Archives de
Étiquette : hébergeur

Problème d’upload d’images dans WordPress, ça marche !

Problème d’upload d’images dans WordPress, ça marche !

Voilà un bon moment que je n’avais plus mis à jour mon site Tracker.Cyborgjeff.com

Du coup, voilà qu’à nouveau je tombe sur un soucis d’upload de fichiers images dans mes articles. Impossible de créer le répertoire 2018, impossible de créer le répertoire 2018/11…

Son dossier parent est-il accessible en écriture par le serveur ?

Je me souviens très bien avoir eu ce genre de soucis déjà par le passé. Néanmoins, quand je vérifie mes droits d’écritures sur le serveur FTP ne posent pas de soucis… Après avoir cherché tout une série de chose, il me restait la solution proposée ici : Dans le menu Setting – Media, supprimer le contenu de la textbox qui cible le répertoire où s’upload les images. Ce dernier était un répertoire très long à la sauce “Infomaniak” et il se pourrait bien qu’il traine depuis longtemps, bien avant le changement de serveur chez mon hébergeur, bien avant l’ajout du protocole https, bref ! Yes, cela fonctionne, on va pouvoir réalimenter le site Pype !

Solution #4: Remove the File Path from the Media Settings Page

This isn’t a popular solution to the image upload issue, but it has worked for some. Sign into the admin area of your WordPress site, open the Settings menu, and select Media. If you see a file path with a textbox displaying where the files should be uploaded to, delete the text in the file path textbox, and click Save Changes once you’re done.

If you open the Media Settings page and only see dimensions for images and a setting that says your files should be organized into month/year folders, you won’t find any use with this solution. (Une solution trouvée sur https://fancythemes.com/fix-image-upload-issue-wordpress/)

Et pan, merci l’Europe pour votre loi RGPD

Et pan, merci l’Europe pour votre loi RGPD

Le Règlement général de protection des données (RGPD), cela vous parle ? Peut-être pas… et pourtant il est plus que probable que votre boite mail aie reçu ces derniers jours de nombreux courriels à ce sujet, vous proposant notamment de valider votre abonnement aux services de X ou Y. Et oui, l’Europe a voté pour nous, pour nous protéger des vilains voleurs de nos “données privées”… celles que nous offrons, à notre insu aux grosses boites de Big Data.

Sur mon blog “Les Mondes de Cyborg Jeff”, blog privé, je ne suis en principe pas réellement soumis à devoir me plier à ces contraintes. A savoir, vous informer que lorsque vous venez vous promener ici, lire les nouvelles de la famille, regarder mes photos, partager mes états d’âmes, découvrir mes bons plans, mes trouvailles…. Un petit cookie se dépose sur votre ordinateur, comme sur la grande majorité des sites web que vous visitez. En fonction de ce que vous faîtes sur ce site, y sera stocké des informations améliorant votre navigation, de quoi rendre le site plus rapide en gros ou si vous laissez un commentaire, de quoi vous reconnaitre automatiquement : votre nom et prénom ou pseudo, votre adresse email et l’IP utilisée au moment de votre connexion. Vous constaterez que j’ai fait l’effort moi aussi, de me plier à la loi qui impose les entreprises à afficher cette information, en intégrant un petit “popup” discret, mais disgracieux en bas du blog. Et pourquoi ? Que font les utilisateurs en général, ils cliquent rapidement sur “OK”….

Mais ce fameux RGPD va bien plus loin que cela. Il impose en principe toutes entreprises, qu’importe son importance à se conformer à une politique de protection des données, à informer les utilisateurs avec un document spécifique détaillant cette dernière (Le mien étant disponible ici : https://www.studio-quena.be/cyborgjeff/blog/politique-de-confidentialite/). Or, comme la plupart d’autres sites et blogs, une série d’éléments propres à la protection de données ne sont pas entièrement sous mon contrôle. J’utilise l’un des meilleurs hébergeurs et le plus sécurisé, Infomaniak en Suisse, le site est sous protocole https et je n’utilise aucune intégration de publicité à l’intérieur du blog. Néanmoins, ce dernier est lié à mon compte Google Analytics, ce qui veut dire que Google récupère, certes de manière anonyme, des informations vous concernant, vous les visiteurs afin de créer des statistiques de visite. WordPress via son extension Jetpack en fait de même.

Le blog utilise également un système de synchronisation avec les réseaux sociaux, notamment via le plugin SNAP. En gros, chaque article est auto-publié sur Facebook, Twitter et Google+. L’application récupère les interactions publiques que les utilisateurs ont sur ces contenus à l’intérieur des différents réseaux sociaux et les rapatrie à l’intérieur du Blog : En gros, lorsque vous réagissez de manière publique à l’intérieur de Facebook par exemple sur l’un des articles, le blog en récupérera le contenu.

Enfin, dernier élément que j’ai pu “décrypter” de ce que nous impose le RGPD, une entreprise ne peux plus envoyer de mailing sans autorisation implicite de l’utilisateur. C’était évidemment assez fréquent, d’une manière ou d’une autre vous interagissiez sur un site web, et bardaf, vous étiez intégrer dans la base de données clients… ses filiales, puis ses partenaires. Ma fois, ici aussi, j’ai mis en place il y a quelques années une newsletter pour vous tenir au courant des différents articles que j’écris. J’ai considéré que les grosso modo 50 personnes qui s’y trouve étaient à un moment donné tout du moins, intéressées à suivre ce que je raconte.  Quoi qu’il en soit, vous êtes bien sur libre de vous désinscrire à tout moment, via un lien proposé lors de emails mensuels… Mais la loi Européenne impose aux entreprises, de demander à tous ses abonnés de confirmer qu’ils souhaitent bien faire partie de leur mailing. Raison pour laquelle vous recevez énormément de mail de ce genre en ce moment !

Voilà pour le gros de l’histoire. D’après l’un des articles lu sur le site de la RTBF, l’information doit être présentée de manière claire et compréhensible de tous, néanmoins la mise en place de tout cela demande des compétences juridiques et informatiques qui risquent de faire des frais importants pour des petites structures !

l’information doit être non seulement claire, mais également concise. Normalement vous devriez pouvoir recevoir des messages faciles à comprendre, dans des termes qui ne sont pas du jargon juridique et qui ne vous obligent pas à cliquer sur des pages et des pages pour comprendre” (…) Le RGPD est un texte, un peu paradoxalement, extrêmement technique. Il impose aux entreprises et aux administrations d’être claires, mais lui-même a besoin quand même de techniciens pour le comprendre. De grosses entreprises comme Facebook ont des armées de juristes et d’informaticiens, c’est plus facile pour eux de le comprendre et de mettre en place des procédures. Les PME, les petites entreprises, n’ont pas ces moyens, et donc elles doivent s’adjoindre les services d’entreprises externes pour mieux le comprendre et le mettre en place. C’est plutôt lourd à mettre en place au départ, mais une fois qu’on s’est lancés dedans, ça devient un réflexe (A lire sur le site de la RTBF)

Et tout cela pourquoi ? Bien entendu, des brigages du web vont se mettre en patrouille pour traquer tous les “petits sites webs” qui ne se seraient pas formalisés, les amendes pouvant être élevées… Je vous jure que moi, cela me démoralise dans toute l’énergie que je mets dans la création de mes différents sites et blog.

Sans compter les “faux”. Tant pour les privés qui recevront de fausses demandes d’acceptation des conditions soumises par des pirates et rançonwareq, que les faux organismes de contrôles. L’Europe choisi à notre place… pour notre bien ? Les gens ne seront pas plus conscients de ce qu’ils offrent comme informations sur la toile ou de ce qu’ils sacrifient pour continuer à utiliser les services qu’ils utilisaient jusque là. Les Google et autres Facebook ont suffisamment d’avocats que pour s’adapter et poursuivre leur actions… Mercedes fera toujours sa pub sur ma boite mail, parce que son dernier Classe X s’est garé devant chez moi, Volvo parce-que j’ai discuté de ses voitures à coté de mon téléphone… Nos Smartphone sont de vraies espions, mais c’est une autre histoire.

Pour en savoir plus sur le sujet, divers articles en anglais commencent à sortir, notamment chez WordPress : http://www.wpbeginner.com/beginners-guide/the-ultimate-guide-to-wordpress-and-gdpr-compliance-everything-you-need-to-know

J’ai également trouvé comme ressources, ce guide à l’écriture : https://fr.vpnmentor.com/blog/politique-de-confidentialite-pour-les-sites-web-modele-gratuit/

Scoop : Pourquoi et comment passer son site en HTTPS

Scoop : Pourquoi et comment passer son site en HTTPS

Pourquoi et comment passer son site en HTTPS
Pourquoi et comment passer son site en HTTPS

Bon, j’imagine ne pas avoir à me préoccuper du protocole https que je pensais rester uniquement nécessaire au site web utilisant des paiement en ligne… Mais à l’heure de la sécurité des “données utilisateurs”, Google a décidé de fortement pénaliser les sites web n’ayant pas migrer vers ce nouveau protocole dans les mois à venir… Voilà qui m’oblige donc à me pencher un peu plus sur le sujet notamment via cet article publié chez Press-Citron.

“Le passage d’un site en HTTPS est un sujet d’actualité. Tout le monde en parle et chacun donne un avis plus ou moins éclairé sur le sujet. Si vous souhaitez optimiser votre site internet ou même créer un site internet vous devez vous y intéresser. Il nous a semblé indispensable d’expliquer pourquoi Google demande le passage en HTTPS des sites internet et quels sont les impacts sur les sites web existants.” (Pourquoi et comment passer son site en HTTPS, Press-Citron)

Sans entrer dans les détails, la migration ne se présente pas comme une procédure simple à mettre en place, elle s’annonce même comme relativement couteuse (jusqu’à 2000€) s’il vous faut passer par un spécialiste. Il y a lieu en effet de toucher à des points sensible de clé de cryptage, interfaçage domaine/référencement et ré-écriture d’URL.

Lire la suite Lire la suite

Attaque WordPress ?

Attaque WordPress ?

Site OutWordPress est un outil génial, facile à prendre en main et de ce fait de plus en plus utilisé sur la toile. Il devient alors une cible privilégié des cyber-attack tentant pour diverses raison d’y trouver des failles. Il y quelques heures, j’avais trouvé un comportement suspect dans l’affichage d’un des sites que je développe. Comme si une partie de la CSS était mal interprétée, voire modifié par un élément invisible. A l’heure actuelle, je ne sais pas si cela a un lien ou non avec la suite des évènements, mais cela m’a poussé à faire un tour sur le serveur. Là j’ai été interpellée par des fichiers suspects situés à la racine des répertoires comportant un WordPress et dans le répertoire Kernel d’un bon vieux Xoops.

Des heures et des heures à me creuser les méninges et m’énerver, soirée perdue, mauvaise nuit et humeur de chien le matin. Il est claire que je me passerais bien de ce genre de prise de tête ! Mais j’ai malgré tout la responsabilité de m’assurer de ne pas propager ou contaminer d’autres utilisateurs.

Lire la suite Lire la suite

Saturation serveur

Saturation serveur

Déjà quelques jours que je m’arrache les cheveux et perd un temps précieux sur un sérieux problème d’attaque Web sur mon serveur, un soucis qui semble s’orienter autour d’attaque de BingBot ou d’un bon bug dans celui-ci, le tout causant une charge CPU anormal sur le serveur.

Et c’est de la que le problème a été identifié. Contacté par Infomaniak il y a un moment, mon hébergement avait dû être démutualisé pour cause de surcharge CPU, or ce n’est pas vraiment le genre d’Infomaniak de faire la grimace ! Difficile de mettre la doigt exactement sur ce qui en est la cause, il a donc fallu tenter plusieurs pistes.

J’ai d’abord fait un genre de test malware de mes différents sites avec cet outil : http://sucuri.net/ sans grand résultat, il m’annonçait simplement que mes versions de WordPress n’était pas à jour. Dans la mesure où le passage à Worpdress 3.x impliquait toute une série d’incompatibilité plugins, je m’étais volontairement arrêté à la version 2.9.8.2  J’ai donc mis à jour mes noyaux, mis à jour les nombreux plugins et puis ?

Je me suis souvenu avoir lu qu’il était parfois utile de checker authenticité des thèmes wordpress utilisés. En effet, par exemble, celui de mon blog avait été réalisé au départ d’un thème datant maintenant de 2007…. Cause potentiel ? Pas vraiment sur, mais bon, cela n’aura pas fait de tord de mettre tout cela à jour

J’en ai profité pour faire du nettoyage sur mon serveur, par bloquer via .htaccess certains répertoires,… puis sous les conseilles d’Infomaniak, j’ai installé un outil d’optimisation de cache du site WP Super Cache, qui permet de diminuer les requêtes aux serveurs.

Mais rien à faire, la charge CPU restait toujours assez élevée… Dans les statistiques, je voyais qu’une page d’un de mes blogs était anormalement visitée, plus de 600.000 fois depuis début mai sans aucune raison. La page était plutôt clean, on aurait juste pu lui reprocher un embed de player Jamendo… Un croisement avec les weblog du site me montre effectivement que le problème passe bien par là, on retrouve ce genre de log plusieurs fois par seconde en permanence :

157.55.17.151 – – [16/May/2012:00:00:10 +0200] “GET /cyborgjeff/site/albums/divagation-se-1997/%26layout=button_count%26show_faces=false%26width=250%26action=like%26colorscheme=light%26font=arial%26height=35px/1997/02/24/344-4u2-ethnic-drums-ftl-mix-16/1997/04/10/372-ego/1997/03/23/365-2-3-frutti-dance-classics/1997/02/24/344-4u2-ethnic-drums-ftl-mix-16/1997/04/10/370-introduction-of-dream-part-ii/1996/11/27/279-moon-day/1996/11/27/279-moon-day/1997/04/04/368-deep-house-titanic-mix/1997/04/10/372-ego/1997/04/10/372-ego/1997/04/05/369-i-get-no-sleep-part-2/1997/03/03/351-one-month-but-three-weeks-without-you-mixing/1997/03/16/361-hey-mister-dj/1997/02/12/335-space-del/1997/02/12/335-space-del/ HTTP/1.1” 301 – “-” “Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)”

Plusieurs choses m’intrigue là dedans, d’abord tout le blabla après la page proprement dit et ensuite des appels vers les urls des pages liées à la première, un peu comme si l’appel en question allait ouvrir une dizaine de pages d’un coup, ce qui pourrait évidemment expliquer la surcharge, ensuite à quoi peut bien faire référence ceci : %26layout=button_count%26show_faces=false%26width=250%26action=like%26colorscheme=light%26font=arial%26height=35px

J’ai tout d’abord supprimer ma page temporairement, les appels ont continuer sans soulager le serveur, et pour cause, c’est wordpress qui génère les messages d’erreur type 404 et compagnie, par contre fin de journée, le BingBot a fini par se lassé et la charge CPU est retombée… J’ai réactivé la page, et dès le lendemain, bardouf !

Petit check, les différentes IPs semblent bien provenir de Microsoft (MSNBot et BingBot), j’avais fini par trouver quelques Abus BingBot récent mais qui semble surtout provenir d’adresse IP douteuses, et cibler essentiellement les pages de logins ou de commentaires, ce qui n’est pas le cas ici… J’ai par contre aussi trouvé certaines personnes rapportant des comportements agressif et anormaux des BingBots officiels ces dernières semaines…

Que faire ? Pour l’heure j’ai bloqué l’accès à Bingbot et Msnbot via du code .htaccess

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^.*(msnbot).* [NC] # Si le user agent contient la chaine msnbot
RewriteRule ^.* – [F,L] # On interdit alors l’accès à la page

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^.*(bingbot).* [NC] # Si le user agent contient la chaine msnbot
RewriteRule ^.* – [F,L] # On interdit alors l’accès à la page

Cela soulage le serveur, mais je trouve la parade un peu trop large… j’aimerais bien pouvoir affiner cela, voir comprendre la raison du problème sur ma page bien précise… histoire de pouvoir me prémunir d’autres pertes de temps de ce genre !

>> Ici la solution finale mise en place : https://www.studio-quena.be/cyborgjeff/blog/2012/05/24/cyborg-jeff-vs-robots/

Lire la suite Lire la suite