2012 a peine commencé qu’une nouvelle mise à jour de WordPress est annoncée, la version 3.3.1

Cette mise à jour fixe des bugs, mais surtout elle est très importante car elle résoud un problème de sécurité et par conséquent il est important que vous mettiez vos blogs à jour au plus vite.

Que contient la mise à jour ?

A peine 2 semaines après la grande évolution vers la version 3.3, il n’y a rien de vraiment neuf au sens propre du terme. La version 3.3.1 répare un problème de “Vulnérabilité XSS” et répare 15 points de maintenance (petits bugs)

Faut-il effectuer la mise à jour ?

OUI… effectuez la mise à jour aussi rapidement que possible afin d’éviter toute attaque contre votre blog.

Comment effectuer une mise à jour en toute sécurité

Il est très simple d’effectuer la mise à jour après vous être connecté à la console d’administration, mais il vaut mieux vous assurer d’avoir avant de commencer, une copie de sauvegarde de votre base de données.

• Passez en mode Maintenance
• Désactivez les plugin
• Effectuez la mise à jour
• Effectuez la mise à jour des plugins, si nécessaire
• Réactivez les plugins
• Vérifiez qu’aucun problème ne soit apparu
• Désactivez le mode Maintenance

Si la mise à jour s’est bien déroulée, votre blog est à présent sécurisé et fonctionnel

Image via Wikipedia

Nombre plugin sont uniquement constitués de fichiers php, et généralement on peut y accéder directement.

En fonction du type de plugin, et des fonctions contenues dans le fichier, l’accès direct à vos plugin peut générer une faille de sécurité.

La recette d’aujourd’hui bloque l’accès direct aux fichiers plugin.

Il suffit de coller les lignes ci-dessous dans votre fichier .htaccess, qui se trouve à la racine de votre installation de blog

N’oubliez pas d’effectuer une sauvegarde de votre fichier .htaccess, avant toute modification, vous serez en mesure de le restaurer en cas de problème.

<Files ~ "\.(js|css)$">
order allow,deny
allow from all
</Files>

D’autres recettes et astuces sont à venir.

Image via Wikipedia

En avez vous assez du spam ? Souhaitez vous réduire le spam sur votre blog ? La réponse ne peut qu’être positive.

Bien sûr, le plugin Akismet est très utile dans cette démarche , mais le fichier .htaccess peut également rendre de grands services..

La recette d’aujourd’hui est un bout de code qui empêche les robots d’ accéder directement à votre fichier wp-comments-post.php.

Il suffit de coller les lignes suivantes dans votre fichier .htaccess, qui se trouve à la racine de votre installation de blog WordPress.

N’oubliez pas de faire une sauvegarde de votre fichier .htaccess, avant toute modification, vous serez en mesure de le restaurer si quelque chose se passait mal.

Ne pas oublier de remplacer votre_nom_de_domaine sur la ligne 5 par votre véritable nom de domaine.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*votre_nom_de_domaine.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
</IfModule>

Une fois que vous aurez enregistré votre fichier .htaccess, les robots collecteurs de mails ne seront pas en mesure d’accéder à votre fichier wp-comments-post.php directement.

Cela réduira considérablement la quantité de spam reçu sur votre blog.

Image by smemon87 via Flickr

Le 21 juin 2011, Matt Mullenweg, fondateur de WordPress, a annoncé sur WordPress.org, qu’une faille de sécurité, savamment dissimulée, avait été découverte au sein des plugins  AddThis, WPtouch and W3 Total Cache.

Ces failles de sécurité ont été découvertes au sein du site de plugins de WordPress.org, et la faute n’incombe en rien aux auteurs des plugins. A l’heure actuelle,personne ne sait comment les pirates ont pu modifier le code des plugins aus sein même du site.

Vous devez probablement vous dire « Mon Dieu, WordPress.org a été piraté ». De nos jours tout ce qui se trouve sur Internet est attaqué quotidiennement, aussi, pas de panique.

Un des points forts de WordPress repose sur le fait que les développeurs agissent immédiatement, afin de réparer les failles incriminées.

Par mesure de précaution, l’équipe WordPress a pris les mesures de sécurité suivantes :

1. Blocage de l’accès au plugins sur WordPress.org le temps de vérifier tout ce qui peut paraître suspect.
2. Retour vers les version précédentes des plugins AddThis, WPtouch and W3 Total Cache.
3. Mise à disposition de version sécurisées des plugins affectés.
4. Obligation de modifier les mots de passe de tous les comptes sur WordPress.org.

Les développeurs de WordPress poursuivent leurs investigations, tout en surveillant l’évolution de la situation.

Si vous êtes possesseur d’un compte sur WordPress.org, auteur d’un plugin ou d’un thème déposé sur le site WordPress.org, il est nécessaire de réinitialiser votre mot de passe. Pour réinitialiser votre mot de passe cliquez sur  ce lien http://wordpress.org/support/bb-login.php (cette procédure est également obligatoire pour bbPress.org et BuddyPress.org)

Soyez certain d’utiliser un mot de passe très fort ! Un minimum de 15 caractères, comprenant une combinaison de lettres majuscules et minuscules, des chiffres et des symboles. N’utilisez pas de mots issus du dictionnaire, ou votre nom, et SURTOUT, n’utilisez jamais deux fois le même mot de passe.

Chaque site sur lequel vous devez vous identifier doit avoir sont propre mot de passe, unique.

Si vous utilisez AddThis, WPtouch or W3 Total Cache plugins, que faire dans l’immédiat ? Si vous avez installé ou mis à jour l’un de ces plugins dans les derniers jours, rendez vous sur la console d’administration de votre blog, et effectuez immédiatement une mise à jour afin d’obtenir la dernière version. Les dernières versions officielles en date du 22 juin à 14h00 GMT sont :

• AddThis version 2.2.0 (date de dernière mise à jour 20/06/2011)
• WPtouch version 1.9.29 (date de dernière mise à jour 21/06/2011)
• W3 Total Cache version 0.9.2.3 (date de dernière mise à jour 21/06/2011)

Les différents plugins ont été sécurisés à la date indiquée.

Je tiens à vous assurer qu’il n’y a aucunement lieu de paniquer.

Pas plus tard que la semaine passée j’ai installé W3 Total Cache, depuis, j’ai effectué la mise à jour et à présent je suis serein, la dernière version étant sécurisée. Avez vous installé ou mis à jour les plugins AddThis, WPtouch ou W3 Total Cache au cours des derniers jours ? Comment vous sentez vous après l’annonce de ces vulnérabilités ? J’aimerai connaître votre point de vue.

Généralement, la plupart d’entre nous, lorsqu’il s’agit d’effectuer des sauvegardes WordPress nous repoussons l’opération au lendemain.

Et puis de toute façon, « quelles chances ai-je d’être piraté d’ici à demain ? ». Imaginez que vos sauvegardes  se fassent automatiquement, que les données soient stockée en toute sécurité sur un autre serveur, et cela sans que vous ayez à vous en soucier.

Cessons de rêver, la solution existe.

1 – Créez un nouveau compte Gmail

Gmail offre une capacité de stockage de 7 Gigabits avec la possibilté d’avoir des pièces jointes pouvant atteindre 20 Méga, soit actuellement la taille la plus grande pour des pièces jointes pour un compte email gratuit.

C’est gratuit, et totalement séparé de votre hébergement, ce qui vous permettra de ne pas perdre vos sauvegardes. Rendez vous à l’adresse http://mail.google.com/mail/?hl=fr&tab=wm et cliquez sur le bouton « Créer un compte« . Il ne faut que quelques minutes pour remplir le formulaire et obtenir ainsi 7 Gb d’espace de stockage.

2 – Installez le Plugin

Il existe différents plugin vous autorisant des sauvegardes distantes, mais pour cet exemple, nous allons utiliser  WP-DB Manager, care je sui ceratin qu’il fonctionne, et parce que vous pouvez être certains qu’il sera mis à jour lors de chaque mise à jour de WordPress.

Téléchargez le plugin, chargez le sur votre site et activez le. Il vous faut ensuite utiliser votre logiciel FTP pour naviguer vers le sous dossier wp-content/backup-db et y intégrer le fichier .htaccess fournit avec le plugin.

Si le dossier n’existe pas, il vous faudra le créer, et les attribuer les proprietés CHMOD 777 (dans la majorité des clients FTP, vous pouvez modifier le CHMOD, en cliquant avec le bouton droit sur un dossier et choisir ensuite CHMOD ou Attributs de fichiers).

3 – Configurez le plugin

Une nouvelle option « Database » apparaît à présent dans le menu principal. Cliquez  et choississez l’onglet « DB Options« . Dans la section « Automatic Scheduling« , choisissez « Everyday« , « Gzip« , et entrez votre adresse Gmail. Ensuite cliquez sur « Save Changes« . C’est terminé, vous êtes prêts à automatiser vos sauvegardes WordPress.

4 – Lycos Mail, si votre base de données est trop volumineuse

Le seul inconvénient de la solution présentée reste la limitation de taille des pièces jointes. Bien que WordPress ait besoin de très peu de place, l’utilisation de GZip permettra de limiter la taille.

Toutefois, si votre blog venait à grandir de sorte que  vos sauvegardes WordPress dépassent les 20 Mb, il vous faudra trouver un compte email plus adapté. Lycos Mail est à considérer. Ils offrent 3 Gb de stockage, et il n’y a pas de limite à la taille des pièces jointes.

La version gratuite a cependant une limitation, vous êtes obligé de vous connecter à votre compte au moins une fois tous les 30 jours, faute de quoi, tous vos emails seront définitevement supprimés. Afin d’éviter la suppression de vos mail, vous pouvez opter pour un compte payant qui vous coûtera $5.95 soit moins de  € 5.00 pour une année ce qui est très abordable.

Perdre tous les emails et vos sauvegardes WordPress d’un compte gratuit est trop stressant pour moi. Pour l’instant je continue de confier mes sauvegardes WordPress  à Gmail, et ce aussi longtemps que cela sera possible.

Image via Wikipedia

Internet n’est pas l’emplacement le plus sûr qu’il soit, surtout pour les sites et les blogs.

Etant donné qu’il est possible à toute personne mal intentionnée d’accéder à votre blog et de supprimer tout le continu, voire de tout effacer. Le résultat, un site totalement inutilisable, d’autant plus, si aucune sauvegarde de la base de données n’a été faite.

Si vous bloguez régulièrement, vous devez vous assurer de faire une sauvegarde complète de votre base de données, lors de chaque utilisation. Si votre blog venait à être attaqué (espérons que cela n’arrive jamais), vous perdriez tout. A vrai dire tout perdre n’est jamais plaisant, vous devriez tout recommencer, comme si vous débutiez votre site, tout vos classement dans les moteurs de recherche, rétro-liens, etc… tout serait à refaire.

Il ne servirait à rien de restorer une sauvegarde vieille de plusieurs mois, car le travail effectué entre temps serait perdu.

Il faut vous faire à l’habitude de sauvegarder vos données, tous les jours, ou au plus toutes les semaines, juste au cas où.

Pour nous faciliter la tâche, WordPress intègre une fonction de backup dans la console d’administration.

Afin de faire une sauvegarder depuis WordPress, vous devez

1. Vous connecter un tant qu’administrateur
2. Allez au menu Outils
3. Sélectionnez Exporter

Cette fonction va vous permettre d’exporter ou de télécharger la totalité de la base de données WordPress de votre blog, en incluant articles, commentaires, trackback, etc.

Le fait que cette fonction existe, est une chose, mais encore faut-il ne pas oublier de faire régulièrement cet export, et il est pratiquement certain, qu’un jour ou l’autre, vous allez complètement oublier votre sauvegarde, et ensuite elle passera à l’oubli.

Aussi afin d’améliorer ceci, des développeurs ont créé un plugin nommé WP-DB Backup.

WP-DB Backup est un plugin qui permet à l’administrateur d’un blog d’effectuer une sauvegarde complète de son blog, base de données et fichiers.

Vous trouverez, sur le site des plugins WordPress, la page consacrée à  WP-DB Backup .

Après avoir installé WP-DB-Backup, vous pouvez automatiser les sauvegardes afin de les faire à jour et heure régulier, vous permettant ainsi de ne plus avoir à vous soucier de cette tâche.

Au cas où votre blog devait subir une attaque, il suffirait de réinstaller WordPress ainsi que le plugin WP-DB-Backup et de restorer votre blog en très peu de temps.

Souvenez vous de l’adage selon lequel, un homme averti en vos deux, et faites vos sauvegardes régulièrement, avant qu’il ne soit trop tard.

Image by bobbigmac via Flickr

WordPress 3.1.1 est disponible.

Cette mise à jour concerne des points techniques et de renforcement de la sécurité tels que :

• Amélioration des performances
• Amélioration  de la gestion II6
• Amélioration des permaliens pour la taxonomy et PATHINFO

Cette version 3.1.1 fixe également des problèmes de sécurité qui avaient été relevé par l’équipe sécurité de WordPress.

Les pirates savent ce que signifie cette mise à jour, alors pour éviter les problèmes, comme d’habitude, il est fortement conseillé d’effectuer la mise à jour dans les plus brefs délais avant qu’il ne soit trop tard.

Votre blog a-t-il été piraté récemment ? Vous vous demandez certainement comment les pirates trouvent les failles de sécurité ? Lisez ces quelques lignes afin de trouver les réponses.

Comment font-ils ?

Les pirates, et tous ceux qui essaient de pénétrer les blogs WordPress, utilisent les vulnérabilités qu’ils trouvent, ou qui sont découvertes par d’autres. Les failles exploitées par ces personnages peu scrupuleux, sont disponibles gratuitement sur différents sites ayant trait à la  sécurité.

Afin de pouvoir exploiter ces failles de sécurité, les pirates doivent trouver la version de WordPress qui vous utilisez, car certaines failles de sécurité ne fonctionnent qu’avec des versions spécifiques de WordPress.

Trouver la version de WordPress utilisée sur un blog, est on ne peut plus simple, il leur suffit d’accéder au fichier readme.html qui se trouve à la racine de votre blog. Ce fichier peut être visualisé en entrant l’adresse http://www.votreblog.fr/blog/readme.html dans un navigateur. La majorité des administrateurs WordPress, chargeant la totalité des fichiers du pack WordPress sur leur serveur, les pirates n’ont plus qu’à se servir pour connaître la version utilisée.

Le remède

Afin de réparer cette faille, vous pouvez soit effacer le fichier readme.html soit le renommer en vide.html. Si de votre côté, vous souhaitez vous venger des pirates, il vous suffit d’installer un script d’éxécution, dans le fichier readme.html, qui installera une application, non dangereuse pour l’utilisateur, si quelqu’un essaie de charger cette page. Toutefois, soyez prudent, certaines personnes n’apprécient pas que l’on ne les prenne pas au sérieux.

La première et la meilleure des sécurités reste et restera d’utiliser la dernière version en date de WordPress, cette version réparant les failles de sécurité des précédentes versions au fur et à mesure qu’elles sont découvertes.

Image by ‘PixelPlacebo’ via Flickr

L’équipe de développement de WordPress vient de mettre à votre disposition la version 3.05 qui corrige plusieurs quelques points de sécurité et  rend le code plus rigoureux.

• - Deux problèmes de sécurité moyen ont été corrigés, dans les deux cas les contributeurs des blogs pouvaient accéder à des fonctions normalement interdites à leur statut.
• - Un point de sécurité concernant l’accès des contributeurs à du contenu qui leur est interdit (brouillons, articles privés) a été réparé.
• - Deux points de sécurité ont été amélioré, l’un pour les plugin ne respectant le niveau de sécurité requis par l’API de sécurité et le second ajoute une protection addictionnelle a une vulnérabilité réparée par la version précédente.

Par mesure de sécurité, il est rappelé qu’avant de faire la mise à jour, vous devez faire une sauvegarde de votre base de données.

Image via Wikipedia

A peine la mise à jour vers la version 3.03 est-elle installée que la version 3.04 est disponible.

Selon le site WordPress.org cette mise à jour de sécurité est la plus importante des mises à jour à installer cette année.

La version 3.0.4 de WordPress, disponible immédiatement depuis votre console d’administration ou depuis le site WordPress, est considérée comme étant d’une importance capitale au niveau de la sécurité de vos blogs, et doit être installée au plus vite.

Prochainement la version 3.1 sera disponible et apportera son lot de nouveautés.