Archives mensuelles : novembre 2013

Le TOP 10 de la sécurité pour votre site WP

La vidéo de 77webstudio sur le TOP 10 des choses à faire :

https://www.youtube.com/watch?v=qHyBUsxNF6A

Suivant que vous serez en local, hébergé chez wordpress.com avec ou sans options, hébergé ailleurs, certains des points ci-dessous ne seront pas d’actualité. Il faut cependant dérouler toute la checklist. En attendant un autre post plus « technique », voici un résumé (commenté) en français de la vidéo :

10 ) Ne pas utiliser « admin » comme nom d’utilisateur. Ce nom de login est proposé par défaut à l’installation, et c’est le premier que les hackers testeront. Si vous l’avez créé à l’installation de WP , ce n’est pas grave. Commencez par suivre les 9 autres recommandations, puis rendez-vous sur ce post :

(futur post sur comment supprimer le profil « admin »)

https://www.youtube.com/watch?v=0BOdvtnfKjQ

9 ) Faire les mises à jour (MAJ) de WordPress, des extensions, et du thème : Cela permet de bénéficier des corrections de sécurité et autres améliorations. Cette actualisation rend impérative la création d’un thème « enfant » qui conservera vos modifications du thème, tout en acceptant la MAJ du thème « parent » de façon transparente.

La MAJ se fait très simplement, depuis le Dashboard , ou Tableau de Bord. (Updates, ou Mises à Jour)

8 ) Adopter un mot de passe « fort » : Faute de mieux, mélanger majuscules et/ou minuscules et/ou chiffres, sur 8 caractères minimum. Exemples : ZE456YU9, ze456yu9, 456YU9op, etc.  La page ici donne des indications (en anglais) sur la création d’un mot de passe ou d’une phrase de passe encore plus fort.

Sachez quand même que l’installation de base de WP ne limite pas le nombre de tentatives de connexion, ce qui le rend théoriquement vulnérable à une attaque en « Force Brute », même avec un mot de passe fort ; nous verrons plus loin commment s’en protéger.

A noter : Il existe aussi un plugin pour FireFox pour créer et stocker les mots de passe, et cela existe probablement pour les autres browsers (Safari, Chrome, etc.).

Plus sur les mots de passe forts (en anglais), avec des suggestions de programmes gratuits de création/stockage des mots de passe. (ici)

7 ) Choisir un bon hébergeur : Il est important que les serveurs soient online 24/7, que le support logiciel soit bon (hotline, sécurité, versions récentes de Apache, PHP, MySQL), la bande passante satisfaisante, les sauvegardes assurées … N’hésitez pas à comparer et à vous renseigner. Il vaut mieux payer un petit peu plus cher, et s’épargner des migrations d’un hébergeur à l’autre ou d’autres tracas.

Les tutoriels dans YouTube vous indiqueront souvent leur hébergeur (HostGator, par exemple) et un code de réduction de 20 ou 25 %. Cela peut être intéressant pour débuter … Et un critère additionnel pour choisir votre hébergeur : voir si vous avez des bonus pour les clients que vous ramenez via votre site ou à travers des vidéos Youtube.

6 ) Se Protéger des attaques en « Force Brute ». Ce type d’attaque consiste à tenter de se connecter en essayant tous les noms et tous les mots de passe : Cela peut être fait au moyen d’un programme très basique, et avec nos PC actuels, ça va vite : 350 Milliards de tentatives par seconde …

Comme WordPress est installé de base sans limite au nombre de tentatives de connexion, ce type d’attaques est possible, sauf si on rajoute le plugin (extension) Limit login attempts ou Login security solution pour limiter le nombre de tentatives de connection consécutives par un utilisateur, ce qui rend ce type d’attaques impraticables, même si « on » connaît déjà le login (nom d’utilisateur).

5 ) Installer un plugin (extension) de sécurité WP. Il en existe un certain nombre; la vidéo en donne trois ;

– Better WP security

– Bulletproof security

– Wordfence security

Il en existe d’autres ; voir ici la base des plugins.

Comme pour toutes les extensions, il faut vérifier la compatibilité avec votre version de WP, la popularité (nombre de téléchargements, notes) et la date de dernière MAJ. Un seul plugin suffit pour une fonction donnée; deux compliquent les choses inutilement.

4 ) Garder un WordPress « propre ». Supprimer les thèmes et plugins inutilisés, garder une base données saine; en plus de faciliter le travail, cela peut éviter des problèmes de sécurité avec des plugins obsolètes, ou de « plantage » du site. La vidéo ne préconise pas de plugin dédié. La page ci-dessous donne une série de conseils (en Anglais) :

http://codex.wordpress.org/WordPress_Housekeeping

Les recherches ci-dessous a ramené un certain nombre de plugins pour purger la base de données, etc. :

Plugins correspondant au mot « Housekeeper »

Plugins correspondant au mot « Cleaning »

Voir aussi la Documentation sur le Forum en français, on ne le dira jamais assez 😉

3 ) Effacer le fichier readme.html. (Ou le renommer) Ce fichier est situé à la racine de votre site; il n’a aucune utilité dans le fonctionnement du site, mais il donne des informations sur la version de WordPress que vous utilisez : pas besoin de faciliter la vie aux hackers. S’il est (déjà) introuvable, c’est qu’il a probablement été « traité » par le plugin de sécurité qui est installé.

Il est aussi accessible en tapant : urldemonsite/readme.html dans la barre de navigation (si il n’a pas été supprimé).

2 ) Surveiller les malwares sur votre site. Il y a des sites sur Internet qui vous proposeront un scan gratuit de votre site, des prestations payantes (nettoyage, protection), et il faut voir aussi les prestations incluses dans votre hébergement. Voir aussi les fonctionnalités de certains plugins, gratuits ou payants.

Un exemple de site qui offre un scan gratuit du site mais fait payer le reste est Sucuri

Un exemple de plugin qui surveille les changements dans les fichiers de votre site est File Monitor Plus (Wordfence le fait aussi) : vous êtes prévenu par e-mail des modifications, ce qui rend le nettoyage plus facile en cas de piratage.

1 ) Faire des sauvegardes régulièrement. Cela permet de remettre le site en ligne rapidement en cas de gros problème (Bug majeur, hack, infection, défaillance de l’hébergeur). Il y a de nombreux plug-ins de sauvegarde :

http://wordpress.org/plugins/search.php?q=backup

Le meilleur en nombre de téléchargements (433 055) et de note (5 étoiles, 384 avis) est apparemment UpdraftPlus – WordPress Backup and Restoration , et sa dernière mise à jour date de moins d’une semaine. Cela ne veut pas dire que c’est le meilleur dans l’absolu, mais en tout cas il a la cote, on ne peut pas se tromper.

Voilà … C’est fini pour cette fois. Je reviendrai sur certains points dans d’autres posts. En attendant, si vous voulez en savoir plus sur la sécurité :

http://www.wpexplorer.com/wordpress-security-tips/

Et la sauvegarde dont il est question dans la vidéo :

http://www.youtube.com/watch?v=XGeWvf5WqRA

Le thème de ce blog

Pour ce blog, j’ai choisi le 2013 (Twenty Thirteen), parce qu’il était récent, populaire et surtout conçu en « Responsive Design », ce qui le rend consultable sur smartphone, tablette et portable.

J’ai juste personnalisé le bandeau du haut (le missile AGM-65 « Maverick« ), et je verrai plus tard si j’apporte d’atre changements, ou si je reste concentré sur mes projets plus professionnels. En attendant, cela me fait déjà un premier support pour communiquer en tant que futur webdesigner, un début d’expérience en tant que webmaster, et en partageant mon expérience j’essaire de rendre à la Communauté du Libre un peu de ce qu’elle m’apporte. 🙂

Si vous venez tout juste de découvrir WordPress, vous pouvez aussi essayer l’un des tout nouveaux thèmes : le 2014 « Twenty Fourteen » est sorti avec plus d’un mois d’avance. Choisir un thème populaire permet de s’assurer de trouver facilement des tutos sur Youtube et de l’aide sur le forum, ainsi que d’avoir des mises à jour.

En ce qui concerne les mises à jour : Si vous travaillez « en local » et que vous personnalisez votre thème, commencez tout de suite par créer un « thème enfant », comme cela vous ne perdrez pas vos modifications si vous faites une mise à jour du thème : Seul le thème « parent » sera mis à jour, vous hériterez des améliorations et vos modifications seront conservées. Voir aussi :

https://paulgirault.wordpress.com/2013/11/04/theme-enfant/

ou clicker sur le tag « thèmes » pour voir tous mes posts relatifs aux thèmes.

Installation de WAMP pour utiliser WordPress en LOCAL

Je reviens sur un précédent post  où j’abordais l’installation en local de WAMP et de WordPress :

https://paulgirault.wordpress.com/2013/11/02/installation-migration/

Travailler « en local » signifie  que j’héberge sur mon ordinateur le site que je suis en train de créer. Cela permet permet de répondre à trois contraintes :

Le coût : Ne pas avoir à payer de frais d’hébergement pour un site qui ne rapporte pas encore d’argent, ni les options WordPress pour uploader des fichiers multimedia ;

La disponibilité : Pouvoir travailler sans dépendre d’une connection internet parfois capricieuse ou absente;

La sécurité : Protèger ses idées, ne mettre son site en ligne qu’une fois fini, testé et débuggé (ce qui est aussi bien pour un site commercial). Le secret de la phase de dévellopement pourra d’ailleurs être une exigence de vos clients si vous devenez webdesigner à temps plein.

Par contre, je n’ai pas encore testé si le fait de travailler en local pose problème pour les fonctions externes du site (e-mail, paiement en ligne via Paypal & Co, …)

Le portage du site chez un hébergeur sera traité dans un autre post. Pour le moment, je n’en suis pas encore là :-p

Pour en revenir à la technique, nous avons :

– Windows 7 Home Premium 64 Bits, Service Pack 1 + à jour (Mais une édition 32 Bits de Windows fera l’affaire aussi ; WAMP est 32 Bits)

– WAMPServer 2.4, 32 Bits : Le package WAMP est un environnement de développement sous Windows, très utile pour développer un site web dynamique. Cet environnement est composé d’Apache, MySQL et PHP . (On parle de MAMP pour travailler sur Mac et LAMP sous Linux). On le trouve gratuitement ici :

(Attention à bien prendre la version 32-bit, laisser le 64-bit aux experts)

http://www.wampserver.com/

Le package 2.4 inclut notamment Apache : 2.4.4, MySQL : 5.6.12, PHP : 5.4.16, PHPMyAdmin : 4.0.4

Voir ici pour les instructions d’installation (première install’):

http://www.varcap-informatique.net/articles/installer-wamp-sous-windows.html

Une fois l’installation terminée, il reste encore à faire très exactement ce qui est indiqué ici (et qui n’est valable que pour la version 2.4 du package):

http://forum.wampserver.com/read.php?1,116068

ATTENTION : Utiliser Notepad++ pour éditer les fichiers (gratuit et très bien), pas le bloc-notes de windows.

Si vous vous sentez assez en confiance, il est possible de mettre des versions plus récentes de Apache, MySQL, PHP ou autres composants du package, mais je le déconseille. Ca, je l’ai fait et ça fonctionne.

Pour une mise à jour de WAMP (On n’y est pas encore, mais ça pourrait servir plus tard 😉 )

http://forum.wampserver.com/read.php?1,119444

Voilà pour WAMP ; Par souci de clarté, je ferai un autre post pour l’installation de WP, mais ce n’est pas très différent de la procédure à suivre pour l’installation via FTP. Je l’ai d’ailleurs abordé dans mon premier post cité en référence plus haut.

Maintenant que WAMP est installé et configuré comme il faut, il y a juste à le démarrer ; la petite icône en bas à droite doit devenir orange, puis verte. Il reste juste à taper « localhost » dans la barre de navigation de votre browser, et vous aurez la page d’accueil WAMP. Clickez (gauche/droite) sur l’icône pour appeler les fonctionnalités de WAMP.

Pour plus d’infos et du support sur WAMPServer : Le Forum de WAMPServer

Déjà de la visite !

Bonne surprise aujourd’hui,  j’ai eu de la visite sur le blog, et même des « likes »  🙂

C’est sympa … Mais ça veut dire que je vais devoir consacrer du temps à la modération. C’est du temps en moins sur les logiciels et le dévellopement, mais c’est aussi une expérience en tant que webmaster …

Mon visiteur m’a laissé un commentaire sur un des posts; je vais voir si je modifie le post en fonction de sa remarque, ou si je valide son commentaire et que j’y mets une réponse. J’ai un peu peur de perdre en lisibilité, mais d’un autre côté, si mes posts sont trop succints, ça risque d’être un peu pauvre en contenu ?

On va continuer comme ça, on verra ce que ça donne; tant que je n’ai pas beaucoup de trafic, ça reste gérable, au niveau organisation et éditorial …

Bidouille thèmes

Les modifications envisagées pour le moment étant purement d’ordre cosmétique, c’est au niveau du CSS que ça va se passer. Deux possibilités :

1 ) Remplacer les fichiers sans modifier le code CSS (nouveau fichier, même nom et extension)

2 ) Modifier le code CSS ; c’est plus hasardeux, mais cela peut devenir nécéssaire si je veux vraiment maîtriser mon sujet et créer quelque chose de vraiment innovant. (ce qui sera la cas si je fais du webdesign pro)

Pages :

Doc de wootique : http://docs.woothemes.com/document/wootique/

Doc de woothemes : http://docs.woothemes.com/document/theme-structure/

la page de WP pour éditer le CSS : http://en.support.wordpress.com/custom-design/editing-css/

Editeur WP payant :

http://en.support.wordpress.com/custom-design/

Premier post video

Don’t argue with idiots. They’ll only drag you down.

fichier mp4 refusé …

« Allowed file types: jpg, jpeg, png, gif, pdf, doc, ppt, odt, pptx, docx, pps, ppsx, xls, xlsx, key. »

« You can upload mp3, m4a, wav, ogg audio files and increase your available space with a Space Upgrade. You can upload videos and embed them directly on your blog with a Video Upgrade. » Conclusion ; en version/hébergement gratuits, WP ne permet pas de mettre en ligne de video ou d’audio.

Donc pour le moment, il n’y a que les liens qui passent, sinon il faut payer. Pour intégrer un lien, soit on fait ouvrir une nouvelle fenêtre :

https://www.youtube.com/watch?v=B3DGZRAVolw

soit on le met sans ouverture de nouvelle fenêtre :

https://www.youtube.com/watch?v=B3DGZRAVolw

Raté. Normalement, j’aurais dû avoir un « embed » video ? je retente le coup en faisant click-droit/copier le code d’intégration ==> Coller dans l’onglet « Text » de l’editeur de post (le code HTML du post)

Restez débranchés ! – Épisode 2 – L’Union… par ERTV

Bidouille wootique

(Version provisoire – Post en cours d’édition)

Je travaille avec les extensions WooCommerce et le thème wootique, en local (voir aussi le tag « Local »)

http://wordpress.org/plugins/woocommerce/

http://www.woothemes.com/

0http://www.woothemes.com/products/wootique/

Comme d’habitude en local, il faut commencer par créer un thème enfant avant toute personnalisation, sinon on risque de perdre les modifications à la mise à jour du thème.

Bidouilles en cours :

J’ai tenté de décoder une URI en base 64 trouvée dans le thème wootique, mais peau de balle.  Il faudra essayer autre chose et faire une vraie comparaison avec artificer, mais si je ne peux pas trafiquer wootique, je crois que je vais l’abandonner …

Edit du 26/11 :

Erreur de débutant. Encore une fois, « R.T.F.M. » = « Read The F***ing Manual » (Lire Le P***** De Manuel) … Voir la doc ci-dessous :

http://docs.woothemes.com/document/wootique/

http://docs.woothemes.com/documentation/plugins/woocommerce/

bidouille Artificer

(Version provisoire – Post en cours d’édition)

Je travaille avec l’extension WooCommerce et le thème artificer, en local (voir aussi le tag « Local »)

http://wordpress.org/plugins/woocommerce/

http://www.woothemes.com/

http://www.woothemes.com/products/artificer/

Comme d’habitude en local, il faut commencer par créer un thème enfant avant toute personnalisation, sinon on risque de perdre les modifications à la mise à jour du thème.

Bidouilles en cours :

Je crois avoir trouvé comment changer le background du thème artificer. Avec Firebug, j’ai pu remonter sur l’élément parent dans la feuille de style « style.css », à la ligne 307.

dans FireBug, cela donne :

html {
    background: url(« images/body.gif ») repeat scroll 0 0 #E6E1DD;
    font-size: 62.5%;
}
Ce qui correspond normalement au chemin :
C:\wamp\www\storetest02\wp-content\themes\artificer\images
Je vais modifier le fichier pour voir ce que ça donne …
Ca marche ! le fichier par lequel j’ai remplacé body.gif (renommé en body.old.gif au cas où) est bien pris en compte. Le motif n’est pas terrible à cause de la répétition du motif qui est décalée, mais ça marche !
Il va falloir travailler sur le CSS/HTML pour maîtriser les effets d’affichage (repeat, size=auto, etc).

Community Pool

Ressources WP – Community Pool

A utiliser en plus du forum … Peut être pour faire « auditer » mon travail par d’autres ?

The Daily Post

The Community Pool is for those of you looking for input, whether on post ideas, writing, blog design and layout, or anything else. If you have a post, page, or idea you want to bounce off someone, leave a comment. Your fellow bloggers can then click through and offer input either on your site, or in the comments here (feel free to indicate which you’d prefer).

Read on for the ground rules and to leave a comment . .

View original post 99 mots de plus

WordPress.com vs. WordPress.org

WordPress.com is a hosting platform that makes it easy for anyone to publish online. You don’t have to download software, pay for hosting, or manage a web server. WordPress.com has hundreds of themes, and includes the functionality of many plugins, but you can’t upload your own plugins or themes.

WordPress.org offers free software that you can install on a web server. You can upload and install themes and plugins, run ads, and edit the database

Tableau comparatif :

http://en.support.wordpress.com/com-vs-org/