LASHÔN - WordPress Création Sites Internet

Navigation Menu

WordPress Langage

work in progress

Le php.ini pour WordPress – Optimiser et sécuriser son site ou blog

Le php.ini pour WordPress – Optimiser et sécuriser son site ou blog

Posted on 11 janvier 2016 in Internet | 1 comment

PHP.INI est un fichier de configuration du serveur PHP. Vous savez déjà que votre blog ou site WordPress fonctionne avec ce type de serveur. C’est pourquoi on choisit presque toujours un plan d’hébergement Web en Linux et non pas en Windows. Que fait-il ? Il détermine tout ce que vous indique le fichier phpinfo.php. Soit. Ce qui nous intéresse, c’est ce que peuvent en faire de simples blogueurs. Par exemple, nous allons définir un dossier d’erreurs, visible par les administrateurs plutôt que les internautes. Il peut aussi changer la capacité des scripts php de mémoire, donc la taille des uploads (images, mp3, sauvegardes ou importations de vos articles sous la forme du fichier d’exportation xml). On peut surtout encore définir des paramètres de sécurité et optimiser son blog.

Cet article fait partie de la série Sécurité et optimisation d’un blog WordPress. Il fait suite à Sécuriser son blog WordPress et lutter contre le spam – Manuel de Combat.

Avertissement : Si votre hébergeur fonctionne en Apache réel et non interprété en cgi (comme chez 1and1), vous pouvez utiliser les codes proposés pour votre .htaccess. Sinon, vous ne devez utiliser que ceux proposés pour le php.ini.

Le phpinfo

php

Configurer votre serveur PHP. Pour rappel, WordPress exige au minium une version PHP 5.3.1

Il vous donne toutes les informations inhérents à votre blog. Pour le voir, chargez en ligne un fichier phpinfo.php à la racine de votre blog (= dans le dossier où se trouve votre blog WP) avec ces seules lignes de code :

<?php phpinfo(); ?>

Ensuite

Masquer PHP

Ce n’est pas efficace extraordinairement mais il n’y a pas de petite précaution négligeable. On va truquer les apparence et faire en sorte que PHP ressemble à un autre langage. Évidemment, contre un hacker humain, ça ne sert à rien. Mais contre un script automatique…
Dans .htaccess ajoutez l’une de ces lignes :

# Afin que PHP ressemble à un autre langage
AddType application/x-httpd-php .asp .py .pl

ou

# Afin que PHP ressemble à un langage inexistant
AddType application/x-httpd-php .bop .foo .133t

ou

# Afin que PHP ressemble à du html
AddType application/x-httpd-php .htm .html

Puis renommez tous vos fichiers avec les extensions choisies.

Ou bien, encore plus simplement, dans votre php.ini ajoutez :

expose_php = Off

Cela cachera aux navigateurs la réponse header avec l’information X-Powered-By PHP/5.x.x. Autrement dit, ni version ni quoi.

http://wordpress.org/tags/phpini

Créer le fichier php.ini

Comme pour tout fichier : avec un éditeur de texte (avec Notepad pour Windows et Linux, Smultron pour Mac).

Ensuite protégez-le en ajoutant dans .htaccess :

<Files .php.ini>
order allow,deny
 deny from all
 </Files>

Augmenter la limite de mémoire

Oui mais sans exagérer hein ! Si vous tentez de passer en giga (mais pourquoi donc ?), par défaut WordPresss ramènera votre blog à 32M (ou 64M en multisites). D’autre part, votre hébergeur limite aussi cette capacité. La bonne nouvelle est que WP a prévu de tenir compte d’une limitation manuelle (fichier /wp-includes/default-constants.php ligne 37) :

	// set memory limits.
	if ( function_exists('memory_get_usage') && ( (int) @ini_get('memory_limit') < abs(intval(WP_MEMORY_LIMIT)) ) )
		@ini_set('memory_limit', WP_MEMORY_LIMIT);

f

LIRE

Compilation Utilitaires de sécurité : plugins WordPress, scanneurs online,

Posted on 4 janvier 2016 in Internet | 1 comment

Plugins WordPress de sécurité

Liste de plugins pour mieux sécuriser votre blog WordPress

WP Security Scan : Indispensable. Scanne votre installation et vous indique les failles de base quant à la sécurité et comment y remédier. Niveau débutant à moyen
ServerBuddy : Indispensable. Analyse tout ce qui se passe côté serveur hébergeur et vous indique les points à paramétrer. Niveau avancé.
WordPress Firewall : Recherche les requêtes Web avec de simples
historiques spécifiques à WordPress pour identifier et arrêter les attaques les plus évidentes. (mais pas encore mis à jour pour WP 3.1)
WordPress File Monitor : Surveille sur votre installation WordPress les fichiers ajoutés / supprimés / changés. Lorsqu’un changement est détecté une alerte email peut être envoyée à une adresse spécifiée au préalable.
WP-DB Backup : Crée des sauvegardes de votre base de données, y
compris de celles qui sont automatiques et régulières. Cela est particulièrement important parce que si vous êtes piraté vous aurez besoin d’une base de données sauvegardée dont vous savez qu’aucun contenu malveillant n’y aurait été ajouté.
Secure WordPress : Aide à sécuriser votre installation WordPress : supprime les informations d’erreur sur la page de connexion, ajoute un index.html au répertoire du plugin (module d’extension), supprime le fichier wp-version, sauf dans la zone « administrateur ».
Maximum Security : Protège des intrusions, détecte pléthore d’incidents, bloque les contenus malveillants qui pourraient nuire à vos lecteurs et à votre référencement sur les moteurs de recherche et comprend un pare-feu web puissant incluant un système complet de prévention d’intrusion.
Login LockDown WordPress Security : Enregistre l’adresse IP et l’horodatage de
chaque tentative de connexion WordPress ayant échoué. Si plus d’un certain
nombre de tentatives sont détectées dans un laps de temps court depuis la
même adresse IP, alors la fonction de connexion est désactivée pour toutes les
demandes suivantes de cette adresse.
ChapSecureLogin : Vous pouvez utiliser ce plugin (module d’extension) pour le
cryptage de votre mot de passe. Le processus de cryptage est créé par le
protocole CHAP, ce qui est particulièrement utile lorsque vous ne pouvez pas
utiliser SSL (TSL) ou tout autre type de protocole de sécurisation.
Theme Authenticity Checker : TAC recherche les fichiers source de tous les
thèmes installés pour des signes de codes malveillants. S’il y trouve un code
malveillant, TAC dévoile le chemin vers le fichier du thème, le numéro de ligne et
un petit extrait du code suspect.

Save The Developers : Ask your site’s visitors using MSIE 6 to upgrade their browser with an subtle javascript banner that disappears after appearing.

Antivirus

Vous devez avoir un antivirus installé sur votre ordinateur. Si vous n’en avez pas, dans la catégorie gratuite utilisez par exemple Avast ou AVG ou Antivir. Pour scanner votre PC,  mettez d’abord votre logiciel à jour puis redémarrez votre ordinateur en mode sans échec.

Scanneurs antivirus en ligne : BitDefender Online (à utiliser avec Explorer), Panda, Kaspersky, Secuser.com.

Logiciels anti-malwares

Logiciels divers

Voir aussi une liste de logiciels de sécurité chez Secuser.com.

Analyser, vérifier

h

LIRE

Photoblog : 4 méthodes rapides à combiner avec WordPress

Posted on 24 décembre 2015 in Internet | 0 comments

Vous êtes photographe professionnel ou amateur avancé et vous désirez construire facilement Photoblog ?  Peut-être avez-vous pensé à WordPress pour le faire car c’est un CMS génial et puissant, il est classé premier CMS sur le plan des utilisateurs de CMS. Pour rappel, un CMS est un Content Management System, soit un ensemble de codes qui vous permet de disposer d’une interface en ligne pour publier vos contenus. Donc WordPress, parce que vous avez déjà un blog ou un site ou vous y pensez. Je ne sais pas vous mais personnellement j’ai cherché longtemps des modèles de design, des Thèmes WordPress disponibles pour faire un photoblog en WordPress. Et je suis déçue du résultat de mes recherches. Mes critères étant les suivants : un design épuré, sobre qui met en valeur la photo sans toucher à sa taille originale.

Quoi de plus normal que de vouloir mettre en ligne un produit qui ressemble et reflète votre travail artistique.

Voici mes premières pistes. Dans la catégorie CMS il y a donc WordPress et quelques thèmes disponibles gratuits ou payants. Il y a Zenphoto, un CMS de galeries photos. Et il y a PixelPost, un mini CMS particulièrement adapté à la chose. Ces trois CMS sont gratuits et on peut les utiliser indépendamment ou couplés à son site WordPress ou statique. Dans la catégorie galeries photos non-CMS mais simple, il y a LightRoom de chez Adobe, qui coûte une trentaine d’euros. Merci à Gilles Cohen pour cette information.

LIRE

Ajouter WordPress sur Kimsufi

Posted on 19 décembre 2015 in Wordpress | 0 comments

Comment ajouter un CMS sur Kimsufi

Attention, il faut que le dossier soit avec le nom d’utilisateur et groupe « users ». Avec la config par défaut calée sur « même nom que répertoire ».

En sus, il faut s’être déconnectée et avoir mis à jour, redémarré

Vous ne pourrez rien importer de plus gros que 2Mn autant dire rien.

Il faut donc mettre en place un php.ini

et htaccess

Dans .htaccess :

SetEnv PHPRC /home/utilisateur/www/php.ini

Et dans php.ini augmenter la taille de la mémoire d’upload

Au minimum il faut avoir :

[PHP]

# Permettre l’upload de fichiers

file_uploads = On

# Mémoire script Maximum

memory_limit = 8M

# Maximum size of POST data that PHP will accept.

post_max_size = 8M

# Maximum allowed size for uploaded files. Cette valeur correspond à celle de votre fichier xml.

upload_max_filesize = 40M

==================================================

Bon, autre problème, on ne peut pas importer la base de données plus grosse que 2Mo. Autant dire un site wp avec 3 pages…. Inutile.

Il faut aller dans les endroits concernés, dans chaque php.ini

/usr/local/lib64/php53

/usr/local/lib64/php5

et repérer dans php.ini :

; Maximum allowed size for uploaded files.

upload_max_filesize = 2M

pour changer en

upload_max_filesize = 64M

LIRE

WordPress 3.7 est peinard et sécurisant

WordPress 3.7 est peinard et sécurisant

Posted on 28 octobre 2013 in Wordpress | 7 comments

 

Juste quelques mots brefs pour dire que cette fois ça y est, WordPress 3.7, nommé « Basie » est une version de WordPress fort réussie.
D’ailleurs ce blog a sauté dedans à pieds joints et les yeux fermés. 😉
WordPress version 3.7
Désormais vous tournerez vos blogs avec plus de sécurité quasi en dormant. La grande nouveauté est un processus de mises à jour qui va travailler en arrière fond, tout seul comme un grand. Du coup, les distraits qui oublient leur blog durant six mois auront moins de souci à se faire. Bon, le risque est toujours présent dès le moment où on met quoi que ce soit en ligne, mais il faut reconnaitre que les développeurs ont travaillé dur pour augmenter la sécurité générale. Et le confort.

L’autre grand point positif intéresse moins les utilisateurs que les développeurs, mais dites-vous que ce qui rend la vie plus facile aux développeurs, vous donnera de jolis cadeaux.
Les fichiers de traductions, s’ils existent, seront récupérés automatiquement.

Si vous rencontrez un bug en mettant à jour, c’est que votre thème ne l’est pas, ou n’est pas parfait. Changez temporairement pour le thème par défaut, Twenty Thirteen.
N’oubliez pas de désactiver toutes vos extensions dans ce cas-là pour repérer celle qui est fautive.

Enfin, vous dire que ce blog lashon.fr n’est pas mort, ni son auteur. Juste beaucoup beaucoup de travail, difficile de coder et créer des sites internet tout en écrivant des articles sur cette activité. Mais je vous reviens en décembre, puis surtout en 2014 avec plein de nouveautés.

LIRE

WordPress version 3.5.2 erreur bug

WordPress version 3.5.2 erreur bug

Posted on 28 juin 2013 in Wordpress | 15 comments

wordpress

Message très simple et très court: ça plante. Ne mettez pas à jour, attendez la version de correction suivante.

Sauvegardes et modifications des articles et pages dans WordPress impossible ?

Le défaut de 3.5.2 est majeur puisque dans certains cas, avec certains templates, on ne peut rien sauvegarder, vous ne pourrez pas mettre à jour la modification d’un article. Ce qui est embêtant parce que  les corrections de cette version sont de nature à corriger des failles de sécurité. Donc je vous propose ceci : sauvegardez toujours tout avant de toucher à quoi que ce soit, puis tentez la mise à jour, mais soyez prêts à revenir à la précédente si vous constatez le bug.

Pour ceux qui ont déjà mis à jour, si ça plante, revenez à la version précédente. Comment faire ? Téléchargez la version 3.5.1 précédente. Ouvrez un logiciel FTP, supprimez tous les dossiers WordPress sauf wp-content . Puis téléversez les dossiers anciens. Rendez-vous sur votre site partie wp-admin, cliquez sur mettre à jour la basse de données, c’est tout.

A part ça le remède ? Juste attendre. Je donnerai des news dès que j’en ai, dès que j’ai le temps d’investiguer plus avant la question.

à suivre

LIRE