez ci-dessous les explications des différentes options. Nous vous conseillons de toutes les activer.

• Force l'authentification sur les appels à l'API REST de WordPress : L'API Rest de WordPress permet la communication de données entre votre site et un autre site et/ou application. Le fait de forcer l'authentification permet d'accroître votre sécurité et d'éviter une communication de données non souhaitée.
• Masque la version de WordPress : Connaître la version courante de votre WordPress oriente un potentiel pirate dans sa recherche de failles. Masquer cette version renforce votre sécurité en apportant une difficulté supplémentaire aux personnes malveillantes.
• Désactive le XML-RPC de WordPress : Une règle htaccess vous permet de bloquer au fichier XML-RPC, protocole permettant de se connecter à distance à WordPress, ce qui ne consomme pas de ressources. Une autre méthode en remplacement ou en complément, consiste à désactiver ce protocole. Le fait de le désactiver, et non pas de le bloquer, va générer des erreurs 404 ou 403 qui vont consommer des ressources.
• Masque le message d'erreur de connexion : Lorsque vous vous connectez à l'administration de votre site, WordPress vous indique si vous faites une erreur dans votre identifiant ou dans votre mot passe, ce qui donne un indice et facilite le travail des pirates. En activant cette option, en cas d'erreur que ce soit dans l'identifiant ou dans le mot de passe, rien ne s'affichera.

Plusieurs boutons vous permettent de réaliser d'autres actions complémentaires.

Lorsque vous utilisez WordPress, il n'y a strictement aucune raison de modifier son cœur. Le bouton Vérifier l'intégrité cœur de WordPress vous permet de vous assurer qu'aucune action malencontreuse ou malveillante n'a été réalisée. A contrario, cela vous permet d'identifier les modifications apportées afin de les rectifier en mettant à jour votre version de WordPress grâce au bouton dédié en haut de page.

De même, lorsque vous utilisez une extension, il n'y a pas de raison de la modifier. Ainsi, en cliquant sur le bouton Vérifier l'intégrité des extensions installées vous pouvez vérifier qu'aucune modification non justifiée n'a été apportée.

Le bouton Changer les salts du fichier de configuration WordPress permet de mettre à jour les clés uniques d'authentification qui cryptent les mots de passe.

La partie Sauvegardes vous permet de réaliser des sauvegardes de votre site WordPress.

La partie Sauvegardes vous permet de réaliser des sauvegardes de votre site. Pour cela, il vous suffit de cliquer sur Créer une nouvelle sauvegarde, celle-ci se réalise en 5 étapes qui, en fonction de la taille ou “poids” de votre site, peuvent prendre plusieurs minutes.

Une fois réalisée, votre sauvegarde apparaît avec plusieurs options :

• Restaurer : vous permet de restaurer une sauvegarde antérieure. Ceci peut être utile par exemple lorsqu'un bug surgit suite à l'installation d'une extension, ou à sa mise à jour, qui entrerait en conflit avec la version courante de votre instance de WordPress. Nous vous conseillons de réaliser régulièrement des sauvegardes de votre site avant de mettre à jour des extensions tierces notamment.
• Télécharger : vous permet de télécharger sur votre terminal (ordinateur…) le fichier de la sauvegarde réalisée.
• : la Poubelle vous permet de supprimer les sauvegardes.

La partie Pré-productions vous permet de réaliser une copie de votre site à but de tests.

Pour réaliser une préproduction, il vous suffit de cliquer sur le bouton Créer une préproduction, une fenêtre s'ouvre vous offrant le choix de Lancer la création ou d'Annuler.

Lorsque vous lancer la création, le processus se réalise sur 4 étapes qui peuvent prendre plus ou moins de temps en fonction de la taille de votre site.

La création est réalisée et apparaît dans la liste. Le domaine est imposé, le but de ce site de préproduction n'étant pas d'être accessible au public.

Pour commencer les modifications, il vous suffit de revenir à la page d'accueil de WP Tiger, en dessous de l'emplacement de votre site principal, un encadré apparaît avec vos sites de préproduction. Pour modifier ou effectuer des test sur ces derniers, il vous suffit de cliquer sur le bouton Gérer le site. Vous avez aussi la possibilité de les supprimer en cliquant sur l'icone .

La page de gestion d'un site de Préproduction se présente de la même manière que la page de gestion de votre site principal, avec l'option Pré-productions en moins.

Une fois vos modifications et tests effectués, vous pouvez le mettre en ligne. Pour cela, vous devez revenir à la page d'accueil, entrer dans la gestion de votre site principal, vous rendre à la partie Préproduction et cliquer sur Mettre en ligne en face de la version de préproduction concernée. Une fenêtre de confirmation s'affichera vous demandant de valider l'action de remplacer le contenu de votre site par le contenu de celui de préproduction. Attention, une fois validé, il n'est pas possible de revenir en arrière, votre site aura été écrasé par cette copie.

Les Actions avancées vous permettent de Passer en Https, de Changer l'adresse du site et de Rechercher et remplacer une valeur dans la base de données.

La partie SSL/Https vous permet de forcer le site en Https.

Attention, avant de cliquer sur cette option, veillez à avoir généré un certificat SSL avec l'outil Lets Encrypt SSL. Un rapide tutoriel est également disponible pour l'installation d'un certificat SSL Lets Encrypt.

Le bouton Forcer le site en Https vous permet de remplacer toutes les occurrences de Http sur votre instance WordPress par Https.

Cet outil vous permet de modifier l'adresse du site dans la base de données de WordPress.

Attention cependant, cet outil ne va pas vérifier que le domaine est correctement configuré et pointe au bon endroit, nous vous conseillons donc de le vérifier au préalable.

Entrez la nouvelle adresse souhaitée dans le champ concerné, elle doit être renseignée dans sa forme complète (exemple : https://www.nouveaudomaine.fr). Puis cliquez sur le bouton Changer l'adresse du site.

Cet outil vous permet d'effectuer un chercher/remplacer dans votre base de données.

Remplissez le premier champ de la valeur à rechercher, puis le deuxième champ de la valeur de remplacement. Cochez les différentes tables de votre base de données sur lesquelles appliquer la modification puis cliquez sur Rechercher et remplacer.

Voici quelques exemples courants où l'outil s'avère particulièrement pratique.

Le fait de passer un site WordPress en HTTPS est généralement une opération délicate car implique de faire un rechercher-remplacer de l'adresse en HTTP par l'équivalent en HTTPS dans l'ensemble de la base de données du site. Cela nécessite donc l'usage d'outil comme celui d'interconnectit ou encore DBSR.

Si ce changement n'est pas effectué correctement, le site présentera des problèmes de contenus mixtes et donc le logo HTTPS ne sera pas en vert dans le navigateur.

A présent, avec WP Tiger, ce changement peut être fait en un clic depuis le bouton Forcer le site en HTTPS dans la partie SSL / Https.

En cliquant sur ce bouton, l'outil va

• Récupérer l'adresse du site qui est actuellement en place
• Faire un rechercher/remplacer dans la base de données du site, sur les versions WWW et non WWW du site, en prenant en compte les données sérialisées
• Vérifier si un certificat SSL est en place et si ce n'est pas le cas, tenter la génération d'un certificat Let's Encrypt
• Ajouter une redirection dans le fichier .htaccess du site pour forcer le site en HTTPS

Parfois, on peut perdre la main sur l'administration de son site WordPress, par exemple en cas d'oubli du mot de passe, de l'identifiant ou de l'adresse email de contact associé au compte administrateur de WordPress.

Avec WP Tiger, il est possible de changer le mot de passe des utilisateurs inscrits sur le site WordPress et également de changer les rôles afin de retrouver la main sur un compte d'administration.

Il est également possible de se connecter en 1 clic à l'administration du site, sans avoir à entrer son mot de passe.

Tout se gère depuis l'outil de gestion des utilisateurs.

Il est possible de changer l'adresse d'un site très rapidement avec WPTiger. En effet, ce dernier s'occupe de la partie difficile du processus de changement d'adresse, c'est-à-dire la recherche de toutes les occurences de l'ancien domaine et le remplacement par le nouveau domaine dans la base de données du site.

La procédure complète est expliquée en détails sur : Comment changer l'adresse/domaine d'un site WordPress existant ?

Ci dessous, plus de détails sur le fonctionnement interne de l'outil, pour expliquer certains comportement de l'outil. A considérer pour un usage avancé de l'outil.

Actuellement, la détection des instances de WordPress sur l'hébergement est effectuée de manière optimisée.

Concrètement, plutôt que de passer en revue l'ensemble des fichiers et dossiers de l'hébergement (ce qui prend du temps et génère des IO sur un hébergement ayant des milliers de fichiers), l'outil va :

1. Lister tous les domaines et sous-domaines configurés sur l'hébergement
2. Faire une liste de tous les dossiers qui sont associés à ces domaines là
3. Faire une liste de tous les dossiers, avec deux niveaux de profondeur, contenu dans la liste de dossiers précédente. Donc tous les dossiers (avec deux niveaux de profondeur maximum) contenus dans les domaines/sous-domaines configurés sur l'hébergement seront récupérés.
4. Avec cette liste de dossiers étendue, l'outil va regarder si les fichiers contenus correspondent à une instance de WordPress.
5. Pour savoir si cela ressemble à une installation WordPress, l'outil recherche trois choses : wp-settings.php, wp-admin, wp-includes

Cela va détecter 90% des instances de WordPress d'un hébergement, mais il est possible que dans des cas rares, certaines instances ne soient pas détectées :

• ce sont les instances qui sont installées dans des sous-dossiers “profonds” (sous-sous-sous dossier d'un domaine par exemple),
• ou les instances qui sont sur l'hébergement mais sans qu'un domaine/sous-domaine ne pointe dessus

Parfois, le message d'erreur suivant s'affiche : “Une erreur est survenue, l'instance de WordPress semble être corrompue.”

Cette erreur là s'affiche si :

• L'instance de WordPress est effectivement corrompue (par exemple, piratée), ce qui veut dire concrètement que le cœur de WordPress ne fonctionne plus.
• Ça peut aussi être lié à un problème de configuration dans le wp-config.php du site qui entraîne un problème de connexion à la base de données.
• Toujours dans le wp-config.php des erreurs, warning ou notice PHP peuvent être à l'origine du problème (Exemple : caractère BOM-UTF8, constantes définies en double)
• Si l'outil n'arrive pas récupérer certaines informations, comme l'adresse du site, la base de données utilisée etc… Cela peut arriver sur des WordPress très personnalisés et différents d'une instance classique.
• WordPress multisite est activé. Pour le moment, l'outil ne gère pas les instances multisites de WordPress

La détection d'une instance de WordPress sur l'hébergement et la récupération des informations concernant cette instance est un processus long. On estime cela à 1 à 2 secondes par instance de WordPress.

Pour accélérer le chargement de l'outil (par exemple, dans le cas où plusieurs instances sont installées), un mécanisme de cache a été mis en place. Le premier chargement sera plus long que les chargements et rafraîchissements suivants.

L'outil invalide le cache de manière intelligente, lorsque des modifications sont effectuées via l'outil. Par contre, l'outil n'a pas la visibilité de ce qui a été fait sur WordPress “manuellement” par l'utilisateur donc il est possible, dans des cas assez rares, que l'outil affiche des informations périmées.

Exemple :

• L'outil est chargé une première fois, il détecte une instance de WordPress en version 5. Des données de caches sont créées pour améliorer la vitesse de chargement de l'outil.
• L'utilisateur met à jour WordPress en version 5.1 depuis le panneau d'administration de WordPress
• Quelques instants plus tard, l'utilisateur retourne sur l'outil. Ce dernier affichera, à tort, que WordPress est en version 5.
• L'utilisateur met à jour les paramètres du site via l'outil, le cache sera purgé et les informations affichées seront valides

Certaines fonctionnalités de l'outil, qui sont les plus lourdes et complexes, ont été découpées en plusieurs étapes pour améliorer la tolérances aux erreurs, permettre les processus long et permettre la reprise en cas d'erreurs. Actuellement, ce sont les fonctionnalités de sauvegardes, pré-production et restauration de sauvegardes qui sont concernées.

Lorsqu'une l'une de ces tâches est lancée, cela passe d'une étape à l'autre. En cas d'erreurs ou de dysfonctionnement, cela reprend à l'étape à laquelle le processus s'était arrêté, pour éviter de tout refaire et gagner du temps (par exemple dans le cas d'une préproduction).

Cela permet aussi de travailler sur des sites plus gros que la moyenne. Avec des sites conséquents, certains outils ou méthodes conventionnelles fonctionnent mal à cause de la taille du site.

Le fait de découper une tâche en plusieurs petites étapes permet les traitements sur des sites plus gros que la moyenne.

Ces fonctionnalités là étant assez conséquente, il y a également une restriction qui n'autorise pas le fait de lancer plusieurs opérations du même type en même temps. Par exemple, si une sauvegarde est en cours de génération, il n'est pas possible de lancer une autre sauvegarde via l'outil tant que la sauvegarde précédente n'est pas terminée.