Doc SaaS WordPress

WordPress est une application web libre de gestion de contenu, historiquement utilisé pour faire un blog. C’est l’application web la plus utilisée au monde avec plus de 30% des sites web qui l’utilise.

Nous proposons WordPress en mode SaaS pour des sites web avec une utilisation raisonnable.

Accès admin

Nous vous fournissons un accès “admin” pour le backoffice de WordPress. Nous ne fournissons pas d’accès SSH/SFTP/FTP aux fichiers.

Mises à jour

WordPress étant l’application web la plus utilisée au monde, il faut appliquer régulièrement et rapidement les mises à jour.

C’est de votre responsabilité de faire les mises à jour.

Nous vous conseillons d’activer les mises à jour automatiques.

Si le « core » de WordPress n’est à jour, vous devriez recevoir un email vous indiquant qu’une mise à jour est disponible.

Vous devez également mettre à jour les extensions et les thèmes, nous conseillons également d’activer les mises à jour automatiques pour ça.

Sécurité

Nous préconisons de restreindre l’accès à l’interface d’admin par IP, il faudra alors nous ouvrir un ticket en nous fournissant les adresses IP fixes à autoriser.

Nous conseillons d’activer les mises à jour automatique pour le « core » de WordPress, les extensions et les thèmes (voir ci-dessus).

Si possible, nous essayons d’activer une vérification que les fichiers du « core » de WordPress sont intègres. Si c’est activé, en cas de souci vous devriez recevoir un email vous indiquant que des fichiers ne sont pas intègres.

Vous pouvez également installer l’extension Wordfence qui permet d’effectuer des scans réguliers avec des résultats détaillés, d’avoir des règles de « WAF », de voir « en live » les requêtes de login, un log des actions d’admin récentes, des alertes sur certaines actions, de la protection pour le brute force, du rate-limiting, des options de sécurité, etc.

xmlrpc.php

L’accès à l’URI xmlrpc.php est désactivé par défaut, si besoin de l’activer ouvrez nous un ticket.

DNS

Vous devez faire pointer votre nom de domaine CNAME vers un enregistrement du type foo.wordpress-saas.evolix.org Si vous voulez mettre un enregistrement à la racine de votre nom de domaine, vous devrez prendre les enregistrements A et AAAA correspondant au CNAME ci-dessus.

Pour notre plateforme WordPress SaaS 2, il s’agit de 31.170.11.54 (A) et 2a01:9500:11::54 (AAAA).

Sauvegardes

Une sauvegarde de votre site est effectuée chaque nuit et conservée pendant 10 jours. Si besoin de restaurer une sauvegarde, vous pouvez nous ouvrir un ticket.

Administration

Envoi d’emails

WordPress doit pouvoir envoyer des emails, au moins pour la fonction de réinitialisation de mot de passe.

Nous vous conseillons de configurer WordPress pour que les emails soient envoyés en tant que no-reply@NOM-DE-VOTRE-INSTANCE.

Pour assurer une bonne délivrabilité, veillez à ajouter l’enregistrement suivant pour DKIM dans votre zone DNS :

dkim-wordpress01._domainkey.NOM-DE-VOTRE-INSTANCE. IN TXT ( "v=DKIM1; h=sha256; k=rsa; s=email; "
      "p=MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEArXqVnPuYKCRKUnUpWKuOB+KAk4RqxHm5omqeqVGupp5BOxsMZ0Djh6iqBU7FfYKEfTWDAtT89UivJSVx8QT1V8JUe+hvpebgSR3y5f8oVVBFA9Dw8xoWqdmJb14icFNS/xlYB9naPy4TNiZtUrQtLL7mIsVFdpGxKBAJxExpudrv9+22TAsO3o1DcDu77hMxjZJJFgPLIJNeg+"
      "ltogsM1IMp83J8RNlBJl3wHjaFqj90uy6qRIjnhEUIEofoBVFDGIIT3Te1dh8b04CjA5++u6FlPxLOtvrOWwMmtZN89nL7IIWYiA0fvGfAFVxEKqCGxceDrVEMaxFjauXeK2WGCp9Ab+KA6e5zfBrprffwgVjR3i1fvCIZ1Nxdweh6yT2K50KgDghiacxCOrFarG48AnMaR0miPVVKpRoPgPBvsOmpTLl16LKc7ZFQKG3KaoKzFH1HBi10"
      "uaKFU5McoPpKhAwsRKFyA+bM5SeyGC2Ng3dR5diTCvP50RjHu+ysun3WaLlkQKG8ncUxsiXpLozbJL9rjO5LN6bMix2QhuPDRu9wz51kXLVhY5JHWNkoOE4eIWu0y8h33m39kdOx4aug1rDvqvI655nLXO5aW1fHgn8AbLnOUOAtN+POG4sKgxe1FHT0iLDWypFLjp2ZW0AvRgOwvNnfBHIAIYYUuqv59X0CAwEAAQ==" )

Note : l’enregistrement DKIM étant long, il est noté sur plusieurs lignes, à adapter suivant votre interface de gestion de votre zone DNS

Par exemple, si votre zone DNS est chez OVH, vous devez créer un nouvel enregistrement DKIM et mettre :

Sous-domaine : dkim-nextcloud._domainkey
Version : à cocher
Algorithme (hash) : -256
Type de clé : à cocher
Clé publique (base64) * : mettre ce qu'il y a après `p=` jusqu'à la fin de parenthèse en retirant les doubles quotes, soit `MIICIjANBg…X0CAwEAAQ==`
Types de service : E-mail
Sous-domaines : La clé publique est valide pour les sous-domaines de ce domaine

Au cas où, voici l’enregistrement DNS en un seul bloc :

"v=DKIM1; h=sha256; k=rsa; s=email; p=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"

Il est également conseillé de mettre une politique DMARC stricte :

_dmarc.NOM-DE-VOTRE-INSTANCE. IN TXT "v=DMARC1;p=reject;sp=reject;aspf=s;adkim=s"