Résultat obtenu sur WooRank

Résultat sur WooRank

Sécurité et performance

Résultats du test de performance de la page web sur webpagetest.org

Les résultats du test de performance montrent une mauvaise configuration du cache et des images du site web propulsé par WordPress.

Résultats du rapport de sécurité de la page web sur securityheaders.com

Aucune en-tête de sécurité n'est paramétrée.

Résultats du rapport de sécurité de la page web sur snyk.io

Le rapport de sécurité est à tout le moins défavorable.

Billet de blog publié par Gilles Bailleux le 27/01/2022 à 20:57

Dans la nuit du 26 au 27 janvier 2022, 35.000 affiches sont collées à Paris. Sur celles-ci, un QR code renvoie au site web avecvous2022.fr dont les mentions légales montrent qu'il est financé par le parti politique du président de la République française. Le buzz est parfaitement réussi : tous les médias français relatent l'initiative et le site web est largement commenté sur les réseaux sociaux.

Un concept interactif et avant-gardiste développé en urgence

La démocratie participative est née il y a quelques décennies dans les pays scandinaves, où les citoyens contribuent activement à la prise de décisions politiques. Or en France, inviter les citoyens à s'exprimer sur des enjeux démocratiques via un site web est un concept presque avant-gardiste. En effet, la scène politique française montre essentiellement des personnalités qui prennent des postures destinées à mettre en valeur leur force de caractère. Leurs interventions médiatiques servent de base au débat politique et les électeurs n'ont finalement pas d'autre choix que de se positionner par rapport à quelques petites phrases. L'équipe de campagne du président de la République française a bien senti qu'il est plus que temps de renverser la perspective.

La mise en pratique de cette bonne idée me laisse cependant sur ma faim car je ne comprends pas pourquoi un site web aussi bien élaboré conceptuellement possède une infrastructure aussi bancale. J'émets l'hypothèse que ce site web a été développé en urgence.

Environnement serveur

Le site web est propulsé par WordPress 5.8.3, or la version 5.9 est disponible. La configuration de l'environnement serveur est surprenante pour un site web de cette envergure : il existe de réelles vulnérabilités au niveau des bibliothèques de scripts, aucune en-tête de sécurité n'est paramétrée et le travail sur le caching est tout simplement inexistant. Résoudre ces erreurs ne demande pas beaucoup de temps et n'exige pas de compétences exceptionnelles.

Métadonnées structurées

L'extension WooRank fournit un aperçu détaillé des métadonnées structurées implémentées sur la page d'accueil. Le score du potentiel d'efficacité marketing est porté à 63/100, ce qui offre une belle marge de progression. Voici un tour d'horizon, non exhaustif, des erreurs constatées :

  • la balise <title> ne comporte pas suffisamment de caractères
  • le sitemap n'est pas déclaré dans le fichier robots.txt
  • l'URL canonique utilise un protocole HTTP non sécurisé : un comble, pour la page d'accueil d'un site web
  • les balises Open Graph sont réduites au strict minimum et parfois rédigées avec des majuscules (avec une très faible valeur sémantique) : <meta property="og:image" content="../AV-VIGNETTE-YOUTUBE-TEASER-1.jpg" />
  • les balises Twitter Card sont réduites au strict minimum et sont peu pertinentes (le temps de lecture de la page d'accueil est de 60 minutes, par exemple)
  • les headings sont mal construits : il n'y a pas de H1
  • il y a une balise en double qui ne devrait de surcroît pas être insérée étant donné qu'elle normalement est implémentée via une application Facebook :
    <meta name="facebook-domain-verification" content="" />
  • il y a des images sans titre ni texte alternatif et un bien curieux logo au niché au milieu du code

Pour le surplus, il y a du contenu mixte : alors que le site web utilise le protocole sécurisé HTTPS, il y a 26 occurrences de contenu non chiffré via le protocole non sécurisé HTTP.

26 occurrences de contenu non chiffré via le protocole non sécurisé HTTP

Types de schémas

Afin d'implémenter des types de schémas construits selon la nomenclature de Schema.org, le site web utilise le module Yoast. Il existe plusieurs manières de configurer Yoast, notamment en définissant une série de jetons qui vont implémenter le contenu de champs dans les propriétés du type de schéma. Or plusieurs de ces champs n’ont visiblement pas été remplis.

La page web déclare cinq types de schémas et seuls deux d’entre eux sont validés par Google.

Cinq types de schémas sont implémentés dans la page web

Conclusion

Ce site web sert de préambule à une annonce d'Emmanuel Macron au cours de laquelle il se déclarera candidat à sa propre succession. L'enjeu démocratique est majeur et les équipes de communication ont certainement planifié de longue date ce site web dans leur agenda de campagne. Or l'environnement serveur n'est pas sain, les métadonnées structurées sont mal configurées et les types de schémas sont mal implémentés.

Je refuse de croire que la mise en production de ce site web ait sciemment été confiée à des personnes qui ne maîtrisent pas le web. A mon estime, ce site web était en développement auprès d'une équipe ; un problème, dont j'ignore la nature, est intervenu et le projet a été retiré à cette équipe. Une autre équipe a alors été contrainte de reprendre le projet en urgence et a travaillé d'arrache-pied pour que le site web soit mis en ligne dans les délais. Trois éléments viennent en appui de cette hypothèse :

  1. La page "Nous rejoindre", probablement une des plus importantes en termes de stratégie, est vide
  2. le lien "Contactez-nous" ne renvoie pas à un formulaire mais à une simple adresse électronique implémentée en clair (comme en 1994)
  3. L'insertion de la balise <meta name="facebook-domain-verification" content="" /> montre que l'équipe n'a pas eu le temps de développer une application Facebook

Si mon hypothèse est exacte, toutes les erreurs répertoriées ci-dessus seront corrigées en moins d'une semaine. Wait and see.