Hacking

WordPress : « social.png », « system0 », avez-vous été hacké ?

HackingComme c’est un peu la fête du slip de la faille de sécurité sur les plugins WordPress en ce moment, il m’a semblé bon de rappeler qu’il est très important de maintenir ses plugins ainsi que son CMS à jour afin d’éviter les attaques. Toutefois, nous ne sommes jamais à l’abri et il arrive parfois que certaines brèches sont découvertes sur le tard. Récemment, ce sont les plugins All In One SEO et Jetpack qui ont été la cible des hackers. Comme quoi ça peut arriver aux meilleurs…

Tout d’abord, lors de votre choix de plugin, regardez bien de quand date la dernière mise à jour. Certains développeurs ont laissé à l’abandon leurs créations probablement par manque de temps. Il est donc plus judicieux de choisir ceux dont le développement semble être actif, les notes des utilisateurs sont aussi une bonne indication.

La plupart du temps, on a à faire à des attaques automatisées, le bot va scanner le code de votre blog pour y trouver les commentaires que laissent certains plugins. WP Super Cache par exemple va laisser un gros truc bien dégueulasse en pied de page de votre code HTML :

<!-- Dynamic page generated in 0.716 seconds. --> <!-- Page not cached by WP Super Cache. Check your settings page. Not caching requests by known users. (See Advanced Settings page) -->

Dès l’annonce d’une faille, les bots vont aller chercher ce type de commentaires, en clair il est possible de savoir en quelques secondes si tel ou tel site a une faille ouverte… On se demande bien d’ailleurs pourquoi les développeurs continuent à ajouter ce genre de choses qui ne servent à rien sinon à alourdir le poids des pages. C’est d’autant plus absurde dans mon exemple car l’idée est d’accélérer l’affichage… Bref… Notez bien que ce n’est qu’une technique parmi tant d’autres.

Pour savoir si vous avez été victime d’un hack ou si un logiciel malveillant est présent sur votre site, vous pouvez utiliser Google Webmaster Tools qui vous avertira rapidement s’il trouve quelque chose. Il faut aussi faire un tour sur votre FTP pour y dénicher les fichiers qui n’ont rien à faire sur votre serveur. Un des plus courant c’est probablement le fameux « social.png » (et ses variantes) que l’on trouve généralement à la racine de son installation ou dans le dossier du thème. Il s’agit en fait d’un fichier PHP contenant du code malicieux qui généralement se fait inclure dans le functions.php de votre thème. Du code est rajouté tout en bas et fait référence à « social.png ». D’ailleurs, j’aime bien mettre un CHMOD 444 sur ce fichier par prévention, de cette manière il n’est plus éditable depuis l’interface WordPress.

Si vous trouvez effectivement ce bout de code et des fichiers « social.png » sur votre serveur, c’est que très probablement il y a eu une intrusion. Si vous savez de quel plugin cela provient, contactez directement le développeur par email, évitez de le faire publiquement afin de ne pas propager la nouvelle faille. C’est une opération délicate que de trouver le fautif car cela peut très bien venir d’un plugin, du thème ou du CMS en lui-même…

Autre cas récurrent, souvent lié au premier, c’est la création d’un nouvel admin nommé « system0 », « system1 »… Le mieux est de supprimer tout utilisateur que vous ne connaissez pas et qui possède tous les droits d’administration.

Afin de « nettoyer » votre installation, veillez à re-télécharger une archive de WordPress sur le site officiel et d’écraser tous les fichiers afin de s’assurer de repartir sur une base saine. Assurez-vous aussi que tous vos plugins et thèmes sont à jour et qu’ils ne datent pas.

Chaque hack est différent et il souvent difficile de trouver la faille c’est pourquoi il est important de faire des sauvegardes régulières et de les archiver afin de pouvoir « revenir en arrière » en cas de pépin. N’oubliez pas de changer votre mot de passe lorsque vous aurez comblé la faille.

Lire la suite

Firefox : Rendre compatible des anciens modules complémentaires

Firefox is sexy !Si comme moi vous êtes fan des plugins pour Firefox vous avez déjà surement rencontré des versions obsolètes qui vous intéressaient que vous ne pouviez pas installer ! Il est possible de les rendre compatible mais je vous préviens tout de suite il est possible que cela entraine des bugs ceci-dit la plupart du temps ça fonctionne plutôt bien.

Le système d’installation de modules complémentaires utilise des fichiers .xpi que vous allez pouvoir télécharger sur le portail de Mozilla grâce à Internet Explorer, Google Chrome ou encore Safari. En effet, ces navigateurs ne comprennent pas ce format et vous pourrez donc les rapatrier sur votre disque dur.

Décompressez le .xpi comme n’importe quelle archive Zip. En fait, les .xpi sont ni plus ni moins que des fichiers zippés, à l’intérieur vous y trouverez install.rdf qui contient les données de compatibilité. Trouvez la ligne <em:maxVersion>1.0</em:maxVersion>, cette balise donne la version maximale de Firefox où le plugin peut être installé, changez là et mettez votre numéro de version de votre navigateur (ou un numéro supérieur).

Rezippé le tout et renommez le fichier en .xpi, vous n’avez plus qu’à l’ouvrir avec Firefox et l’installation fonctionnera. Encore une fois attention car il est possible que certains plugins complexes puissent faire planter votre navigateur mais pour ma part je n’ai jamais eu de problèmes sauf avec certains thèmes qui ne s’affichaient pas correctement.

Lire la suite

WP-Media-SiteMap : Un sitemap images et vidéos pour WordPress!

Si vous êtes un utilisateur WordPress et que vous portez une attention toute particulière à votre référencement, vous avez déjà probablement installé Google XML Sitemaps qui génère automatiquement un sitemap très complet adapté à tous les moteurs de recherche. Cependant, celui-ci ne permet pas (encore) de proposer les médias qui ont été uploadés sur votre blog, c’est là qu’intervient WP-Media-SiteMap, il créé donc un autre sitemap contenant cette fois les URLs vers vos vidéos, images et animations Flash. Un bon moyen de favoriser l’indexation de ces fichiers.

L’installation est très simple, vous devez tout d’abord télécharger le plugin puis le placer dans /wp-content/plugins/ une fois dézippé. Une fois activé, il va vous demander de créer un dossier media-sitemap à la racine de votre blog avec un CHMOD 766 (pour ma part j’ai dû lui appliquer un 767). Et voilà, dès que vous aurez publié un nouveau billet, il se mettra à jour automatiquement. Rendez-vous dans les options du plugin pour trouver l’adresse de votre nouveau sitemap et soumettez-le dans Google Webmasters Tools. Enfin, allez allumer un cierge et priez le Dieu Google pour l’indexe enfin correctement vos média. Amen.

Lire la suite

Déplacer plusieurs articles dans une autre catégorie avec WordPress!

WordPressSi comme moi vous devez gérer de nombreux articles et catégories, il arrive parfois que l’on doit déplacer en masse des billets vers une autre catégorie. Hélas l’interface d’administration de WordPress ne permet pas réellement de faire cela, vous pouvez seulement ajouter une nouvelle catégorie à vos articles… C’est là qu’intervient Batch Categories. Ce plugin est vraiment très pratique puisqu’il vous permet de retirer des articles d’une catégorie ou de leur en rajouter une, bref tout ce qu’il n’est pas encore possible de faire avec le gestionnaire d’article par défaut. Ce plugin affiche 15 articles par page mais vous pouvez changer cela en vous rendant dans admin.php (dans le dossier du plugin) et changer la valeur de la variable $per_page à la ligne 22 :

$per_page = 15;

Pour ma part j’ai mis cette valeur à 100 et ça a fonctionné correctement sur mon Kimsufi…

Lire la suite

Les plugins indispensables pour WordPress !

WordPressWordPress est devenu LE moteur de blogs par excellence proposant en natif toutes les fonctionnalités nécessaires à la publication de contenu sur le web. Sa très forte communauté permet également d’obtenir de l’aide très simplement sur de nombreux forums dédiés aux webmasters ou tout simplement sur les sites officiels. La personnalisation est au cœur de WordPress, les possibilités de customisation sont quasiment illimité, les moins aguerris pourront se tourner vers l’un des nombreux thèmes disponibles sur Internet. Vous l’aurez compris cette plateforme de blog est destiné à tous. Les moins « techniciens » n’auront pas besoin de toucher au code mais les utilisateurs les plus avancés pourront en effet tout modifier afin d’obtenir un peu plus qu’un simple blog. Même si la volonté première de WordPress est d’être un moteur de blog, il est tout à fait possible de le considérer comme un CMS ! Cependant il n’intègre pas forcément des éléments essentiels en terme d’optimisation et de référencement.
(suite…)

Lire la suite