En 2014, un néerlandais a eu l'idée de publier une checklist Joomla. En 2016, Peter Martin a pris l'initiative d'en faire un composant nommé "db8 Site Dev" qui permet de gérer, modifier votre propre checklist depuis l'administration de Joomla. C'est un outil indispensable pour ne rien oublier avant de mettre en ligne de votre site web.
Nous vous proposons en exclusivité une traduction complète de la checklist avec un commentaire sur chaque étape pour vous aider à mieux comprendre ainsi que l'extension personnalisée. De plus, nous vous encourageons à créer votre propre checklist et nous serons très heureux de la publier dans à la suite sur cinnk.com.
- Télécharger le composant DB8 SITE DEV intégralement en français.
- Télécharger la Live Checklist en français
Joomla! / Extensions
Toutes les extensions qui ne sont pas utilisées sont DÉSACTIVÉES ou dépubliées.
En principe, les fonctions d'une extension ne seront pas accessibles si elle est désactivée. Dans le menu Extension, choisissez Gérer puis Gestion des extensions. Sauf les extensions core (natif de joomla), il est préférable de supprimer extensions tierces inutiles pour des raisons de sécurité.
Joomla et toutes les extensions sont bien à jour ?
Vérifier si les sites de mises à jour sont bien actifs. Dans le menu Extension, choisissez Gérer, Mise à jour puis site de mise à jour. Il est préférable d'appliquer les mises à jour régulièrement en prenant soin d'effectuer également les sauvegardes et informez-vous de l'évolution des extensions installées (site de l'auteur, newsletter...).
Désinstaller tous les templates inutilisés ?
Mis à part les templates par défaut, les templates non utilisés sont des cibles potentielles à supprimer. Si vous souhaitez utiliser l'un des templates du package joomla, n'oubliez pas de le dupliquer et le renommer afin que vos modifications ne soient pas écrasées par une mise à jour.
ACL Manager est installé et configuré ?
ACL Manager est une extension tierce qui peut être utile lors d'une gestion particulières des droits. Elle permet d'obtenir une vision accessible des droits de Joomla et de toutes les extensions. https://www.aclmanager.net/fr/
Configuration de Joomla
ReCaptcha clés privées / publiques ?
Pour chaque affichage de formulaire (contact, inscription), l'utilisation de ReCaptcha limite la réception de spams et l'inscription d'utilisateurs "fantomes".
N'hésitez pas à consulter cet article pour vous aider : http://cinnk.com/joomla/3/trucs-et-astuces/comment-activer-un-captcha-sur-le-formulaire-d-inscription
Par défaut, un Captcha est actif ?
Recaptcha est l'une des solutions, installer de préférence un plugin qui consultera les bases de spams pour les bloquer avant même d'acceder au site. (ex: projet honey pot).
Le rapport d'erreur est désactivé ?
Dans la configuration de Joomla, le rapport d'erreur par défaut peut générer un nombre important de ligne dans le journal d'erreur (logs) notamment si les extensions tierces utilisent des fonctions php obsolètes. Si les tests effectués n'ont pas relevé d'erreurs, vous pouvez désactiver la génération de rapport.
La configuration de l'adresse mail de la messagerie est correct ?
Evitez l'utilisation de compte gmail, hotmail ou de FAI comme orange, sfr, free.. Vous devez définir une adresse principale liée à votre nom de domaine qui sera utilisé comme adresse d'expedition type Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. ou Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.. L'adresse est à préciser dans la configuration du site / onglet serveur.
La configuration des paramètres Mail et configuration du serveur SMTP est valide ?
Testez l'envoi de mail, voir la fonction "test" dans configuration du site, onglet serveur.
Si la solution phpmail ou sendmail ne fonctionne pas, la solution smtp peut être choisi et fourni par votre hébergeur. Vous pouvez aussi choisir un STMP de relais type mailjet, mandrill, sendinblue ce qui permet d'améliorer la qualité d'envoi de mail.
L'envoi de courrier en masse est désactivé ?
Cette fonction est rarement utilisé (menu utilisateur / envoi mail en nombre) et il est préférable d'installer des solutions comme acymailing pour une meilleure gestion des mails. N'oubliez pas que l'envoi d'informations doit être soumis à une acceptation "opt-in" de la part des membres de votre site (case à cocher vierge et non pas pré-cochée par défaut).
Le Fuseau horaire du serveur est correctement réglé ?
Un serveur peut être en décalage, assurez-vous que l'heure soit correct notamment pour l'utilisation de fonctions comme la double authentification ou d'un cronjob (tâche planifié).
Les paramètres de session sont bien configurés ?
Un temps de session plus long n'est vraiment utile que sur des sites avec identification et sur des serveurs pouvant supporter le nombre suffisant de connectés simultanés. Lors du développement, on augmente pour éviter de saisir trop souvent le mot de passe.
Par défaut, le système php prévoit 1440s (24mn) mais défini à 15mn à l'installation de Joomla (Configuration / Onglet système)
L'aperçu des Positions de module est désactivé ?
Cette option est désactivée par défaut dans les paramètres (Menu système/configuration/template) et ne doit être utilisé que pour s'aider dans le développement du site.
Modifier adresse e-mail des fils à "sans e-mail" ?
Vous pouvez décider d'afficher publiquement l'adresse mail de l'auteur ou du site dans les Flux RSS, le risque étant la recrudescence de spam suite à cette publication. Sans nécessité, vous pouvez eviter de diffuser en selectionnant "sans e-mail" depuis la configuration du site, onglet site.
Utilisateurs
Tous les comptes inutilisés du gestionnaire des utilisateurs sont supprimés ?
Lors de l'achat d'un template commerciale, l'archive complète (contenant joomla, extension, exemple) peut contenir également des comptes laissés par défaut que l'on doit supprimer.
Tous les groupes d'utilisateurs qui ne sont pas utilisés sont supprimés également ?
La hiérarchie initiale n'est pas figé et il vaut mieux adapter selon vos types de visiteurs et leurs droits.
Les utilisateurs sont autorisés à s'enregistrer ?
L'activation de compte ne doit être défini que si c'est nécessaire. L'oubli peut parfois générer un nombre important de faux compte.
Les mot de passe sont assez compliqués ?
Vous pouvez décider de la complexité du mot de passe allant du nombre de caractère minimum à l'obligation d'un minimum de chiffres, symboles et majuscules inclus.
Contenu
Le contenu d'exemple est supprimé ?
A l'installation d'un site Joomla, les exemples et contenus qui ne seront pas utiles sont à supprimé, ce qui évitera à Google de les indexer et considérer comme du contenu dupliqué.
Tous les fichiers et images non utilisées, comme les images par défaut de Joomla?
Comme les articles, les images peuvent être indexés dans google image. Il est donc important de supprimer les images pour éviter leur indexation ou détection.
Le faux contenu / Lorem Ipsum est remplacé ?
Vérifier les pages pour ne pas avoir à indexer du contenu inutiles. Il faut savoir que malgré la suppression, le contenu des pages peut être conservé dans le cache de google ainsi que dans le projet wayback machine : https://archive.org/web
Suppression de tout le contenu supprimé ?
Cela consiste à vider la corbeille dans article, catégories, liens de menu et modules, garantissant leur suppression définitive.
Remplacé URL de développement dans la base de données avec les URL du site en production?
Bien que Joomla utilise des urls relatives, on peut aussi oublier la copie d'urls réécrites incluant l'url de développement. Un rechercher/remplacer depuis phpmyadmin permet de filtrer les urls et de les corriger.
Le robots.txt est bien configuré ?
Pour assurer d'une compatibilité vis à vis des mobiles, Google oblige l'indexation des fichiers css de différents répertoires dont template, modules. Il est important de vérifier si le fichier robots.txt ne bloque pas ces repertoires (dissalow). L'indication d'un plan de site xml dans le fichier robots.txt est optionnel.
La Favicon est installée ?
L'icône illustrant le site doit être défini afin d'éviter le logo joomla. Il existe bon nombre de générateur de favicon afin de mettre l'image à la bonne taille.
Les icônes mobiles sont installées ?
Pour tous les types d'icônes incluant favicon et pour ios, android... le site http://realfavicongenerator.net/ offre bon nombre de formats.
Une redirection d'url de l'ancien site vers le nouveau nom de domaine du site est défini ?
Dans le cas d'un changement d'adresse, il est important de définir une adresse de redirection permanente (301) afin que la nouvelle adresse soit prise en compte indépendamment de l'ancienne.
Ajout d'une page d'erreur 404 personnalisé ?
Selon certain framework de template, l'erreur 404 peut être personnalisé depuis le template ce qui permet de conserver une charte graphique cohérente. A défaut, certaines extensions tierces proposent le même service notamment les extensions dédiés au SEO.
Les images sont optimisées?
La compression d'image est importante, certains extensions peuvent gérer cela ou vous pouvez également décider de compresser le contenu des repertoires d'images à l'aide de logiciels disponibles comme Jpegmicro de RomeoLight
Source : http://www.romeolight.com/products/jpegmicro/
Les plugins de recherche inutilisés sont désactivés, la recherche avancée également?
Il est plus efficace de désactiver ces plugins afin d'optimiser les recherche, la recherche avancée est rarement activé car elle consomme énormément en performance et en base de données.
Les plugins de recherche sont dans le bon ordre?
L'affichage des résultats dépendent également de l'ordre choisi des plugins de recherche.
Supprimer l'index de recherche avancé et le reconstruire (si la recherche avancée est utilisée)?
Pour diminuer la taille de la base, il n'est pas utile de conserver le contenu indexé dans la recherche avancée.
Tous les formulaires ont bien la bonne adresse e-mail de destination ?
Il est important de vérifier l'envoi des formulaires et vérifié si les messages transmis par les formulaires sont bien réceptionnés.
Supprimer les anciens envois de formulaire?
Certains données peuvent être conservés et accessible depuis une extension tierce. Il est donc important de ne pas avoir de trace des essais effectués.
Supprimer tous les tests de newsletter?
Comme le stockage de formulaire, les envois de newsletter précédent ne sont pas à conserver.
Template
Site Web testé dans tous les principaux navigateurs (OSX: Safari, Chrome, Firefox / Windows: IE, EDGE, Chrome, Firefox)
Une vérification est importante car le site doit fonctionner dans les dernières versions des navigateurs du marché. Des solutions comme testingbot.com offre un panel de test, y compris sur MacOs Sierra et le futur safari.
Template mobile présent et testé?
Théoriquement votre template doit être responsive (proposé nativement dans joomla 3). Dans le cas contraire, il est nécessaire d'avoir une solution d'un template pour mobile qui sera utilisé dans la détection du user-agent (navigateur android, ios). L'aspect mobile doit être testé et validé. Exemple : https://testmysite.thinkwithgoogle.com/
.htaccess
Rediriger sans les www vers l'adresse avec www dans .htaccess ?
Il est conseillé de rediriger l'adresse avec ou sans www vers une adresse unique. Consultez notre explication sur le sujet : http://cinnk.com/joomla/3/trucs-et-astuces/joomla-avec-ou-sans-www-optimisation-seo-pour-joomla
Rediriger la connexion non sécurisé vers le https dans .htaccess ?
Avec let's encrypt (ssl gratuit), les sites https ont progressé et c'est devenu une pratique
courante. Le https doit être indiqué dans le htaccess (voir étape HTTPS).
La sécurité
Admin Tools Pro / jHackGuard / AdminExile installé et configuré?
Ces trois solutions proposent d'améliorer la sécurité de joomla ce qui est essentiel à la publication d'un site.
Etre notifié d'un blacklistage du nom de domaine
Il est nécessaire d'être inscrit à Google Search Console (anciennement webmaster tools) et définir une alerte en cas de blacklistage.
Bloquer l'accès à administrateur avec un mot secret dans l'url ou via une liste d'ip autorisé.
Que ce soit par une extension ou par le fichier htaccess/htpasswd, il est important de bloquer l'accès à l'administration ou de cacher l'accès. De même, vous pouvez accepter ou refuser toutes adresses IP via le htaccess.
JCE Editor
Profil optimisé ajouté / configuré?
Les options de l'éditeur peuvent être personnalisé par groupe ainsi vous pouvez limiter les interactions avec les utilisateurs ayant un accès minimum.
Joomla! - plugin editeur étendu non publié?
JCE dispose également d'extension commerciales spécifiques pour diverses fonctionnalités.
Activer et utiliser ce qui est nécessaire sans oublier les mises à jour indispensable
Jce étant une extension suivi et très utilisé.
OSMap (Plan de site)
Plan du site créé pour tous les menus?
OSMap est l'une extensions qui remplace Xmap et le fait évoluer.
Les menus doivent être inclus dans le plan de site xml pour être pris en compte.
Ajouter une ligne à .htaccess pour montrer OSXMAP comme sitemap.xml?
La plupart des systèmes reconnaisse le fichier sitemap.xml à la racine du site. Il est important de définir une redirection via le htaccess comme ceci :
index.php?option=com_osmap&view=xml&tmpl=component&id=1
le numéro id étant celui du plan de site Osmap. Attention : de préférence, utiliser une autre solution qu'OSmap pour les sites multilingues.
Le plan de site XML a été ajouté à Google Webmaster Tools?
HTTPS
Le certificat SSL est actif (si nécessaire) ?
Pour obtenir une solution via let's encrypt, consulter notre tutoriel : http://cinnk.com/joomla/3/tutoriels/le-https-facilement-sur-son-site-joomla
HTTPS Activé (si nécessaire) ?
L'activation du https est expliqué dans notre tutoriel, pratiquement tous les nouveaux sites choisissent le https en partie du à la possibilité d'acquérir un certificat ssl gratuit. Mais aussi la volonté de Google de favoriser les sites sécurisés.
Optimisation / SEO
Les URLS SEO-friendly activées et correctement configurées?
L'activation de la réécriture est pratiquement nécessaire pour être référencé correctement. Le fichier htaccess doit être actif et la configuration du site doit comporter le SEF ainsi que la réécriture au Vol. On déconseille l'activation d'unicode qui s'adresse plus à des langues cyrilliques (menu système / configuration / Site)
Mootools actif ou non ?
La librairie mootools fut remplacé progressivement par jquery dans joomla 3. De préference, il vaut mieux eviter d'utiliser cette librairie et toutes extensions susceptibles de l'utiliser pour des raisons de compatibilité. Au besoin vous pouvez toujours limiter son action via l'extension http://extensions.joomla.org/extension/mootools-enabler-disabler
La configuration de mise en cache est correcte ?
Le cache peut être désactivé lors du développement mais son utilisation est vivement conseillé lors de la mise en production car le site consommera moins de ressources. De préférence, choisissez un serveur qui utilise un cache opcode (memcache, apc..) qui peut être choisi à la place du cache de Joomla. Jotcache est une extension qui optimise la gestion du cache.
Les repertoires cache / tmp sont vides ?
Certaines installations peuvent laisser des traces dans le repertoire tmp et des extensions peuvent utiliser le cache de Joomla même désactivé! Il est donc important de vider leur contenu avant la mise en ligne.
Configuration Varnish?
Si l'hebergement choisi comporte le reverse proxy varnish. Le site peut optenir un gain de performance important. Fotis Evangelou propose un modèle de configuration pour cette solution : https://gist.github.com/fevangelou/84d2ce05896cab5f730a
Compression, minification et fusion CSS/Javascript installé et configuré ?
L'extension JCH Optimize offre de nombreuses possibilités pour optimisés les fichiers css et javascript. Le temps de chargement est appréciable mais attention aux conflits avec d'autres solutions similaires ou une mauvais paramétrage : https://www.jch-optimize.net/
CDN activé?
Cela consiste à répliquer vos données sur plusieurs serveurs afin d'optimiser le temps d'accès à vos fichiers. La plupart des hébergeurs ont choisi Cloudflare comme partenaire CDN car il offre une solution gratuite de base et peut être déployé rapidement. Des CDN plus performants sont également sur le marché et il faudra choisir suivant vos besoins.
Droit & Cookie / alerte Cookie
Une directive européenne oblige les sites à informer sur l'utilisation des cookies. Il est donc nécessaire d'installer une notification ainsi qu'une page sur les cookies. Les extensions disponibles sur la JED : http://extensions.joomla.org/category/site-management/cookie-control et une solution complète fourni par iubenda intégrant la page sur la politique de confidentialité extremement bien faite : http://www.iubenda.com/en/help/posts/1323
Bouton de partage / AddThis installé et configuré?
De nombreuses extensions proposent des boutons de partage. Addthis est une solution assez simple à installer. Pour optimiser votre contenu pour facebook, social meta est une fabuleuse extension Joomla qui offre de nombreux paramètres réservé à cet usage : https://github.com/vistamedia/socialmeta
Extras
Configurer Google Analytics ?
Une option aujourd'hui indispensable, attention toutefois de bien configurer afin d'obtenir des résultats proche de la réalité.
Configuration Watchful.li? (Watchful.li)
Pour gérer plusieurs sites, la solution watchful.li apporte un véritable soutien en terme de suivi et de monitoring de Joomla.
AeSecure Actif
Agissant sur la sécurité, l'optimisation et la performance, aesecure utilise tout le potentiel du fichier htaccess. Son interface ergonomique offre un véritable outil accessible à chacun du débutant à l'expert. https://www.aesecure.com/fr/
Analyse par myJoomla
Pour effectuer un audit de sécurité, myJoomla propose un très bon service en ligne : https://myjoomla.com/
Y at-il un système de sauvegarde ?
Avec ou sans solution serveur, akeeba backup est une solution leader dans la sauvegarde et la restauration de site. Il est important d'effectuer régulièrement des sauvegardes. https://www.akeebabackup.com/
Test de Sauvegarde et restauration effectué ?
Le test consiste simplement à vérifier que l'archive soit valide en effectuant une restauration. La sauvegarde doit être faite depuis l'hebergement du site en prod afin que toutes les conditions soient réunies.
Connexion (S)FTP disponible pour le support ?
Il est important de conserver un accès FTP (SFTP si possible) afin de pouvoir acceder aux fichiers directement.
Archive et exemple supprimé ?
Les versions de test et d'exemple ne doivent pas être transféré. Il est préférable de supprimer les versions qui pourraient induire en erreur et de conserver une version proche du site.
Site Web vérifié en dehors de votre propre réseau / dns ?
Un site peut être accessible sur une ou plusieurs zone en attendant le deploiement complet via les dns. Il est important de contrôler le deploiement via des sites comme http://migrationdns.com/
Vitesse et performance du site? (YSlow), (PageSpeed Insights), (WebPagetest)
Plusieurs tests existent sur le marché, le plus courant étant PageSpeed Insights : https://developers.google.com/speed/pagespeed/insights/?hl=fr
