image border bottom

Le php.ini pour WordPress – Optimiser et sécuriser son site ou blog

janvier 11, 2016 Author: Tikoun Category: Internet  0 Comments

PHP.INI est un fichier de configuration du serveur PHP. Vous savez déjà que votre blog ou site WordPress fonctionne avec ce type de serveur. C’est pourquoi on choisit presque toujours un plan d’hébergement Web en Linux et non pas en Windows. Que fait-il ? Il détermine tout ce que vous indique le fichier phpinfo.php. Soit. Ce qui nous intéresse, c’est ce que peuvent en faire de simples blogueurs. Par exemple, nous allons définir un dossier d’erreurs, visible par les administrateurs plutôt que les internautes. Il peut aussi changer la capacité des scripts php de mémoire, donc la taille des uploads (images, mp3, sauvegardes ou importations de vos articles sous la forme du fichier d’exportation xml). On peut surtout encore définir des paramètres de sécurité et optimiser son blog.

Cet article fait partie de la série Sécurité et optimisation d’un blog WordPress. Il fait suite à Sécuriser son blog WordPress et lutter contre le spam – Manuel de Combat.

Avertissement : Si votre hébergeur fonctionne en Apache réel et non interprété en cgi (comme chez 1and1), vous pouvez utiliser les codes proposés pour votre .htaccess. Sinon, vous ne devez utiliser que ceux proposés pour le php.ini.

Le phpinfo

php

Configurer votre serveur PHP. Pour rappel, WordPress exige au minium une version PHP 5.3.1

Il vous donne toutes les informations inhérents à votre blog. Pour le voir, chargez en ligne un fichier phpinfo.php à la racine de votre blog (= dans le dossier où se trouve votre blog WP) avec ces seules lignes de code :

<?php phpinfo(); ?>

Ensuite

Masquer PHP

Ce n’est pas efficace extraordinairement mais il n’y a pas de petite précaution négligeable. On va truquer les apparence et faire en sorte que PHP ressemble à un autre langage. Évidemment, contre un hacker humain, ça ne sert à rien. Mais contre un script automatique…
Dans .htaccess ajoutez l’une de ces lignes :

# Afin que PHP ressemble à un autre langage
AddType application/x-httpd-php .asp .py .pl

ou

# Afin que PHP ressemble à un langage inexistant
AddType application/x-httpd-php .bop .foo .133t

ou

# Afin que PHP ressemble à du html
AddType application/x-httpd-php .htm .html

Puis renommez tous vos fichiers avec les extensions choisies.

Ou bien, encore plus simplement, dans votre php.ini ajoutez :

expose_php = Off

Cela cachera aux navigateurs la réponse header avec l’information X-Powered-By PHP/5.x.x. Autrement dit, ni version ni quoi.

http://wordpress.org/tags/phpini

Créer le fichier php.ini

Comme pour tout fichier : avec un éditeur de texte (avec Notepad pour Windows et Linux, Smultron pour Mac).

Ensuite protégez-le en ajoutant dans .htaccess :

<Files .php.ini>
order allow,deny
 deny from all
 </Files>


Augmenter la limite de mémoire

Oui mais sans exagérer hein ! Si vous tentez de passer en giga (mais pourquoi donc ?), par défaut WordPresss ramènera votre blog à 32M (ou 64M en multisites). D’autre part, votre hébergeur limite aussi cette capacité. La bonne nouvelle est que WP a prévu de tenir compte d’une limitation manuelle (fichier /wp-includes/default-constants.php ligne 37) :

	// set memory limits.
	if ( function_exists('memory_get_usage') && ( (int) @ini_get('memory_limit') < abs(intval(WP_MEMORY_LIMIT)) ) )
		@ini_set('memory_limit', WP_MEMORY_LIMIT);

f

Compilation Utilitaires de sécurité : plugins WordPress, scanneurs online,

janvier 04, 2016 Author: Tikoun Category: Internet  0 Comments


Plugins WordPress de sécurité

Liste de plugins pour mieux sécuriser votre blog WordPress

WP Security Scan : Indispensable. Scanne votre installation et vous indique les failles de base quant à la sécurité et comment y remédier. Niveau débutant à moyen
ServerBuddy : Indispensable. Analyse tout ce qui se passe côté serveur hébergeur et vous indique les points à paramétrer. Niveau avancé.
WordPress Firewall : Recherche les requêtes Web avec de simples
historiques spécifiques à WordPress pour identifier et arrêter les attaques les plus évidentes. (mais pas encore mis à jour pour WP 3.1)
WordPress File Monitor : Surveille sur votre installation WordPress les fichiers ajoutés / supprimés / changés. Lorsqu’un changement est détecté une alerte email peut être envoyée à une adresse spécifiée au préalable.
WP-DB Backup : Crée des sauvegardes de votre base de données, y
compris de celles qui sont automatiques et régulières. Cela est particulièrement important parce que si vous êtes piraté vous aurez besoin d’une base de données sauvegardée dont vous savez qu’aucun contenu malveillant n’y aurait été ajouté.
Secure WordPress : Aide à sécuriser votre installation WordPress : supprime les informations d’erreur sur la page de connexion, ajoute un index.html au répertoire du plugin (module d’extension), supprime le fichier wp-version, sauf dans la zone « administrateur ».
Maximum Security : Protège des intrusions, détecte pléthore d’incidents, bloque les contenus malveillants qui pourraient nuire à vos lecteurs et à votre référencement sur les moteurs de recherche et comprend un pare-feu web puissant incluant un système complet de prévention d’intrusion.
Login LockDown WordPress Security : Enregistre l’adresse IP et l’horodatage de
chaque tentative de connexion WordPress ayant échoué. Si plus d’un certain
nombre de tentatives sont détectées dans un laps de temps court depuis la
même adresse IP, alors la fonction de connexion est désactivée pour toutes les
demandes suivantes de cette adresse.
ChapSecureLogin : Vous pouvez utiliser ce plugin (module d’extension) pour le
cryptage de votre mot de passe. Le processus de cryptage est créé par le
protocole CHAP, ce qui est particulièrement utile lorsque vous ne pouvez pas
utiliser SSL (TSL) ou tout autre type de protocole de sécurisation.
Theme Authenticity Checker : TAC recherche les fichiers source de tous les
thèmes installés pour des signes de codes malveillants. S’il y trouve un code
malveillant, TAC dévoile le chemin vers le fichier du thème, le numéro de ligne et
un petit extrait du code suspect.

Save The Developers : Ask your site’s visitors using MSIE 6 to upgrade their browser with an subtle javascript banner that disappears after appearing.

Antivirus

Vous devez avoir un antivirus installé sur votre ordinateur. Si vous n’en avez pas, dans la catégorie gratuite utilisez par exemple Avast ou AVG ou Antivir. Pour scanner votre PC,  mettez d’abord votre logiciel à jour puis redémarrez votre ordinateur en mode sans échec.

Scanneurs antivirus en ligne : BitDefender Online (à utiliser avec Explorer), Panda, Kaspersky, Secuser.com.

Logiciels anti-malwares


Logiciels divers

Voir aussi une liste de logiciels de sécurité chez Secuser.com.

Analyser, vérifier

h

Photoblog : 4 méthodes rapides à combiner avec WordPress

décembre 24, 2015 Author: Tikoun Category: Internet  0 Comments

Vous êtes photographe professionnel ou amateur avancé et vous désirez construire facilement Photoblog ?  Peut-être avez-vous pensé à WordPress pour le faire car c’est un CMS génial et puissant, il est classé premier CMS sur le plan des utilisateurs de CMS. Pour rappel, un CMS est un Content Management System, soit un ensemble de codes qui vous permet de disposer d’une interface en ligne pour publier vos contenus. Donc WordPress, parce que vous avez déjà un blog ou un site ou vous y pensez. Je ne sais pas vous mais personnellement j’ai cherché longtemps des modèles de design, des Thèmes WordPress disponibles pour faire un photoblog en WordPress. Et je suis déçue du résultat de mes recherches. Mes critères étant les suivants : un design épuré, sobre qui met en valeur la photo sans toucher à sa taille originale.

Quoi de plus normal que de vouloir mettre en ligne un produit qui ressemble et reflète votre travail artistique.

Voici mes premières pistes. Dans la catégorie CMS il y a donc WordPress et quelques thèmes disponibles gratuits ou payants. Il y a Zenphoto, un CMS de galeries photos. Et il y a PixelPost, un mini CMS particulièrement adapté à la chose. Ces trois CMS sont gratuits et on peut les utiliser indépendamment ou couplés à son site WordPress ou statique. Dans la catégorie galeries photos non-CMS mais simple, il y a LightRoom de chez Adobe, qui coûte une trentaine d’euros. Merci à Gilles Cohen pour cette information.

Ajouter WordPress sur Kimsufi

décembre 19, 2015 Author: Tikoun Category: Wordpress  0 Comments


Comment ajouter un CMS sur Kimsufi

Attention, il faut que le dossier soit avec le nom d’utilisateur et groupe « users ». Avec la config par défaut calée sur « même nom que répertoire ».

En sus, il faut s’être déconnectée et avoir mis à jour, redémarré

Vous ne pourrez rien importer de plus gros que 2Mn autant dire rien.

Il faut donc mettre en place un php.ini

et htaccess

Dans .htaccess :

SetEnv PHPRC /home/utilisateur/www/php.ini

Et dans php.ini augmenter la taille de la mémoire d’upload

Au minimum il faut avoir :

[PHP]

# Permettre l’upload de fichiers

file_uploads = On

# Mémoire script Maximum

memory_limit = 8M

# Maximum size of POST data that PHP will accept.

post_max_size = 8M

# Maximum allowed size for uploaded files. Cette valeur correspond à celle de votre fichier xml.

upload_max_filesize = 40M

==================================================

Bon, autre problème, on ne peut pas importer la base de données plus grosse que 2Mo. Autant dire un site wp avec 3 pages…. Inutile.

Il faut aller dans les endroits concernés, dans chaque php.ini

/usr/local/lib64/php53

/usr/local/lib64/php5

et repérer dans php.ini :

; Maximum allowed size for uploaded files.

upload_max_filesize = 2M

pour changer en

upload_max_filesize = 64M

WordPress 3.7 est peinard et sécurisant

octobre 28, 2013 Author: Tikoun Category: Wordpress  8 Comments

 

Juste quelques mots brefs pour dire que cette fois ça y est, WordPress 3.7, nommé « Basie » est une version de WordPress fort réussie.
D’ailleurs ce blog a sauté dedans à pieds joints et les yeux fermés. 😉
WordPress version 3.7
Désormais vous tournerez vos blogs avec plus de sécurité quasi en dormant. La grande nouveauté est un processus de mises à jour qui va travailler en arrière fond, tout seul comme un grand. Du coup, les distraits qui oublient leur blog durant six mois auront moins de souci à se faire. Bon, le risque est toujours présent dès le moment où on met quoi que ce soit en ligne, mais il faut reconnaitre que les développeurs ont travaillé dur pour augmenter la sécurité générale. Et le confort.

L’autre grand point positif intéresse moins les utilisateurs que les développeurs, mais dites-vous que ce qui rend la vie plus facile aux développeurs, vous donnera de jolis cadeaux.
Les fichiers de traductions, s’ils existent, seront récupérés automatiquement.

Si vous rencontrez un bug en mettant à jour, c’est que votre thème ne l’est pas, ou n’est pas parfait. Changez temporairement pour le thème par défaut, Twenty Thirteen.
N’oubliez pas de désactiver toutes vos extensions dans ce cas-là pour repérer celle qui est fautive.

Enfin, vous dire que ce blog lashon.fr n’est pas mort, ni son auteur. Juste beaucoup beaucoup de travail, difficile de coder et créer des sites internet tout en écrivant des articles sur cette activité. Mais je vous reviens en décembre, puis surtout en 2014 avec plein de nouveautés.

WordPress version 3.5.2 erreur bug

juin 28, 2013 Author: Tikoun Category: Wordpress  18 Comments

wordpress

Message très simple et très court: ça plante. Ne mettez pas à jour, attendez la version de correction suivante.

Sauvegardes et modifications des articles et pages dans WordPress impossible ?

Le défaut de 3.5.2 est majeur puisque dans certains cas, avec certains templates, on ne peut rien sauvegarder, vous ne pourrez pas mettre à jour la modification d’un article. Ce qui est embêtant parce que  les corrections de cette version sont de nature à corriger des failles de sécurité. Donc je vous propose ceci : sauvegardez toujours tout avant de toucher à quoi que ce soit, puis tentez la mise à jour, mais soyez prêts à revenir à la précédente si vous constatez le bug.

Pour ceux qui ont déjà mis à jour, si ça plante, revenez à la version précédente. Comment faire ? Téléchargez la version 3.5.1 précédente. Ouvrez un logiciel FTP, supprimez tous les dossiers WordPress sauf wp-content . Puis téléversez les dossiers anciens. Rendez-vous sur votre site partie wp-admin, cliquez sur mettre à jour la basse de données, c’est tout.

A part ça le remède ? Juste attendre. Je donnerai des news dès que j’en ai, dès que j’ai le temps d’investiguer plus avant la question.

à suivre

auto-entrepreneurs: L’esprit d’entreprendre peut-il mourir ?

mai 24, 2013 Author: Tikoun Category: Entreprendre  36 Comments

Coup de gueule pour réagir aux récentes intentions castratrices du gouvernement. C’est que les vilains veulent castrer les auto-entrepreneurs en limitant leur régime à 2 ans.
C’est la mort annoncée des concepteurs indépendants. Bientôt la fin du régime des auto-entrepreneurs ? L’auto-entreprise, pour ne pas dire l’énergie entrepreneuriale est encore une fois agressée et brimée. Si les recommandations de Madame Pinel passent et que la loi est votée, le régime social sera limité dans le temps, deux ans, pour tout indépendant qui bosse en auto-entreprise à titre d’activité principale. Qui bosse bien, quoi. Dès la rentrée, ce sera l’agonie d’un système qui permettait vraiment de s’en tirer selon la règle de « si tu te lèves tôt et que tu bosses tu t’en tires, tu réussis ». Car non, le travail au noir n’est PAS une alternative. Si le gouvernement, lui, n’a pas le sens civique du respect des travailleurs et entrepreneurs, je ne le suivrai pas dans cette bassesse.

Continue Reading...

Kimsufi nom de domaine en .FR – domaine sur serveur dédié

septembre 27, 2012 Author: Tikoun Category: Internet  6 Comments

Kimsufi nom de domaine : comment ajouter un domaine .fr sur un serveur dédié. Tutoriel simple et sans console de lignes de commande pour ajouter un nom de domaine dans n’importe quelle extension, et notamment le cas particulier d’un ajout de domaine en .FR. L’extension en .FR a ses propres règles, imposées par l’Afnic, si bien que son ajout sur un serveur dédié peut s’avérer une prise de tête. Pourtant, il suffit de respecter scrupuleusement quelques étapes pour arriver à installer votre nom de domaine sur un serveur dédié, Kimsufi. Cet article est valable pour les autres serveurs dédiés.

Continue Reading...

Référencement d’un site Web : mon travail sur FileZilla.fr

juin 29, 2012 Author: Tikoun Category: Referencement  41 Comments

Une histoire pratique et concrète du référencement d’un site. Ce qui peut changer en terme de conversion d’un site statique en html/php vers WordPress, de l’impact des redirections 301, du référencement naturel et de la lutte avec Google lors de l’application de Google Penguin, ou au contraire de l’utilisation pleinement harmonieuse avec les outils Google.Comme webdesigner, j’ai eu le plaisir de mettre sur pied le site FileZila.fr. Il s’agit du site francophone du très célèbre logiciel client FTP, FileZilla.

Continue Reading...

Rapports différents de Google Analytics et revenus Adsense, statistiques décalées

décembre 05, 2011 Author: Tikoun Category: Internet  6 Comments

Entrons dans les méandres de Google et les secrets des rapports entre les statistiques de Google Analytics et des revenus Adsense. Je tenterai d’expliquer pourquoi il existe une si grande différence entre les statistiques délivrés par Adsense et Analytic. On parlera aussi de ce que coûte un site web à long terme et de ce qu’il peut vous apporter. Des régies publicitaires et des trucs statistiques. Comprendre les outils Google, ce qui est recensé, ce qui est pénalisé, comment ça marche. Infos, vidéos, différences.

Continue Reading...