LASHÔN - WordPress Création Sites Internet

Navigation Menu

Compilation Utilitaires de sécurité : plugins WordPress, scanneurs online,

Posted on 4 janvier 2016 in Internet | 1 comment

Plugins WordPress de sécurité

Liste de plugins pour mieux sécuriser votre blog WordPress

WP Security Scan : Indispensable. Scanne votre installation et vous indique les failles de base quant à la sécurité et comment y remédier. Niveau débutant à moyen
ServerBuddy : Indispensable. Analyse tout ce qui se passe côté serveur hébergeur et vous indique les points à paramétrer. Niveau avancé.
WordPress Firewall : Recherche les requêtes Web avec de simples
historiques spécifiques à WordPress pour identifier et arrêter les attaques les plus évidentes. (mais pas encore mis à jour pour WP 3.1)
WordPress File Monitor : Surveille sur votre installation WordPress les fichiers ajoutés / supprimés / changés. Lorsqu’un changement est détecté une alerte email peut être envoyée à une adresse spécifiée au préalable.
WP-DB Backup : Crée des sauvegardes de votre base de données, y
compris de celles qui sont automatiques et régulières. Cela est particulièrement important parce que si vous êtes piraté vous aurez besoin d’une base de données sauvegardée dont vous savez qu’aucun contenu malveillant n’y aurait été ajouté.
Secure WordPress : Aide à sécuriser votre installation WordPress : supprime les informations d’erreur sur la page de connexion, ajoute un index.html au répertoire du plugin (module d’extension), supprime le fichier wp-version, sauf dans la zone « administrateur ».
Maximum Security : Protège des intrusions, détecte pléthore d’incidents, bloque les contenus malveillants qui pourraient nuire à vos lecteurs et à votre référencement sur les moteurs de recherche et comprend un pare-feu web puissant incluant un système complet de prévention d’intrusion.
Login LockDown WordPress Security : Enregistre l’adresse IP et l’horodatage de
chaque tentative de connexion WordPress ayant échoué. Si plus d’un certain
nombre de tentatives sont détectées dans un laps de temps court depuis la
même adresse IP, alors la fonction de connexion est désactivée pour toutes les
demandes suivantes de cette adresse.
ChapSecureLogin : Vous pouvez utiliser ce plugin (module d’extension) pour le
cryptage de votre mot de passe. Le processus de cryptage est créé par le
protocole CHAP, ce qui est particulièrement utile lorsque vous ne pouvez pas
utiliser SSL (TSL) ou tout autre type de protocole de sécurisation.
Theme Authenticity Checker : TAC recherche les fichiers source de tous les
thèmes installés pour des signes de codes malveillants. S’il y trouve un code
malveillant, TAC dévoile le chemin vers le fichier du thème, le numéro de ligne et
un petit extrait du code suspect.

Save The Developers : Ask your site’s visitors using MSIE 6 to upgrade their browser with an subtle javascript banner that disappears after appearing.

Antivirus

Vous devez avoir un antivirus installé sur votre ordinateur. Si vous n’en avez pas, dans la catégorie gratuite utilisez par exemple Avast ou AVG ou Antivir. Pour scanner votre PC,  mettez d’abord votre logiciel à jour puis redémarrez votre ordinateur en mode sans échec.

Scanneurs antivirus en ligne : BitDefender Online (à utiliser avec Explorer), Panda, Kaspersky, Secuser.com.

Logiciels anti-malwares

Logiciels divers

Voir aussi une liste de logiciels de sécurité chez Secuser.com.

Analyser, vérifier

h

LIRE

Uploads Médias et Mémoire dans WordPress: taille fichiers, téléchargements, plugins

Uploads Médias et Mémoire dans WordPress: taille fichiers, téléchargements, plugins

Posted on 26 mars 2011 in Wordpress | 10 comments

Memory Limit

La limite de mémoire dans WordPress dépend de votre hébergeur.

Comment gérer vos uploads, ces fichiers que vous insérez dans vos articles et la taille permise ?  Comment gérer ou permettre des téléchargements? Comment gérer le message d’erreur sur la taille de la mémoire ?

Tous les fichiers téléversés (uploadés) via un article ou une page WordPress se retrouvent dans la bibliothèque des Médias. Pour une image simple, pas de souci. Mais pour d’autres types de fichiers ou de gros fichiers à rendre disponibles en téléchargements, ça se corse. La première information à connaître pour savoir ce que votre site permet actuellement, c’est la taille permise pour ces fichiers.

Rendez-vous dans votre tableau de bord à l’onglet Médias. Cliquez sur Ajouter un fichier. Une ligne vous renseigne la taille permise : Taille maximale des fichiers : 8MB. Cette taille dépend de plusieurs facteurs. Elle dépend de l’hébergeur et elle dépend de WordPress. Si votre hébergeur limite, il va falloir installer un fichier ini.php ou utiliser un plugin. Mais c’est un pari et un match serré. Parfois on peut gérer ça directement dans son panneau d’administration. Chez les hébergeurs français, je n’ai jamais vu cette possibilité. Mon hébergeur Westhost me permet, sans toucher à une ligne de code, une taille de 64MB en upload. Ce qui est une excellente limite, et je peux la modifier. Chez l’hébergeur français o2switch dont je parlerai bientôt, vous ne serez pas limité, ils ont récemment augmenté leur mémoire à 500MB. De quoi voir venir…

Voyez aussi la documentation du Codex.

Pour connaître les informations utiles et contraintes dues à votre hébergeur

Installez l’un de ces plugins :

WordPress Multisites

Dans un multisites c’est facile. La taille des uploads permise se gère dans les réglages de la partie Admin du réseau. Précisez la taille des uploads en allant dans Admin du Réseau puis Réglages à la ligne Envois des fichiers. Indiquez la taille désirée dans Taille maximale des fichiers.

Reglage

Reglage taille des fichiers dans un réseau WordPress Multisites

Je recommande l’extrême prudence si vous permettez l’upload de gros fichiers, et de se discipliner soi-même lors de la publication des images. De les réduire avant.  En principe les plugins de téléchargement gèrent bien la taille des uploads et il est préférable que l’upload permis ne soit pas supérieur à la taille par défaut sauf pour les téléchargements. Si votre multisites est un réseau, il vaut mieux permettre via un plugin de charger ses gros uploads via FTP (avec Fillezilla donc) au lieu de permettre aux utilisateurs des sites sur votre réseau de balancer de grosses tailles.

WordPress simple, gestion des Uploads

Dans un WP normal vous ne pouvez pas modifier cette taille par défaut de 8MB, à moins de bidouiller dans le Core. Pas conseillé puisqu’il faudra le faire à chaque mise à jour. Quelles solutions ?

– On peut écrire à son hébergeur pour leur demander d’augmenter la taille des fichiers uploadés permise.

– On peut installer un plugin (voir plus bas).

– On peut uploader son gros fichier directement dans son répertoire uploads qui est par défaut dans wp-content/uploads. Simple et rapide.

– Plus complexe, on peut modifier ces valeurs contraintes par l’hébergeur

En modifiant le fichier php.ini, le .htaccess ou le wp-config.php de WP. Le problème de cette dernière solution et que son succès dépend de votre hébergeur. Pas seulement le succès, vous pouvez aussi tout faire planter si vous ne savez pas ce que vous faites. Donc avant de modifier quoi que ce soit, faites une sauvegarde de votre base de données et des fichiers que vous modifiez.

Si vous avez accès à votre dossier Apache c’est parfait. Mais c’est rare. Trouvez le fichier suivant /etc/php5/apache/php.ini et repérez upload_max_filesize. Juste modifier la valeur.

Pour les hébergeurs qui interprètent le code en vrai Apache, on peut directement augmenter la taille en insérant ceci dans .htaccess :

php_value upload_max_filesize 32M
php_value post_max_size 32M
php_value memory_limit 64M

Et/ou essayer d’ajouter dans wp-config.php:

define('WP_MEMORY_LIMIT', '64M');

N’essayez pas cette méthode si vous êtes hébergés chez 1&1 ou si les infos vous disent que le Rewriting est interprété en CGI.

Ajout dans un fichier php.ini

memory_limit = 64M
upload_max_filesize = 32M
post_max_size = 32M
file_uploads = On

Encore faut-il, chez certains hébergeurs, que ce fichier php.ini soit installé dans tous les répertoires pour que ça fonctionne…. Voir un tuto chez 1&1 pour réaliser la chose automatiquement.

Augmenter la taille de mémoire scripts

Les opérations précédentes peuvent corriger le problème d’erreur telle que Fatal error: Allowed memory size of 33554432 bytes exhausted.
Mais. Si votre hébergeur vous limite c’est que votre plan d’hébergement n’est pas bien gros. Jouer avec ces réglages peut entraîner une sévère mise en garde voire un blocage de la part de votre hébergeur qui considèrera votre blog devenu trop gourmand. Pesez bien à quelle fin vous réalisez cette modification. Si vous l’installer juste pour pouvoir uploader quelques gros fichiers, pas de problème. Mais si vous comptez générer plus de mémoire et de bande passante, attention aux mesures punitives. Par ailleurs, il faut savoir que c’est une méthode généralement vaine. Ce que l’hébergeur permet ne peut pas réellement être modifié, malgré tous les fichiers ini placés. D’où l’importance, avant toute opération complexe, d’analyser son hébergement au moyen des plugins proposés en haut de cet article.

Et si votre hébergeur ne vous convient pas, changez-en. Ce n’est pas la mer à boire. Pour migrer votre site ailleurs, utilisez l’excellent plugin WP Migrate DB pour générer la copie vraiment utile de migration de votre base de données, téléchargez tout votre dossier wp-content et c’est tout. Il n’y a plus qu’à installer un WP, créer une base de données vide, importer la vôtre et charger votre wp-content avec Filezilla. C’est tout.

Taille et poids des images

La question de la taille de vos images en pixels se gère via l’onglet Réglages puis Médias. Elle est aussi définie par le thème WP que vous utilisez. Si vous créez votre propre thème ou que vous en changez, la taille de vos vignettes peut être différente. Même remarque si vous utilisez un plugin pour vos galeries d’images. En cas de changement de plugin ou de changement de vos réglages, il faut modifier en masse la taille des images générées précédement. Utilisez le plugin AJAX Thumbnail Rebuild à cette fin. Très simple et véritablement pratique.

Le poids de vos images dépend de leur définition. Il n’est franchement pas utile de laisser un énorme poids pour afficher sur Internet. Compressez vos images à maximum 72. Si vous ne savez pas comment faire, installez le plugin Smushit qui le fera automatiquement pour vous à chaque (nouvel) upload. Pour les anciennes déjà uploadées, deux solutions : soit aller dans votre bibliothèque et cliquez sur resmush à côté de chaque image, soit  télécharger sur votre bureau votre dossier uploads et envoyer vos images dans l’outil smush.it de Yahoo. Ensuite vous pouvez télécharger vos images compressées et les renvoyer en ligne. Attention, si vous envoyez trop d’images à la fois cela génèrera une erreur. Recommencez avec moins (une 20aine). Le nec plus ultra de cet outil est que vous téléchargez vos images compressées au format zip en conservant les adresses de dossiers.

Quelques plugins utiles pour la gestion des Uploads et téléchargements

Faites votre choix… (via votre tableau de bord du site concerné en faisant ‘ajouter un plugin’). Ils sont tous compatibles minimum WP 3.0.5 et 3.1

Download Manager ou WP-files base sont des gestionnaire de téléchargements pour vos visiteurs, avec classement par catégories : ces 2 plugins sont sensiblement les mêmes, le choix est pour moi subjectif.

Flexupload multithread uploader : permet d’uploader sans limite de taille.

Inline Uploads : permet d’uploader dans un répertoire de son choix (mais dans wp-content).

Faster Image Insert : permet d’ajouter et modifier ses uploads en masse dans l’édition de posts

Allow Word/Powerpoint/Excel file uploads : tout est dans le titre .

Email Before Download : tout est dans le titre.

Easy FTP Upload ou bSuite Drop Folder Media Uploader permettent de charger de gros fichiers par FTP.

Overwrite Uploads : vous évite d’uploader plusieurs fois le même fichier en écrasant l’ancien du même nom. A voir la quantité de doublons inutiles chez mes clients, je recommande…

Enable Media Replace : dans le même genre, indispensable outil pour modifier une image existante sans devoir éditer le post où elle est. Allez dans la bibliothèques des Médias, cliquez sur l’image à modifier puis sur Upload a new media. Choisissez évidemment la 2e option qui permet de mettre à jour également les url et titres.

AJAX Thumbnail Rebuild : Outil indispensable pour régénérer de nouveaux formats d’images déjà insérées. A utiliser après avoir définis les nouveaux réglages dans la partie Médias.

WP-Smush.it : Indispensable pour diminuer le poids de vos images.

Embedd PDF : permet d’inclure via un shortcode un PDF au format google doc.

Google Doc Viewer : évite d’uploader vos fichiers s’ils se trouvent dans votre doc google ou permet de lier un lien vers un document google, ou d’user d’un shortcode pour les PDF.

Ne pas oublier de configurer ces plugins et de lire la FAQ d’installation de ceux-ci.

Créer un sous-dossier uploads pour les plugins

Un article sans snippet est comme des pâtes sans sel :). Pour les codeurs et bidouilleurs, une solution pour permettre un sous-dossier réservés aux médias insérés par les plugins dans le dossier Uploads. C’est Yoast qui nous l’offre :

add_filter('upload_dir', 'my_upload_dir');
$upload = wp_upload_dir();
remove_filter('upload_dir', 'my_upload_dir');   funcion my_upload_dir($upload) {
	$upload['subdir']	= '/sub-dir-to-use' . $upload['subdir'];
	$upload['path']		= $upload['basedir'] . $upload['subdir'];
	$upload['url']		= $upload['baseurl'] . $upload['subdir'];
	return $upload;
}

That’s All Folks !

LIRE

Comment tester son site Internet sans risque ? Safe Web !

Comment tester son site Internet sans risque ? Safe Web !

Posted on 9 novembre 2010 in Wordpress | 8 comments

Toute manoeuvre sur votre blog relève de l'équilibriste. Apprenez à maîtriser le fil.

Ou comment préserver son blog d’essais hasardeux.

Petit billet qui peut vous rendre de grands services. Vous avez un ouvert un blog avec WordPress ou vous préparez votre site web. Mais vous ne savez pas encore quelle forme il aura. Quoi essayer, quel thème, quel plugin. Alors vous forcez sur les boutons installer un nouveau thème pour l’essayer et sur ajouter un plugin, pour tester, le supprimer. Sauf qu’il n’est jamais totalement supprimé, il laisse des traces, des poubelles dans votre base. Ceci dans le meilleurs des cas. Au pire, le nouveau plugin ou le mauvais thème testé, surtout celui gratuit proposé sur un obscur site gratuit surchargé de pubs, anonyme et dans une langue étrangère. Vous voyez ce que je veux dire ? Ces blogueurs se retrouvent sur les forums de support avec de grandes demandes d’aide pour cause de piratage ou de blog devenu inaccessible. Ou alors c’est la version: j’ai testé ce plugin et depuis mon blog est planté sur une page blanche avec un message d’erreur du fichier functions.php xxx. Chers amis blogueurs vous venez de reproduire un classique du genre.

Ou alors tout tourne comme vous voulez mais un beau jour votre base de données démontre des signes d’essoufflement, elle est saturée, votre blog est lent et vous êtes trop néophyte pour comprendre d’où ça vient. Et moi votre serviteur modeste webdesigner, entrepreneur de ma micro-entreprise, je réponds. Tantôt bénévolement sur les forums de support, tantôt sur devis. Je viens au secours de propriétaires de sites internet qui les abandonnent complétement affolés, pour ne pas dire désespérés et perdus.

Oui je fais de l’aide en ligne, je dépanne, j’arrange, je nettoie les blogs surchargés et au bord de l’asphyxie. Souvent. Bon, j’aime mon métier, j’aime former, j’aime apprendre à apprendre et à devenir indépendant. Aujourd’hui j’aimerais vous apprendre un truc pour que vous ayez moins besoin d’avoir recours à un dépanneur de blogs. C’est que je préfère vous voir faire appel à moi ou mes collègues pour apporter un plus à votre site web que par extrême nécessité. Je ne dis pas cela pour vous décourager de le faire hein! Mais autant prévenir que guérir.

Mon astuce est simple et à votre portée si vous avez déjà un blog WordPress ou comptez en avoir un. Je le fais pour mes clients afin qu’ils soient autonomes et qu’ils voient par eux-même ce que je puis leur installer en grande production dans une configuration spécialisée. Simple, il s’agit d’installer un blog rien que pour vos tests. Soit en local soit en ligne. En local c’est le mieux, parfait. Il existe plein de tutoriels pour installer WordPress en local, je ne vais donc pas reproduire. Les moteurs de recherche sont ici vos amis avec la phrase que je viens d’énoncer à mettre entre guillemets.Mais je m’étonne qu’on ait pas songé aux plus néophytes parmi vous. Ou à ceux qui ne disposent pas toujours du même ordinateur. Dans ce cas, installez votre blog pour tests en ligne.

Installez un blog WordPress pour votre tests, un blog démo en ligne sur un sous-domaine.

Il suffit de penser à décocher la case ‘Autoriser mon blog à apparaître dans les moteurs de recherche‘ lors de l’installation. C’est tout. Pour ceux qui ont besoin de plus de détails, lisez la suite.

Décochez la case du bas

Vous avez acheté votre nom de domaine pas vrai ? Il vous donne forcément droit à un certain nombre de sous-domaine gratuits. Et croyez-moi vous n’allez pas tous les utiliser. Certains d’entre-vous ont même pris un hébergement inutilement grand pour accueillir deux ou trois blogs et n’en profitent pas (prendre un pack pro pour 3 petits blogs est totalement inutile, à moins qu’ils soient visités par des milliers d’internautes par jour).  Si vous disposez de bases de données illimitées ou en avez plusieurs, l’idéal sera d’installer votre blog pour tester thèmes et plugins sur un sous-domaine et une base de données rien que pour lui. Ainsi, aucun risque de faire planter votre vrai blog. Vous pouvez y faire tout le bordel que vous voulez, il vous suffira de supprimer tout sans égard si vous n’y comprenez rien.

Si vous ne disposez que d’une seule base de données, c’est moins bien mais tout aussi efficace. Vous allez simplement installer un nouveau wp pour votre blog pour tests sur la même base mais en changeant le préfixe pour les tables dans le fichier wp-config.php. C’est tout. Absolument tout. Pour le reste faites comme vous avez fait la première fois.

Concrètement par l’exemple :

Mon nom de domaine est lashon.fr. J’ai droit à x sous-domaines. Chez mon hébergeur, dans le panneau de contrôle, je vais à l’onglet qui gère l’ajout ou le paramétrage des noms de domaines. Je clique sur ajouter un sous-domaine. Choisir le nom que vous voulez. Par exemple tests. Une demi-heure plus tard l’hébergeur aura enregistré le sous-domaine tests.lashon.fr (non cette adresse n’existe pas chez moi, pas la peine de l’essayer).

Selon votre hébergeur vous pouvez régler la destination de ce sous-domaine créé. C’est à dire le dossier dans la gestion des fichiers où votre blog tests sera ou le dossier dans Filezilla qui recevra votre nouveau WP. Pour que ce soit clair pour vous. Par exemple votre dossier portera le nom MonEspaceTests. Le choix de la destination varie un peu chez chaque hébergeur mais c’est toujours le même principe. Il faut trouver où et comment régler ce qui fait  que tests.lashon.fr soit pointé dans le dossier vu par FTP comme MonEspaceTests. Chez certains hébergeurs il n’y pas moyen d’avoir un nom de dossier différent que celui du sous-domaine, il doit porter le même nom. Faites attention à ça. Si mes souvenirs sont bons c’est le cas chez Infomaniak et OVH, l’hébergeur crée lui-même le dossier correspondant avec le nom choisi pour le sous-domaine (en ce cas il suffira seulement d’ouvrir Filezilla et vous verrez ce nouveau dossier), alors que chez 1and1 et d’autres vous pouvez choisir le dossier. C’est la seule chose à laquelle il faut faire attention.

Pendant que votre hébergeur crée votre sous-domaine ou le valide  (pas besoin d’attendre) vous allez préparer une version toute propre d’un WP sur le bureau de votre ordinateur (à télécharger).

Vous préparez également un fichier en format txt avec n’importe quel bloc-notes intitulé robots.txt.

Le fichier robot.txt doit contenir seulement ceci :

User-agent: *
Disallow: /

Ceci indiquera de façon sûre aux moteurs de recherche que vous ne souhaitez pas référencer ni indexer ce blog. Bref qu’il soit invisible à moins d’en connaître l’adresse. Ce fichier doit aller à la racine du blog de tests, c’est à dire au même endroit que tous les dossiers et fichiers WP.

Allez chercher et copiez votre fichier .htaccess que vous avez déjà pour votre blog. Si non créez-le (voir mes tag pour savoir comment faire, c’est déjà dit). Ce fichier est indispensable pour forcer la version PHP5 chez votre hébergeur dont a besoin WP pour tourner sans erreurs. Il doit également aller à la racine du dossier MonEspaceTests (ou tests). A la racine veut dire à l’intérieur du dossier où est déjà votre blog, au même niveau que les fichiers ou dossiers WP.

Avant d’installer votre blog test

Deux cas de figure :

1) Si l’installation peut aller  sur une base de données indépendante :

En ce cas faites comme la première fois, installez simplement ce nouveau wordpress à l’adresse du sous-domaine. Soit dans mon exemple rendez-vous dans votre navigateur chez tests.lashon.fr. Et suivez la procédure.

2) Si l’installation doit aller sur la même base de données :

Même chose, sauf que faites bien attention, avant de cliquer sur installer il faut changer le nom du préfixe des tables WP de la base qui est indiqué dans la case. Par défaut il sera déjà pré-rempli par wp_. Changez les deux premières lettres en laissant l’underscore final. Indiquez par exemple monblogtest_. Si vous ne faites pas attention à ça vous allez avoir un gros problème.

Vous verrez ceci à la 3e étape de l'installation WP. Attention au préfixe choisi.

Après l’installation du blog test

Dans votre tableau de bord, allez tout de suite régler les permaliens dans l’onglet du même nom (dans Réglages). Ce n’est pas obligatoire mais indiquez de préférence la même structure que celle de votre blog en ligne. Si vous n’avez pas encore de blog, cochez structure personnalisée et indiquez :

/%category%/%postname%/

C’est la ligne qui commande une structure idéale. Mais si votre blog est ou sera basé sur un sujet où la date est très importante (vous voulez qu’elle soit référencée), mettez plutôt :

/%year%/%monthnum%/%day%/%postname%/

Et remplissez ensuite les deux champs du dessous par ce que vous voulez mais sans aucun accents ! (pas de é ou ô)

Pour remplir le blog test avec un faux contenu

Ajoutez le plugin Better Lorem Ipsum Generator. Activez-le, allez dans ses réglages et il vous génèrera du faux contenu (pensez à le désactiver et supprimer ensuite). Plus facile quand même pour voir ce que donne votre blog en situation. Ajoutez manuellement quelques images piochées au hasard et vous avez tout.

Si tout crashe.

Si à cause d’un plugin nouvellement installé vous n’avez plus qu’une page blanche avec une indication du nom de plugin et impossibilité d’accéder à la page de connexion : ouvrez Filezilla (ou gestion de fichiers chez votre hébergeur) et renommez le nom du plugin concerné ou supprimez-le.

En allant dans phpmyadmin vous voyez et pouvez comprendre ce que chaque plugin et thème nouvellement installé fait.

Ainsi, en installant de nouveaux plugins, ouvrez dans un autre onglet en parallèle votre base de données chez votre hébergeur, le phpmyadmin. Certains ajoutent des fonctions proprement, d’autres créent de nouvelles tables en plus des 11 nécessaires à WP. Ce n’est pas grave en soi mais il faut penser à les supprimer si vous supprimez les plugins. Alors notez tout ce que vous ajoutez et à quoi ces nouvelles tables correspondent sur un papier. Si vous ne le faites pas tout de suite il sera impossible de savoir qu’est ce qui sert à quoi.

L’excellent plugin clean options vous sera utile pour traquer des réglages devenus inutiles, mais il faut savoir qu’il ne supprime pas les tables créées dans la base de données, seulement leur contenu… Donc vous voilà averti.

Dernièrement j’ai nettoyé un fort sympathique blog mais qui contenait… 189 tables. La dame propriétaire du blog, tout aussi sympathique, ne trouvait plus du tout son blog sympathique lorsqu’il a commencé à tourner fou et que plus aucun lien interne pour voir ses pages ne fonctionnait. Ben oui, pas étonnant avec 189 tables au lieu des 11 normales. Pas étonnant à force d’utiliser son propre blog pour tester tout ce qui tombe sous vos yeux. Avec certains plugins vous n’aurez pas le choix et ne vous affolez pas pour chaque ajout de tables. Mais il faut raison garder. Quelques ajouts ou une dizaine ça va, mais une centaine…

Faites également attention aux plugins e-commerce. Ils sont bien mais ils ajoutent de la navigation supplémentaire et des tables. Si votre thème est mal fait ou trop vieux, vous aurez un vrai problème. Une bonne raison de toutjours tout mettre à jour.

Tout ajout de plugin et de thème n’est pas anodin pour votre base de données.

Voici les tables de votre blog test, notez qu'il n'y en a que 11 au départ...

Alors si vous n’utilisez pas de blog test, au moins regardez ce qui se passe AVANT  tout ajout du côté de phpmyadmin et notez-le. Au besoin faites une copie d’écran. Pour pouvoir agir ou dire à quelqu’un de compétent ce qui est essentiel et ce qui ne l’est pas en cas de problème.

Pensez également à optimiser régulièrement votre base de données. Soit directement dans phpmyadmin, soit avec un plugin comme WP Db Optimiser. Et, évidemment, à faire des sauvegardes… Directement dans phpmyadmin ou avec l’un des plugins suivants : WP DB Backup, Updraft,

LIRE

Sécuriser son blog WordPress et lutter contre le spam – Manuel de Combat

Sécuriser son blog WordPress et lutter contre le spam – Manuel de Combat

Posted on 1 octobre 2010 in Internet | 16 comments

Protégez-vous des hackers

Améliorer la sécurité de son site web avec quelques extensions, codes, plugins et des réflexes.

Tutoriel pour augmenter la sécurité informatique de son site web ou blog sous WordPress en général et guide pour lutter contre le spam (pourriel).

A lire d’abord ce préambule indispensable : Sécurité informatique et Lutte anti-spam.

Sommaire :

  1. Toujours effectuer les mises à jour
  2. Sécuriser son PC pour sécuriser son WordPress
  3. Encrypter cookies d’authentification
  4. Installer un Captcha
  5. Activer Askimet
  6. Plugins WordPress Antispams
  7. Blacklister liens Nofollow en liste noire
  8. Configurer un .htacces en béton
  9. Protéger dossiers, admin, wp-config, wp-login, htaccess
  10. Connexion sécurisée SSL et htpasswd
  11. Exclure requêtes externes sur commentaires
  12. Bannir pourriels en masse par IP
  13. Requête SQL afficher liste IP spammeurs
  14. Interdire domaine spammeurs
  15. Bloquer robots spams
  16. Interdire vol de contenu RSS
  17. Interdire affichage vol images
  18. Cacher votre Email aux robots (nouveau, update)
  19. Interdire indexation dossiers vulnérables
  20. Modifier le préfixe wp par défaut (nouveau, update)
  21. Autres ressources
  22. Victime ? Votre blog est infecté ? Extensions Firefox utiles (nouveau, update)
  23. Modération des commentaires

1. TENEZ VOTRE WORDPRESS A JOUR

Les mises à jour corrigent les failles de sécurité. Un message vous en avertit dans le tableau de bord. Pour mettre à jour il suffit de suivre les liens de mises à jour proposés. Les plugins et thèmes aussi doivent être updatés.

2. SÉCURISEZ VOTRE PC POUR SÉCURISER VOTRE SITE WEB OU BLOG WORDPRESS

UTILISEZ DES MOTS DE PASSE TRÈS FORTS !
Si vos gestes généraux de lutte antispam et de sécurité informatique sont corrects vous réduirez déjà drastiquement le nombre de vos spams, y compris ceux qui empestent vos blogs. J’ai déjà expliqué toute l’importance de bons mots de passe, du choix du webmail et gestes réflexes à avoir. On peut lutter autant que l’on veut sur son blog, si votre messagerie et/ou le serveur de votre adresse email ne suivent pas dans la lutte sécuritaire, vous perdez temps et énergie en vain. Donc lisez aussi mes explications précédentes. Certains d’entre-vous n’imaginent pas le lien entre mauvais gestes généraux sur un PC et courrier indésirables dans leur blogs. Ensuite, puisque les techniques des spammeurs (humains ou robots) sont multiples, il convient de combiner les solutions de combat.

Dans la catégorie mots de passe, pour ceux qui ne veulent pas toucher à une ligne de code, vous pouvez utiliser un plugin pour ajouter un niveau de protection à votre mot de passe d’administrateur : Plugin AskApache Password Protect

3. ENCRYPTEZ LES COOKIES DE VOS CLEFS D’AUTHENTIFICATION

Simple à faire. Ouvrez votre fichier wp-config.php. Vous y trouverez des lignes prévues pour ça sous le titre Clefs uniques d’authentification et salage. Ainsi que le lien pour générer ces clés (qui change avec les versions WP successives).

Clefs uniques d'authentification et salage dans votre fichier wp-config.php

wp-config.php avec des clefs uniques d'authentification (cliquez pour agrandir l'image)

Il suffit de visiter ce lien : générer des clefs

Insérez ces clés, sauvegardez, actualisez les dossiers de votre logiciel FTP, et chargez le fichier en ligne.

(A noter que l’adresse de ce lien commence par https (remarquez le ‘s’), qui traduit bien une connexion sécurisée par SSL).

4. METTRE UN CAPTCHA POUR VOS COMMENTAIRES

Une technique appréciable est d’installer un capcha pour les commentaires.

Choisissez un plugin :

suppression automatique spam avec captcha

La captcha, ça marche. 57 pourriels évités en quelques heures

5. NE FAITES PAS L’IMPASSE DU PLUGIN ASKIMET

Livré par défaut avec WordPress, activez-le. On vous demandera une clé d’activation pour ce faire, il suffit d’ouvrir un compte (et non un blog, juste un login) chez wordpress.com et de copier coller la api key livrée dans votre profil.

6. PLUGINS WORDPRESS ANTISPAM

Certaines de ces extensions sont très efficaces. Si vous êtes plus à l’aise avec le fait d’installer un plugin plutôt que configurer le fichier .htaccess comme je vais vous le proposer plus loin, voici une petite liste par efficacité décroissante :

7. BLACKLISTER LES LIENS EN NOFOLLOW

Puisque depuis 2005 Google, YAHOO et MSN ne crawlent plus les liens en nofollow, une partie des robots ne viendra plus par chez vous. Ce point est discuté mais pour ma part j’ai constaté une nette amélioration depuis.

Dans l’onglet Réglages de votre tableau de bord, allez dans Discussions. Deux grands champs vides attendent que vous les remplissiez. Dans le premier champ vide intitulé liste de modération des commentaires, ajoutez au fur et à mesure des mots clés à bloquer. Mais surtout, dans le 2e champ vide intitulé Liste noire pour les commentaires, filtrez logique en ajoutant :

[url=
[link=
rel="nofollow"

Alternative via le plugin Nofollow Free

8. CONFIGURER UN HTACCESS EN BÉTON

Les codes suivants sont à ajouter dans le fichier .htaccess. Sauvegardez TOUJOURS votre fichier .htaccess avant de le modifier. Ajoutez une seul code à la fois afin de vérifier les erreurs ou plantages éventuels. Certaines commandes ne fonctionneront pas avec votre site car les paramètres varient trop d’un hébergeur à l’autre.

9. Codes pour PROTÉGER DOSSIERS, WP-CONFIG, HTACCESS, WP-LOGIN, ADMINISTRATION, TRACKBACK SPAM

Protéger le fichier WP-CONFIG :

#Protection of wp-config.php
<files wp-config.php>
  Order deny,allow
  deny from all
  </files>

Protéger le fichier WP-LOGIN

Certains suggèrent de protéger la connexion au blog (wp-login.php). Cette opération n’est possible que si vous êtes le seul administrateur ET que vous possédez une IP fixe. Ce qui est rare. Donc si vous êtes en voyage, vous n’aurez pas accès à votre blog.

<Files Wp-login.php>
Order deny, allow
Deny from All
Allow from **.***.***.**
</ Files>

En revanche vous pouvez empêcher l’accès administration pour un IP spécifique :

Protéger l’administration

# Restrict access WP-Admin login on a specific IP address
AuthUserFile / dev / null
AuthGroupFile / dev / null
AuthName “Access Control”
AuthType Basic
order deny, allow
deny from all
# Your IP address
allow from **.***.***.**

Pour ajouter des IP à bloquer, remplacez les caractères **.***.***.** par le nouvel IP, séparé par une virgule (,).

Interdire l’accès à votre htaccess

# htaccess protection
<Files ~ "^.*.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

Renommez votre fichier .htaccess

Par exemple renommez en fichieracces, puis insérez ce nouveau nom :

# rename htaccess
fichieracces ht.access

Empêcher l’internaute de voir le contenu de vos répertoires

Tous les blogs WP non sécurisés ni optimisés ont la même structure. Aussi tout utilisateur sait qu’il peut voir vos images en vrac (dossier wp-content/uploads), les plugins (dossier wp-content/plugins), les thèmes WP et tout contenu de dossier.

# Protect Directory browsing
Options All-Indexes

Si vous ne faites pas ça, au moins chargez un fichier vide index.html ou index.php dans tous les dossiers que vous ne voulez pas voir listés (thèmes, plugins, images uploads…).

Interdire les trackbacks visiblement non humains et spammeurs

# Deny Obvious Trackback Spams
RewriteCond %{REQUEST_METHOD} =POST
RewriteCond %{HTTP_USER_AGENT} ^.*(opera|mozilla|firefox|msie|safari).*$ [NC]
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9} /.+/trackback/? HTTP/ [NC]
RewriteRule .* - [F,NS,L]

10. PROTEGER VOS PAGES WP-ADMIN ET LOGINS AVEC HTPASSWD OU SSL

A) Mettez en place un fichier htpasswd

En deux étapes. Vous devez créer un fichier .htpasswd qui contient un mot de passe crypté. Puis renseignez le code généré dans le htaccess. Plus de détail et pour crypter le mot de passe, cherchez sur Google ou voir chez Infowebmaster Tutorial pour sécuriser un dossier.

B)Forcez une connexion sécurisée (SSL)

Pour l’administration. Attention, n’essayez pas ça sur un hébergeur gratuit ou votre blog va planter. Il faut également que votre hébergeur accepte le SSL (voir les options de votre plan d’hébergement). Si oui, il suffit d’insérer dans wp-config.php :

<?php define('FORCE_SSL_ADMIN', true); ?/>

Ou utilisez le plugin Admin SSL .

Ceci donnera le choix à vos membres et vous-même entre rapidité et plus grande sécurité (toujours ce https). Fonction sensible, pas vraiment utile pour des blogs généraux. Plutôt pour des utilisations spécifiques aux entreprises et aux boutiques de commerce ou une plateforme multisites.

C) VÉRIFIEZ LES PERMISSIONS CHMOD SUR VOS DOSSIERS ET FICHIERS EN FTP

Restons simple. Tous vos dossiers doivent être en 755, les fichiers en 644.

11. EXCLURE LES REQUÊTES ÉTRANGÈRES

Si la xénophobie est à proscrire pour l’être humain, en matière de requêtes Web elle est recommandée. En gros vous allez spécifier que la machine sans Referer et sans agent soit bannie pour poster un commentaire (une requête qui ne part de votre blog, ce qui est la cas des campagnes de spams.
Indiquez le nom de votre base de données et votre nom de domaine dans le code suivant :

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post.php*
RewriteCond %{HTTP_REFERER} !.*yourblog.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

Attention : Si comme moi vous avez modifié le préfixe de vos tables WP (le fameux wp_ dans votre wp-config.php), il convient de l’exprimer dans le code. Par exemple vous avez changé wp_ pour blogdejules_ . Vous devrez indiquer (3e ligne) blogdejules-comments-post. Ne confondez pas préfixe des tables WP et base de données…

#Exclure les requêtes sans référence
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .nom-du-prefixe-de-votre-table-wordpress-comments-post.php*
RewriteCond %{HTTP_REFERER} !.*votre-nom-de-domaine-ici.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

Vous pouvez aussi bannir toute tentative de POST qui ne passe pas via votre fichier de commentaires WP-comments-post.php

#Only reach a real WP-comments-post.php
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9} /.*/wp-comments-post.php.* HTTP/ [NC]
RewriteRule .* - [F,NS,L]

12. BANNIR PAR IP

Pour ma part je trouve la manœuvre délicate étant donné que les IP changent. Si vous n’êtes pas certain de ce que vous faites, vous bloquerez des innocents, voire vos visiteurs habituels. Il suffit d’ajouter cette ligne :

Deny from 123.456.789

Mais globalement on peut utiliser une solution de liste contrôlée en bloquant par filtres une liste anti agents spammeurs vérifiée. L’intérêt est que vous pouvez agrandir cette liste vous-même avec le temps (une ou deux fois par an suffit, je ne parle pas d’ajouts réguliers).

Source : Perishable Press

13. Interdire par domaines de spammeurs

# Ultimate htaccess Blacklist 2 from Perishable Press
# Deny domain access to spammers and other scumbags
RewriteEngine on
RewriteBase /
RewriteCond  %{HTTP_USER_AGENT}  ADSARobot|ah-ha|almaden|aktuelles|Anarchie|amzn_assoc|ASPSeek|ASSORT|ATHENS|Atomz|attach|attache|autoemailspider|BackWeb|Bandit|BatchFTP|bdfetch|big.brother|BlackWidow|bmclient|Boston  Project|BravoBrian SpiderEngine MarcoPolo|Bot  mailto:craftbot@yahoo.com|Buddy|Bullseye|bumblebee|capture|CherryPicker|ChinaClaw|CICC|clipping|Collector|Copier|Crescent|Crescent  Internet  ToolPak|Custo|cyberalert|DA$|Deweb|diagem|Digger|Digimarc|DIIbot|DISCo|DISCo  Pump|DISCoFinder|Download Demon|Download  Wonder|Downloader|Drip|DSurf15a|DTS.Agent|EasyDL|eCatch|ecollector|efp@gmx.net|Email   Extractor|EirGrabber|email|EmailCollector|EmailSiphon|EmailWolf|Express  WebPictures|ExtractorPro|EyeNetIE|FavOrg|fastlwspider|Favorites  Sweeper|Fetch|FEZhead|FileHound|FlashGet  WebWasher|FlickBot|fluffy|FrontPage|GalaxyBot|Generic|Getleft|GetRight|GetSmart|GetWeb!|GetWebPage|gigabaz|Girafabot|Go!Zilla|Go!Zilla|Go-Ahead-Got-It|GornKer|gotit|Grabber|GrabNet|Grafula|Green   Research|grub-client|Harvest|hhjhj@yahoo|hloader|HMView|HomePageSearch|http  generic|HTTrack|httpdown|httrack|ia_archiver|IBM_Planetwide|Image  Stripper|Image Sucker|imagefetch|IncyWincy|Indy*Library|Indy  Library|informant|Ingelin|InterGET|Internet  Ninja|InternetLinkagent|Internet  Ninja|InternetSeer.com|Iria|Irvine|JBH*agent|JetCar|JOC|JOC Web  Spider|JustView|KWebGet|Lachesis|larbin|LeechFTP|LexiBot|lftp|libwww|likse|Link|Link*Sleuth|LINKS  ARoMATIZED|LinkWalker|LWP|lwp-trivial|Mag-Net|Magnet|Mac  Finder|Mag-Net|Mass Downloader|MCspider|Memo|Microsoft.URL|MIDown  tool|Mirror|Missigua Locator|Mister  PiX|MMMtoCrawl/UrlDispatcherLLL|^Mozilla$|Mozilla.*Indy|Mozilla.*NEWT|Mozilla*MSIECrawler|MS   FrontPage*|MSFrontPage|MSIECrawler|MSProxy|multithreaddb|nationaldirectory|Navroad|NearSite|NetAnts|NetCarta|NetMechanic|netprospector|NetResearchServer|NetSpider|Net  Vampire|NetZIP|NetZip  Downloader|NetZippy|NEWT|NICErsPRO|Ninja|NPBot|Octopus|Offline  Explorer|Offline  Navigator|OpaL|Openfind|OpenTextSiteCrawler|OrangeBot|PageGrabber|Papa  Foto|PackRat|pavuk|pcBrowser|PersonaPilot|Ping|PingALink|Pockey|Proxy|psbot|PSurf|puf|Pump|PushSite|QRVA|RealDownload|Reaper|Recorder|ReGet|replacer|RepoMonkey|Robozilla|Rover|RPT-HTTPClient|Rsync|Scooter|SearchExpress|searchhippo|searchterms.it|Second  Street  Research|Seeker|Shai|Siphon|sitecheck|sitecheck.internetseer.com|SiteSnagger|SlySearch|SmartDownload|snagger|Snake|SpaceBison|Spegla|SpiderBot|sproose|SqWorm|Stripper|Sucker|SuperBot|SuperHTTP|Surfbot|SurfWalker|Szukacz|tAkeOut|tarspider|Teleport   Pro|Templeton|TrueRobot|TV33_Mercator|UIowaCrawler|UtilMind|URLSpiderPro|URL_Spider_Pro|Vacuum|vagabondo|vayala|visibilitygap|VoidEYE|vspider|Web  Downloader|w3mir|Web Data Extractor|Web Image Collector|Web  Sucker|Wweb|WebAuto|WebBandit|web.by.mail|Webclipping|webcollage|webcollector|WebCopier|webcraft@bea|webdevil|webdownloader|Webdup|WebEMailExtrac|WebFetch|WebGo   IS|WebHook|Webinator|WebLeacher|WEBMASTERS|WebMiner|WebMirror|webmole|WebReaper|WebSauger|Website|Website  eXtractor|Website  Quester|WebSnake|Webster|WebStripper|websucker|webvac|webwalk|webweasel|WebWhacker|WebZIP|Wget|Whacker|whizbang|WhosTalking|Widow|WISEbot|WWWOFFLE|x-Tractor|^Xaldon  WebSpider|WUMPUS|Xenu|XGET|Zeus.*Webster|Zeus [NC]
RewriteRule ^.* - [F,L]

14. REQUÊTE SQL POUR OBTENIR UNE LISTE DES SPAMMEURS

Pour ajouter des IP à cette liste vous devez connaître les IP fautives. une requête SQL dans votre base de données vous les révèlera :

SELECT count( * ) AS cnt, `comment_author_IP` as cmnt_ip FROM ` ».$table_prefix. »comments` WHERE 1 GROUP BY cmnt_ip ORDER BY `cnt` DESC, `cmnt_ip` DESC « ;

Evidemment, ceci à condition que vous ne les ayez pas déjà effacés. Vous pouvez bien sûr aussi les copier-coller directement dans la liste de vos commentaires indésirables.

15. BLOQUER LES ROBOTS SPAMMEURS

#Bloquer robots de spams
SetEnvIfNoCase User-Agent "^EmailSiphon" bad_bot
SetEnvIfNoCase User-Agent "^EmailWolf" bad_bot
SetEnvIfNoCase User-Agent "^ExtractorPro" bad_bot
SetEnvIfNoCase User-Agent "^CherryPicker" bad_bot
SetEnvIfNoCase User-Agent "^NICErsPRO" bad_bot
SetEnvIfNoCase User-Agent "^Teleport" bad_bot
SetEnvIfNoCase User-Agent "^EmailCollector" bad_bot
SetEnvIfNoCase User-Agent "^174.129.88.35" bad_bot
Order Allow,Deny
Allow from all
Deny from env=bad_bot
SetEnvIfNoCase  ^User-Agent$  .*(craftbot|download|extract|stripper|sucker|ninja|clshttp|webspider|leacher|collector|grabber|webpictures)  HTTP_SAFE_BADBOT
SetEnvIfNoCase ^User-Agent$ .*(libwww-perl|aesop_com_spiderman) HTTP_SAFE_BADBOT
Deny from env=HTTP_SAFE_BADBOT
SetEnvIfNoCase Via evil-spam-proxy spammer=yes
SetEnvIfNoCase Referer evil-spam-domain.com spammer=yes
SetEnvIfNoCase Referer evil-spam-keyword spammer=yes
SetEnvIfNoCase Via pinappleproxy spammer=yes
SetEnvIfNoCase Referer doobu.com spammer=yes
SetEnvIfNoCase Referer poker spammer=yes
SetEnvIfNoCase Referer pharmacylegal.info spammer=yes
SetEnvIfNoCase Referer 174.129.88.35 spammer=yes
deny from env=spammer

16. INTERDIRE LE VOL DE VOS CONTENUS DE VOS FILS RSS

Source : IP Delivery to Stop RSS Content Thieves

Seo Black Hat nous explique qu’il suffit de repérer l’adresse IP du voleur. Ensuite d’indiquer le flux que vous voulez voir s’afficher à la place du vôtre. Dans son cas il a simplement eu l’excellente idée d’indiquer le flux de son voleur, ce qui lui crée une boucle problématique tout en laissant votre blog désormais tranquille.

RewriteEngine on
RewriteCond %{REMOTE_ADDR} ^69.16.226.12
RewriteRule ^(.*)$ http://newfeedurl.com/feed

(Modifiez newfeedurl.com/feed par l’adresse du sans-gêne, modifiez 69.16.226.12 par l’IP adéquate).

Pour trouver l’adresse IP à bloquer, si vous êtes en Windows regardez votre écran en bas à gauche allez dans le menu Démarrer, trouvez l’onglet Executer et collez ping nom-de-domaine-du-site.ltd. Exemple pour mon site tapez : ping lashon.fr

Ou encore utilisez un Traceroute. Ou avec l’extension Firefox ShowIP.

Mais, comme l’écrit Jeff Star de Perishable Press dans How to Deal with Content Scrapers , si ce ‘vol’ de contenu est fait sur un gros site très fréquenté, vaut mieux laisser faire puisque cela amène instantanément des centaines de backlinks, à condition que vos flux contiennent beaucoup de liens internes vers votre blog…

17. INTERDIRE L’AFFICHAGE DE VOS IMAGES AILLEURS

Un bout de code dans htaccess et vos images ne seront pas affichables via vos liens.

Le Hotlinking consiste en la très mauvaise habitude de coller l’adresse d’une image vue ailleurs pour l’afficher sur son blog, ce qui vole non seulement l’image mais aussi un peu de votre bande passante.

Voici le bout de code pour le contrôler. Choisissez une image de substitution qui s’affichera en lieu et place et uploadez-la à la racine de votre blog. N’oubliez pas d’indiquer votre nom de domaine à vous dans ces lignes:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
 RewriteCond %{HTTP_REFERER} !^http://(www.)?votre-nom-de-domain.com/.*$ [NC]
 #RewriteRule .(gif|jpg)$ - [F]
 RewriteRule .(gif|jpg)$ http://www.lang="apache[notools]">votre-nom-de-domain.com/image-substitution.jpg [R,L]

Interdire les requêtes qui ne sont pas vides ou ne proviennent pas de votre site sur les fichiers statiques

Pour aller plus loin, essayez de tout interdire en somme… Les fichiers statiques sont par exemple vos images, feuilles de style, scripts, pdf, sons, vidéos, etc. Attention, il se peut que ce code soit incompatible selon votre hébergeur et vos plugins en place. C’est une autre façon radicale d’interdire le hotlinking.

#Denies any request on static files
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{REQUEST_URI} !^/(wp-login.php|wp-admin/|wp-content/plugins/|wp-includes/).* [NC]
RewriteCond %{HTTP_REFERER} !^http://www.votredomaine.com.*$ [NC]
RewriteRule .(ico|pdf|flv|jpg|jpeg|mp3|mpg|mp4|mov|wav|wmv|png|gif|swf|css|js)$ - [F,NS,L]

Encore une fois, si vous haïssez l’idée de chipoter avec du code, utilisez un plugin : Hotlink Protection Plugin for WordPress

Une astuce courante supplémentaire est d’ajouter du texte sur cette image de substitution en indiquant le lien de votre blog. Le message sera ainsi parfaitement clair.

NOTE UTILE : avant d’uploader vos images, il convient d’en réduire le poids via smushit en ligne.

18. CACHER VOTRE EMAIL AUX ROBOTS

Voici plusieurs solutions, choisissez la vôtre:

1) Pour afficher dans vos thèmes WordPress c’est facile. Utilisez la fonction existante pour faire apparaître votre Email sans qu’il soit visible aux spams en utilisant (par exemple dans le footer.php) :

<?php bloginfo('admin_email'); ?>

2) Encryptez votre adresse mail avec le générateur de liens Cebermail. Vous entrez votre adresse, on vous donnera le lien crypté à afficher sur vos blogs. Le lecteur clique sur le lien proposé, ce qui ouvre son logiciel de messagerie pour écrire à votre adresse. Il doit aussi résoudre un captcha s’il veut voir l’adresse non cryptée.

Par exemple mon Email crypté est : http://cerbermail.com/?MEj2eD3KRR

3) Générez une image de votre mail à afficher chez DomainTools. Vous pouvez régler la police, couleur et taille. On vous proposera un bout de code mais le mieux est encore de télécharger l’image générée puis de l’uploader comme n’importe quelle image :

4) Utilisez un script en php

Par exemple chez Php Sources : Adresse e-mail/mailto anti-spam (utilisant Javascript)

5) Utilisez un javascript
Collez ce script dans votre header.php entre les balises HEAD:

<script type= »text/javascript »>
function openmail(a, b)
{
 window.open('mailto:' + a + '@' + b);
 }
 </script>

Puis collez votre lien comme suit. Exemple pour info@domaine.com :

<a onclick="»openmail('info'," href="»#">Envoyer un message au Webmaster</a>

Ces solutions cachent votre adresse mail aux robots tout en permettant à votre visiteur de cliquer sur celle-ci. Ce qui ouvre son logiciel de messagerie avec un nouveau mail où votre adresse est déjà insérée.

19. PROTÉGER L’INDEXATION DES PARTIES SENSIBLES DE VOTRE BLOG

Avec un simple fichier texte… Le très utile robots.txt à la racine de votre site peut aussi servir à masquer pour l’indexation les dossiers et pages vulnérables.

# All Bots
User-agent: *
Disallow: /wp-*
Disallow: /*.php$
Disallow: /*.js$
Disallow: /*.inc$
Disallow: /*.css$
Disallow: /*.gz$
Disallow: /*.wmv$
Disallow: /*.swf$
Disallow: /*.cgi$
Disallow: /cgi-bin
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-content/
Disallow: /author/

De même vous pouvez empêcher l’indexation par des moteurs indésirables :

# Bing Picture Search
User-agent: psbot
Disallow: /
# Dugg Mirror
User-agent: duggmirror
Disallow: /

20. Modifier le préfixe wp_ par défaut

Si vous installez un nouveau WP, faites-le tout de suite. Le préfixe wp_ définit le nom de ses tables sur la base de données. Particulièrement important si on compte héberger plusieurs blogs sur une seule base. Dans le wp-config.php, remplacer :

$table_prefix  = 'wp_';

par un préfixe personnel qui ressemble à un mot de passe :

$table_prefix  = 'blogCIEL2Uir5846_';)

Si votre blog est déjà en ligne, vous pouvez aussi modifier ce préfixe.

– Soit avec un plugin comme WordPress Table Rename Plugin.

– Soit manuellement chez votre hébergeur, dans votre console mySQL ou PhpAdmin. C’est plus simple qu’il n’y paraît. Deux méthodes :

Soit en cliquant sur chaque table, via l’onglet Opérations :  il faut le faire table par table. Affichez votre base de données. Vous voyez à gauche les 11 tables WP (plus, si vous avez installés des plugins invasifs).

Cliquez sur une table (à gauche). Une fois ouverte, cliquez sur Opérations (en haut à droite). Vous verrez alors une option Changer le nom de la table pour. Changez seulement wp et laissez bien l’underscore (_). C’est tout, vous voyez apparaître à gauche le nouveau de votre table. Recommencez l’opération pour chacune d’entre elle.

Ou par des requêtes SQL via l’onglet Requête (ou SQL selon):

RENAME TABLE 'nom-base-données'.`wp_links` TO 'nom-base-données'.`votre-prefixe_links` ;
RENAME TABLE 'nom-base-données'.`wp_options` TO 'nom-base-données'.`votre-prefixe_options` ;
RENAME TABLE 'nom-base-données'.`wp_postmeta` TO 'nom-base-données'.`votre-prefixe_postmeta` ;
RENAME TABLE 'nom-base-données'.`wp_posts` TO 'nom-base-données'.`votre-prefixe_posts` ;
RENAME TABLE 'nom-base-données'.`wp_terms` TO 'nom-base-données'.`votre-prefixe_terms` ;
RENAME TABLE 'nom-base-données'.`wp_term_relationships` TO 'nom-base-données'.`votre-prefixe_term_relationships` ;
RENAME TABLE 'nom-base-données'.`wp_term_taxonomy` TO 'nom-base-données'.`votre-prefixe_term_taxonomy` ;
RENAME TABLE 'nom-base-données'.`wp_usermeta` TO 'nom-base-données'.`votre-prefixe_usermeta` ;
RENAME TABLE 'nom-base-données'.`wp_users` TO 'nom-base-données'.`votre-prefixe_users` ;

Attention, il faut effectuer une requête à la fois ! Ensuite, une fois vos tables renommées, il faut mettre à jour d’autres options :

– Changez la valeur wp_user_roles et wp_usermeta par votre-prefixe_user_roles et votre-prefixe_usermeta

– Changez wp_capabilities, wp_user_level, and wp_autosave_draft_ids par
votre-prefixe_capabilities, votre-prefixe_user_level, votre-prefixe_autosave_draft_ids.

Et éventuellement vérifier les métas :

UPDATE votre-prefixe_options SET option_name = REPLACE(option_name, 'wp_', 'votre-prefixe_');
UPDATE votre-prefixe_usermeta SET meta_key = REPLACE(meta_key, 'wp_', 'votre-prefixe_');

21. Autres ressources ailleurs

Des blogs vous proposent également de :

22. Victime de Hackers ? Quelques outils pour voir l’action

Si vous êtes la cible d’une sérieuse attaque virale, essayez de voir ce qui se passe. Vous pourriez avoir besoin de ces Extensions (Addon) pour Firefox :

  • User Agent Switcher (voir votre page avec un autre agent web)
  • VTzilla Firefox Plugin (la puissante extension de chez VirusTotal qui analyse les sites et fichiers avant leurs téléchargements)
  • Tamper Data (pour voir et modifier HTTP/HTTPS headers)
  • ShowIP (voir le IP de la page sur laquelle on surfe)
  • HackBar (Audit de securité et test de pénétration)
  • SQL Inject Me (Pour tester les vulnérabilités d’injection SQL)
  • BitDefender QuickScan (scanne et cherche les virus sur votre ordinateur)
  • Malware Search (recherche de malwares dans une sélection de texte)
  • Chez Assiste, une boîte à outils liens, conseils, logiciels antispam, antivirus et autres

+ A venir sur ce blog : un long tutoriel pour se sortir du pétrin lorsqu’on son WordPress est piraté, infecté ou vérolé.

23. Réglez la modération de vos commentaires

Dans votre tableau de bord, prenez le temps de lire et configurer les mode d’accès de vos commentaires. Les options sont claires. Vous pouvez décider ce que vous voulez ou presque. Ne les autoriser qu’aux membres ou en accès libre. Modération obligatoire par un administrateur ou modération seulement pour ceux qui n’ont encore jamais posté (modération du premier). Ces paramètres ont également une incidence sur le contrôle et la réduction des spams.

Ou désactiver totalement les commentaires. Cette dernière option vous permet de décider au cas par cas pour chaque article ou page. Lorsque vous créez ou modifiez une page, cochez la petite case ‘autoriser les commentaires’, ou l’inverse…

Configurer les commentaires sur votre blog

Modérez les commentaires dans votre tableau de bord. Onglet REGLAGES puis DISCUSSION (cliquez pour agrandir l'image)

Bonne lutte !

LIRE

Mon choix de plugins indispensables ou précieux

Mon choix de plugins indispensables ou précieux

Posted on 15 avril 2010 in Wordpress | 7 comments

L'abus de plugins est dangereux pour la santé de votre blog.

L'abus de plugins est dangereux pour la santé de votre blog.

Je n’aime pas beaucoup les plugins. Ils consomment beaucoup de mémoire. Aussi j’en utilise peu. Mais pour un utilisateur averti qui n’a pas envie de s’improviser codeur wordpress et pour gagner du temps, ces extensions facilitent la vie du blogueur et deviennent parfois indispensables. Puisqu’on me le demande régulièrement et bien qu’il existe des tonnes de ces listes sur la Toile, j’y vais de la mienne (non, tout n’est pas installé sur Lashon)

A télécharger dans WordPress Plugins

Plugins de référence :

Askimet : outil indispensable d’antispams, livré par défaut avec WordPress.

All-in-one-seo-pack : outil de référencement, pas forcément indispensable si robots.txt et balises méta bien configurés

Simple-tags : quasi indispensable dans la mesure où il permet une gestion très avancée de tous vos tags, mais également de lier les pages aux articles, catégories via ces tags. Autrement dit, il permet aux pages wordpress d’avoir un tag, ce que le wordpress natif ne fait pas.

Stats : statistiques indépendantes de wp, hébergées chez wordpress.com, à combiner avec Google analytics

Google Analytics Dashboard : Si vous collez vous-même le script de Google Analytics dans votre footer, ce plugin n’est pas indispensable. Sinon il vous permet de visualiser directement dans votre tableau de bord les statistiques de votre compte et ajoute lui-même ce script. L’autre solution, séduisante, est suggérée par WPRecipes: Insert Google Analytics without editing your theme

voir aussi l’article consacré à cette question : Outils de statistiques pour votre blog et site: Google Analytics et WP Stats

Subscribe2 ou ContactForm : Newsletter automatique lors d’une nouvelle publication. Ne fonctionne pas avec les hébergeurs gratuits (mais ceci est vrai de tous les plugins de newsletter, préférez alors Feedburner).

Cforms, à coupler avec Advanced Cforms si migration de votre blog

FeedBurner FeedSmith : Newsletter via flux Feedburner, qui permet aussi de présenter un champ de souscription par email. C’est la solution retenue pour Lashon. Mais controversée sur le plan de la protection de vos contenus. Pour un blog plutôt artistique ou personnel, je vous le déconseille.

Quicksubscribe : complète subscribe2 dont il est dépendant, a le grand avantage d’offrir une case de souscription directe sans email de rappel

Wp-db-backup : Pour les sauvegardes automatique de votre base de données (sauvegarde hebdomadaire par email) mais aussi manuellement. Donc utile à faire juste avant de mettre à jour par exemple.

wp-dbmanager : à utiliser sur besoin (à n’activer puis désactiver que ponctuellement). Permet d’optimiser rapidement sa base de données.

WP-Memory-Usage : Pour savoir où votre blog en est côté mémoire, s’il est saturé, vous devrez faire le tri dans vos extensions. Particulièrement utile chez les hébergeurs gratuits pour vérifier vos messages d’erreurs mémoire.

wp-super-cache : Très utile pour les gros blogs bien remplis. Inutile pour les petits blogs. Il optimise l’accès.

Theme-test-drive : utile pour tester en ligne son thème sans que cela soit visible par les visiteurs

Zenphotopress : gallerie photos sur un sytème a part

Accessoires précieux :

Cleaner Gallery : Si vous comptez utiliser des galeries, ce plugin de Justin Tadlock permet de les rendre valides XHTML. Pas négligeable…

SyntaxHighlighter Evolved : si vous comptez afficher du code dans vos articles, indispensable d’avoir ce genre de plugin qui le permette. Sans quoi c’est le plantage assuré. .

Creative-clans-slide-show : le plus propre et le plus paramétrable des carrousels d’images, sans prise de tête… Sous forme de widget plutôt que de boucle à insérer dans les templates.

Vertical-carousel-slideshow : moins complet comme carrousel mais alternative au widget, ce plugin s’installe via une boucle à ajouter dans les templates.

Dewplayer-flash-mp3-player : player mp3 ultra léger et élégant

Quartz : citations

Page-links-to : pour lier une page vers un lien externe

Velvet-blues-update-urls : permet de modifier tous les url de votre site, utile en cas de changement d’adresse de votre site, sans passer par une requête sql

Redirection: idem mais pour des redirections permanentes

Related-posts-by-category : permet d’afficher les articles relatifs (paramétrable)

Category-posts : widget qui permet d’afficher la catégorie de son choix

Cache-images : pour rapatrier des images externes au blog

Block Bad Queries : se protéger contre du code malicieux

JavaScript to Footer : place les scripts en bas de page, ce qui améliore l’optimisation (pour les non codeurs, sinon faites-le vous-même)

WP Security Scan : analyse les failles de sécurité

Broken Link Checker : repère les liens qui deviennent obsolètes et vous en avertit. Avec gestion de ces liens.

Excepté pour Askimet, autant que possible évitez la surenchère de plugins ou désactivez-les lorsque vous n’en avez pas besoin. Ils ralentissent votre blog et sont souvent source de plantage.

LIRE