Hacking

WordPress : « social.png », « system0 », avez-vous été hacké ?

HackingComme c’est un peu la fête du slip de la faille de sécurité sur les plugins WordPress en ce moment, il m’a semblé bon de rappeler qu’il est très important de maintenir ses plugins ainsi que son CMS à jour afin d’éviter les attaques. Toutefois, nous ne sommes jamais à l’abri et il arrive parfois que certaines brèches sont découvertes sur le tard. Récemment, ce sont les plugins All In One SEO et Jetpack qui ont été la cible des hackers. Comme quoi ça peut arriver aux meilleurs…

Tout d’abord, lors de votre choix de plugin, regardez bien de quand date la dernière mise à jour. Certains développeurs ont laissé à l’abandon leurs créations probablement par manque de temps. Il est donc plus judicieux de choisir ceux dont le développement semble être actif, les notes des utilisateurs sont aussi une bonne indication.

La plupart du temps, on a à faire à des attaques automatisées, le bot va scanner le code de votre blog pour y trouver les commentaires que laissent certains plugins. WP Super Cache par exemple va laisser un gros truc bien dégueulasse en pied de page de votre code HTML :

<!-- Dynamic page generated in 0.716 seconds. --> <!-- Page not cached by WP Super Cache. Check your settings page. Not caching requests by known users. (See Advanced Settings page) -->

Dès l’annonce d’une faille, les bots vont aller chercher ce type de commentaires, en clair il est possible de savoir en quelques secondes si tel ou tel site a une faille ouverte… On se demande bien d’ailleurs pourquoi les développeurs continuent à ajouter ce genre de choses qui ne servent à rien sinon à alourdir le poids des pages. C’est d’autant plus absurde dans mon exemple car l’idée est d’accélérer l’affichage… Bref… Notez bien que ce n’est qu’une technique parmi tant d’autres.

Pour savoir si vous avez été victime d’un hack ou si un logiciel malveillant est présent sur votre site, vous pouvez utiliser Google Webmaster Tools qui vous avertira rapidement s’il trouve quelque chose. Il faut aussi faire un tour sur votre FTP pour y dénicher les fichiers qui n’ont rien à faire sur votre serveur. Un des plus courant c’est probablement le fameux « social.png » (et ses variantes) que l’on trouve généralement à la racine de son installation ou dans le dossier du thème. Il s’agit en fait d’un fichier PHP contenant du code malicieux qui généralement se fait inclure dans le functions.php de votre thème. Du code est rajouté tout en bas et fait référence à « social.png ». D’ailleurs, j’aime bien mettre un CHMOD 444 sur ce fichier par prévention, de cette manière il n’est plus éditable depuis l’interface WordPress.

Si vous trouvez effectivement ce bout de code et des fichiers « social.png » sur votre serveur, c’est que très probablement il y a eu une intrusion. Si vous savez de quel plugin cela provient, contactez directement le développeur par email, évitez de le faire publiquement afin de ne pas propager la nouvelle faille. C’est une opération délicate que de trouver le fautif car cela peut très bien venir d’un plugin, du thème ou du CMS en lui-même…

Autre cas récurrent, souvent lié au premier, c’est la création d’un nouvel admin nommé « system0 », « system1 »… Le mieux est de supprimer tout utilisateur que vous ne connaissez pas et qui possède tous les droits d’administration.

Afin de « nettoyer » votre installation, veillez à re-télécharger une archive de WordPress sur le site officiel et d’écraser tous les fichiers afin de s’assurer de repartir sur une base saine. Assurez-vous aussi que tous vos plugins et thèmes sont à jour et qu’ils ne datent pas.

Chaque hack est différent et il souvent difficile de trouver la faille c’est pourquoi il est important de faire des sauvegardes régulières et de les archiver afin de pouvoir « revenir en arrière » en cas de pépin. N’oubliez pas de changer votre mot de passe lorsque vous aurez comblé la faille.

Lire la suite

Spotify

6 mois pour supprimer mon compte et mon profil Spotify

SpotifyL’histoire commence en Janvier où j’ai découvert comment Spotify utilisait ma photo (privée) en provenance de Facebook pour l’afficher publiquement sur mon profil intégré à leur site web. Heureusement que je surveille un minimum mon personal branding sinon il y a peu de chance que j’aurais remarqué tout ça. Comme je n’ai pas envie de devenir une personnalité publique connue, j’ai rapidement supprimé ma photo de Facebook car il n’était pas possible de le faire sur le site de Spotify… J’ai dans l’idée de n’utiliser qu’un pseudonyme sur Internet afin de me protéger mais aussi de protéger mon entourage qui n’aurait pas besoin d’être affecté par ma surexposition sur le web notamment via mes sites d’autant plus que je travaille aussi sur le marché adulte et un bad buzz pouvant arriver rapidement, le mieux étant de prévenir plutôt que guérir…

Comme il n’est ni possible de gérer la confidentialité ou de supprimer mon compte depuis leur site, j’ai donc naturellement contacté leur support. Au bout de quelques jours comme je ne recevais pas de réponse, j’ai retenté une seconde fois, puis une troisième… J’ai du envoyer une dizaine de messages par ce biais, tous restés sans réponse. Comme je ne suis pas du genre à me décourager et que je n’ai que ça à faire de toute façon, c’est sur Twitter que j’ai tenté de les contacter, tout d’abord le compte français qui ne m’a jamais répondu non plus. Je me suis alors tourné vers @SpotifyCares qui est censé assurer le support des utilisateurs. C’est donc après plusieurs mois que j’ai enfin pu contacter quelqu’un. En quelques jours mon compte était effectivement désactivé, enfin je ne pouvais pas m’y connecter…

Bien entendu mon profil public était lui toujours en ligne, il a donc fallu encore contacter leur support sur Twitter pour qu’enfin il soit définitivement effacé de leur site. Ça a été le cas, enfin un vrai soulagement lorsque j’ai vu une erreur 404 à l’adresse de mon profil. L’histoire aurait pu s’arrêter là mais c’était sans compter sur mon acharnement à faire attention à mes données indexées sur Internet…

Cette semaine, je constate que mon profil est à nouveau en ligne. Un moindre mal puisqu’il n’affichait que mon pseudo, sans mon nom, ni ma photo. Concrètement, Spotify n’est pas en mesure de supprimer complètement nos données personnelles de leurs serveurs. En théorie, mon compte ne devrait plus exister et mon activité non plus or ça n’est pas le cas. Je m’interroge maintenant sur la sécurité générale de ce service, c’est tout de même assez incroyable qu’ils sont dans l’incapacité de gérer leurs utilisateurs et leurs données. Ça semble tout de même un minimum lorsque l’on gère un site communautaire.

Pour ma part j’ai supprimé leurs applications de mes machines qu’elles soient desktop ou mobile, il est clair que je ne fais plus confiance à cette société. Je n’ose même pas imaginer l’usine à gaz qui se cache derrière tout ça. C’est assez flippant à vrai dire d’autant plus que le service est aujourd’hui pas mal connecté à Facebook dont il dépend beaucoup…

J’ai une nouvelle fois contacté leur support il y a quelques jours, et j’attends toujours une réponse concrète.

Lire la suite

WordPress

WordPress : Désactiver les pages des images attachées

WordPressJe ne sais pas pour vous mais sur la plupart des blogs que j’ai mis en production qui ne sont pas spécialement dédiés à la photographie et/ou à l’image, les pages contenant les fichiers attachés ne sont pas très utiles sinon à augmenter artificiellement le nombre de pages de votre site. C’est d’autant plus désagréable que certaines requêtes en provenance des moteurs de recherche n’arrivent pas sur votre article mais sur une page vide contenant simplement une image. Difficile d’attirer de nouveaux lecteurs si vous faites dans le rédactionnel. Ces pages sont généralement indexées à partir du flux RSS qui fait pointer les images vers ces pages spécifiques, c’est plutôt une bonne idée afin d’éviter que l’utilisateur n’arrive pas directement sur l’image mais sur votre blog.

Comme je ne suis pas un grand fan de l’utilisation de plugins à outrance, j’ai donc mis en place cette simple ligne de code dans le fichier image.php de mon thème (Vous pouvez éventuellement la créer si elle n’existe pas) :

<?php wp_redirect(get_permalink($post->post_parent)); ?>

Comme par magie lorsqu’un utilisateur cliquera sur une image dans son lecteur de flux ou s’il arrive de Google, il tombera sur l’article lié et non plus sur la page du fichier.

Lire la suite

Google Android

Android : Soutenir le libre, faire des économies et proposer un meilleur support

Google AndroidJe vous ai déjà parlé d’OmniROM, une ROM Android open source maintenue par des passionnés. Je ne vais pas vous refaire une énième éloge de cette ROM mais le fait est qu’elle est bien plus performante que celle proposée par les constructeurs qui rajoutent bien souvent tout un tas de surcouches et applications inutiles pour -soi-disant- se démarquer de leurs concurrents. Dans la pratique, les performances sont amoindries et la consommation d’énergie excessivement élevée. On se retrouve avec des smartphones puissant mais seulement en théorie.

La communauté open source est très active, il suffit de regarder des projets comme Ubuntu ou Firefox pour se rendre compte de la force de développement qu’elle est capable de mettre en oeuvre et de manière bénévole. La guerre des prix fait rage sur le marché des mobiles, tout est bon pour faire des économies pourtant on se retrouve avec des sociétés qui passent beaucoup de temps sur le développement logiciel alors qu’à la base Android est offert gratuitement par Google en échange de l’utilisation de leurs services. Certaines marques s’en sortent mieux que d’autres mais parfois le résultat final est vraiment atroce. Je pense par exemple aux premières versions de chez Wiko qui étaient abominables, le hardware étant un peu faible sur leur entrée de gamme, la partie logiciel n’arrangeait pas leurs affaires…

C’est le cas typique où fédérer une communauté open source autour de sa marque serait un réel plus. L’investissement n’est pas si énorme, commencer par offrir quelques smartphones aux développeurs que l’on peut facilement trouver sur XDA serait une bonne démarche. En proposant une ROM venant du libre il y aurait ce double avantage de la gratuité mais aussi d’une meilleure qualité, c’est indéniable. Sans parler de la publicité indirecte que cela peut engendrer. Rien empêche ensuite de proposer ses services via des applications tierces, j’irai même plus loin avec l’idée de les proposer elles aussi en open source. Le libre n’a jamais empêché de faire du commerce, loin de là.

Finalement plutôt que d’investir dans le développement maison, s’ouvrir permet de réaliser de belles économies et de proposer quelque chose de plus fiable et avec un meilleur support car les mises à jour seraient plus régulières, la fragmentation Android a toujours été le point faible de cette plateforme, l’open source permet de limiter les dégâts en proposant la même chose à tous les utilisateurs. On peut même imaginer des contributions financières à des projets comme OmniROM en échange d’un développement des ROMs sur certains modèles. Profitable à toute la communauté et améliorant ainsi l’image de marque des constructeurs. Bien entendu il faut faire preuve d’ouverture, les entreprises sont frileuses mais le gain est tellement gigantesque qu’on se demande bien pourquoi elles ne sont pas plus nombreuses à s’y mettre.

Se démarquer de la concurrence reste possible également. Sans pour autant rajouter une surcouche trop lourde, il est possible d’ajouter des fonctionnalités ou des applications originales. L’économie faite sur l’OS peut permettre de plus investir ailleurs justement. Tout le monde est gagnant et rien empêche de proposer une offre cloud payante à ses clients par exemple. Le tout est bien entendu de trouver de bonnes idées qui donneraient envie d’acheter une marque plus qu’une autre. Dans mon cas, je me suis tourné vers la gamme Nexus qui justement est très orientée développeurs. Ces smartphones relativement abordables ont une certaine ouverture qui leur permettent d’y installer de nombreuses ROM alternatives tout en conservant les services Google.

On peut aussi très bien imaginer ce modèle aux machines desktop, c’est un peu ce que fait Canonical en proposant un système libre et gratuit mais en concentrant ses activités sur le service payant pour les pros.

Votre entreprise est-elle prête à l’ouverture ?

Lire la suite

Annuaire

Référencer son site dans les annuaires et dans les sites de communiqués de presse ?

AnnuaireRéférencer un site et créer des liens c’est le dur labeur du référenceur qui doit user d’une multitude de stratagèmes pour ne pas se faire gauler par Google. Les annuaires ont longtemps été le truc génial pour se faire des liens en optimisant ses ancres, bien entendu le géant de la recherche a vite compris que ses résultats étaient manipulés par les SEO qui utilisaient ces plateformes pour booster leurs positionnements. Pour l’utilisateur, les recherches manquaient parfois de pertinence et c’est pourquoi les annuaires sont vite devenus la bête noire des moteurs de recherche. Il faut dire que la grosse majorité des productions dans le domaine sont totalement minables. Un script d’annuaire fraîchement installé, un petit argumentaire sur la home, quelques catégories et il ne reste plus qu’à faire sa publicité dans les forums pour webmasters.

Si vous suivez un peu l’actualité, vous savez qu’un grand nombre de ces annuaires se sont fait sauvagement déclassés car ils étaient clairement orienté référencement. Concrètement, il n’existe que très peu d’annuaires pensés pour l’utilisateur, ils ne servent qu’aux référenceurs et rares sont les Internautes à les utiliser réellement. Quelques uns sont nichés et ne proposent pas forcément quantité de liens mais ils restent pertinents et peuvent effectivement être utile dans des domaines particuliers. Aujourd’hui on a plus tendance à aller vers eux pas forcément pour améliorer son référencement mais plutôt pour avoir une présence sur Internet. C’est un peu ce que l’on faisait avec les sites de communiqués de presse mais eux aussi se sont pris un violent coup puisqu’ils ne proposaient rarement du contenu pertinent.

Le communiqué de presse était lui aussi un moyen plutôt intelligent de gagner des backlinks pour peu que l’on prenait le temps de faire du rédactionnel sans pour autant glisser pleins de liens dans ses articles. Ces plateformes étaient un peu « fourre-tout », difficile de trouver un intérêt pour un simple visiteur. Là encore Google a vite dézingué ces sites qui finalement étaient totalement inutiles si ce n’est pour les webmasters. A l’image des annuaires, rares sont ceux qui ont survécus et de la même manière, les sites nichés auraient plus tendance à présenter de l’intérêt.

Où parler de son site alors ?

C’est la vraie problématique du SEO aujourd’hui. Les annuaires et les sites de communiqués de presse sont très nombreux, certains se positionnent plutôt bien mais dans la réalité, rares sont ceux qui sont réellement pris en considération par les moteurs de recherche. Toutefois, il existe des moyens simples pour savoir si tel ou tel site peut effectivement vous aider à améliorer votre référencement. Tout d’abord, sur la plupart des annuaires, on a le droit à un petit argumentaire qui vous explique son intérêt. Dans 90% des cas on a le droit à un « améliorez votre référencement », « placez plusieurs liens optimisés » et j’en passe. Ce genre de chose doit vous mettre la puce à l’oreille, le webmaster a conçu sont annuaire dans le but de faire du lien. Et l’utilisateur ? Va-t-il y trouver son intérêt ? La réponse est non dans de nombreux cas.

Dans la tête d’un webmaster, faire un annuaire c’est avoir du contenu sans rien faire puisque ce sont les autres webmasters qui vont l’alimenter en créant des descriptions. Le fait est que travailler son annuaire est un travail colossale. Il faut vérifier chaque lien un à un, valider uniquement ceux qui sont vraiment pertinents et utiles. Il est évident que pour la plupart la validation se limite à vérifier que le site est en ligne. Beaucoup sont à l’abandon et il n’est pas rare de recevoir par mail des validations de site que l’on a soumis il y a 3 ou 4 ans (si ! si !)…

L’annuaire Yagoort est typiquement le genre d’annuaire qui souhaite sortir la tête de l’eau mais une nouvelle fois, c’est le coté référencement qui est mis en avant, rien n’est pensé pour l’utilisateur qui effectivement pourra tomber sur votre page mais peu de chance qu’il vous apporte de vrais clients. Ça n’a rien de personnel, c’est un exemple parmi tant d’autres mais cette nouvelle version récente montre bien qu’il y encore du travail à faire sur le coté intérêt de l’annuaire pour l’internaute. Un simple coup d’œil sur la home pour se rendre compte que certains sites indexés n’ont pas été mis à jour depuis plus de 12 ans. Pour moi, il aurait fallu repartir de zéro. Ceci-dit, il est assez propre visuellement, c’est le coté contenu qui est obsolète.

Finalement, le plus complexe est de trouver des annuaires et des sites de communiqués de presse dignes d’intérêts. Par exemple, un site dédié à une petite commune qui y référence tous ses commerces et services a une utilité par contre un annuaire présentant des centaines de milliers de liens dans diverses catégories pas toujours maintenues de manière pertinente reste à proscrire. Aujourd’hui il vaut mieux améliorer sa présence sur les réseaux sociaux et travailler son branding en créant du contenu intéressant plutôt que de faire du lien à tout va dont l’extrême majorité ne vous apportera absolument rien. Certains de ces annuaires poubelle pouvant même parasiter votre marque car il en reste encore qui sont passés entre les mailles du filet.

Lire la suite