Je me posais la question ce matin, et je l’ai posé sur Twitter. Mais d’ailleurs, pourquoi privilégier l’éditeur HTML ?

WordPress est une bonne plateforme de blogging, mais l’éditeur visuel a plutôt (une sale) tendance à modifier/supprimer des balises HTML dans vos articles (javascript, flash, etc.). Dans certains cas, on a parfois besoin de maîtriser le code, et avec l’éditeur visuel ce n’est pas gagné !

Solution 1 : il est possible de désactiver complètement l’éditeur visuel dans les paramètres de son compte utilisateur :

Solution 2 : vous trouverez également plusieurs plugin dans le plugin directory de wordpress.org qui remplissent la tâche demandée.

Solution 3 : comme rien ne me convenait, j’ai un peu plus cherché sur Google, et j’ai découvert qu’on pouvait déclarer l’éditeur HTML en rajoutant la ligne suivante dans le fichier functions.php de votre thème.

add_filter('wp_default_editor', create_function('', 'return "html";'));

Ce résultat me convient tout à fait !

NB : le seul petit défaut est que quand on sauvegarde un article alors qu’on était en train d’utiliser l’éditeur visuel, on repasse sur l’éditeur HTML.

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Wordpress.

Ajoutez ce blog à vos favoris Technorati.

Voici les étapes à suivre après l’installation de ce plugin :

• On active l’extension,
• On va dans les paramètres de l’extension (pour un blog en français, ça se passe dans Réglages > Google Verification), voir ci-dessous,
• On lance la vérification avec « Start Verification »,
• On valide la permission avec « Grant Access »,
• Et voilà !

Ci-dessous, la requête d’autorisation pour l’associer à un compte.

Requête de vérification pour le plugin WordPress Google Site Verification

Enfin, votre blog est vérifié.

Il ne vous reste plus qu’à vous rendre sur votre compte Google Webmaster Tools.

Dashboard de Google Webmaster Tools

Vous pouvez télécharger cette extension sur la page dédié : Google Site Verification plugin.

Attention, au niveau des pré-requis :

• WordPress 3.0 ou plus,
• PHP 5.2.0 (et plus),
• les extensions PHP JSON et CURL,
• vous devez héberger vous-même votre WordPress (le plugin ne fonctionne pas sur un compte WordPress.com).

Source : j’ai trouvé l’info sur le blog de Google Webmaster Central Blog.

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Wordpress.

Ajoutez ce blog à vos favoris Technorati.

• mes tags,
• mes catégories,
• mes articles.

Complètement par hasard, sur la page de mise à jour des articles, j’ai vu qu’il était possible de sélectionner plusieurs articles, et de les modifier en masse : je ne connaissais pas ce système, mais c’est plutôt bien conçu !

Un seul regret : ne pas pouvoir modifier l’image « à la une » pour un groupe d’articles via ce moyen.

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Wordpress.

Ajoutez ce blog à vos favoris Technorati.

Si vous avez comme moi un accès SSH, vous pourrez économiser plusieurs minutes à chaque mise à jour (à moins d’utiliser un système de mise à jour automatique).

Une fois connecté en SSH, très simplement :

0. Faites un backup de vos fichiers et de votre base de données

(1). Si vous le désirez, vous pouvez protéger votre blog avec un fichier .htaccess pour que seul vous-même puissiez accéder à l’interface d’administration pendant le processus de mise à jour (facultatif)

2. Créez-vous un répertoire de travail au même niveau que votre racine

Exemple : si /home/chemin/www est votre racine d’hébergement, créez un répertoire /home/chemin/wordpress

mkdir /home/chemin/wordpress

2. Téléchargez directement l’archive sur le serveur sans passer par votre PC

wget http://fr.wordpress.org/wordpress-2.7-fr_FR.zip

3. Décompressez le fichier dans le répertoire nouvellement créé

unzip wordpress-2.7-fr_FR.zip

4. Copier les nouveaux fichiers dans votre racine

cp * -R /home/chemin/www/

Note : l’option -R vous permet de faire la copie récursivement (comprendre sur tous les répertoires ET sous-répertoires).

5. Accédez à votre interface d’administration et poursuivez le processus de mise à jour

Attention :

• cette technique est risquée pour une personne qui n’est pas à l’aise sur un serveur Linux,
• peu d’hébergements ont un accès SSH : seuls les serveurs dédiés, partitions virtuelles, ou certains gros hébergements mutualisés le proposent.

Voilà !

Qu’en pensez-vous ? Moi j’utilise ce système depuis 2 ans maintenant, et je n’ai jamais eu de problèmes. ^^

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Administration, Wordpress.

Ajoutez ce blog à vos favoris Technorati.

Nouveau dashboard Wordress 2.7

Pour télécharger la nouvelle version, c’est sur http://fr.wordpress.org, et pour voir le détail des nouveautés, c’est par là.

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Wordpress.

Ajoutez ce blog à vos favoris Technorati.

Replaçons le contexte : vendredi soir, 23 heures, Bastien m’annonce que je me suis fait hacker mon blog (merci à Jennifer de l’avoir découvert). En effet, on retrouve un script PHP sur la page d’abonnement, script qui n’a rien à faire là.

Le résultat sur ma page "Abonnez-vous"

Alors, que s’est-il réellement passé ? Véritable hackeur ? Petit farceur ? Script-kiddies ? Vous en saurez plus dans la suite de l’article !

Que faire quand vous découvrez que votre site/blog a été hacké ? Voici, en quelques étapes clés ma réaction.

1. Protéger le blog

C’est l’étape la plus importante : vous devez protéger vos données dès que possible.

En effet, tant que vous n’avez pas identifié et sécurisé la faille, quelqu’un peut à tout moment accéder à vos données, ou modifier vos fichiers pour créer des backdoors.

Un moyen simple, mais efficace : bloquer tous les accès, sauf votre adresse IP grâce à un fichier .htaccess à placer à la racine de votre blog. Les deux lignes à ajouter en début de fichier sont :

Allow from 123.123.123.123
Deny from all

Note : remplacez 123.123.123.123 par votre adresse IP publique.

2. Trouver la portée des dommages

J’ai pu constater dans l’interface d’administration de mon blog que les données du compte admin ont été changées. J’y ai notamment retrouvé ce mail à la place du mien :

yahiaouibilal@live.fr

Note : oui oui, vous pouvez le spammer !

Si vous ne pouvez pas constater visuellement, un accès SSH à vos fichiers peut vous sauver la mise dans 99% des cas. Voici une commande qui permet de trouver tous les fichiers modifiés les dernières 48h :

woueb@ssh1:~$ find . -mtime -1 -print | more
./www/wp-content/themes/classic/style.css
./www/wp-content/themes/glossyblue-1-3/print.css
./www/wp-content/themes/glossyblue-1-3/simple_recent_comments.php
./www/wp-content/themes/glossyblue-1-3/abonnez-vous.php

Un petit tour dans ces fichiers : ils sont encodés en base 64, et effectivement, ont été modifiés pour afficher un script PHP sur la page « Abonnez-vous ».

3. Restaurer des données

Comment ça vous n’avez pas de backups ? Dans ce cas, je ne peux pas vous aider !

4. Trouver la faille de sécurité

Si celle-ci n’est pas évidente, le mieux est de consulter les logs d’Apache. Dans les miens, j’ai retrouvé ceci :


83.233.168.63 www.woueb.net - [14/Nov/2008:03:11:48 +0100] "POST /wp-login.php?action=lostpassword HTTP/1.1" 302 20 "http://www.woueb.net/wp-login.php?action=lostpassword" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3"

83.233.168.63 www.woueb.net - [14/Nov/2008:03:12:00 +0100] "GET /wp-login.php?action=rp&key=Iq6NN8gS4Jd2hJJwhD4H HTTP/1.1" 302 20 "http://bl117w.blu117.mail.live.com/mail/InboxLight.aspx?n=700632850" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3"

Je suppose donc que quelqu’un a réussi à contourner le système de réinitialisation du mot de passe de WordPress ; par contre, je ne sais pas du tout comment !

5. Sécuriser le blog

Une fois que vous avez trouvé la faille, il ne vous reste qu’à la corriger : je reviendrais sur mes méthodes dans un autre article au courant de la semaine.

6. Remettre en production

Si jamais vous n’avez pas pu sécuriser votre blog, je déconseille fortement de le remettre en production pour éviter que quelqu’un fasse un doublé !

Il vaudra toujours mieux voir son blog inaccessible pendant 24h que de perdre des données. Dans tous les cas, ne jamais paniquer, et toujours protéger le blog en premier lieu !

Dans mon cas, je dirai que j’ai eu de la chance : je suis tombé sur des boulets personnes qui n’ont pas trop foutu le bordel puisqu’il n’ont jamais trouvé l’adresse de la page !

En effet, pour la petite histoire, je pense qu’ils n’ont pas remarqué qu’ils avaient réussi à installer leur script :

• ils ont essayé d’accéder la page « Abonnez-vous », mais sur la mauvaise adresse, comme en témoigne les logs d’Apache avec ces erreurs 404,

83.233.168.63 www.woueb.net - [14/Nov/2008:03:13:56 +0100] "GET /themes/glossyblue-1-3/abonnez-vous.php HTTP/1.1" 404 6213 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3"


83.233.168.63 www.woueb.net - [14/Nov/2008:03:14:08 +0100] "GET /themes/abonnez-vous.php HTTP/1.1" 404 6226 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3"

• personne d’autre n’a accédé à cette page jusqu’à 23h le soir.

Vous pouvez éventuellement placer une étape 7, si jamais vous retrouvez le responsable (rare).

7. Lui casser les genoux

L’adresse IP ne vous donne pas beaucoup d’informations puisque ces personnes utilisent en général des serveurs proxy dans d’autres pays.

…

Autre chose ? Ah oui, je hais les script-kiddies !

Et vous, ça vous est déjà arrivé ? Vous avez réagi comment ?

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Blogs, Wordpress.

Ajoutez ce blog à vos favoris Technorati.

En effet, malgré la case cochée dans mon gestionnaire de médias, mes images restaient insensiblement alignées à gauche.

J’ai trouvé la réponse aujourd’hui sur WordPress Francophone :

[...] Très peu de thèmes WordPress incorporent les nouvelles classes CSS du gestionnaire de médias ! [...]

Il suffit donc d’intégrer quelques nouvelles classes CSS à son thème actuel. Bon, j’avoue, je n’avais pas beaucoup cherché !

Je poste ici, car je connais quelques personnes qui cherchaient, comme moi ! ^^

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Wordpress.

Ajoutez ce blog à vos favoris Technorati.

Pour ma part, j’ai commencé à utiliser WordPress en version 2.2, et beaucoup de choses manquaient (un éditeur digne de ce nom, intégration rapide d’images/de vidéos, la gestion native des tags, etc.) ; mais au fur et à mesure des nouvelles versions, les développeurs se surpassent et m’étonnent en répondant de plus en plus rapidement aux besoins des blogueurs.

Une petite remarque tout de même : j’aimerais pouvoir configurer un peu plus finement la gestion et l’upload des images (choix du répertoire de stockage des images, etc.). Par ailleurs, si je pouvais créer mes propres états de publication, ça me permettrait de mieux gérer mes brouillons et ébauches d’articles.

Voilà !

Je ne link personne, parce que tout le monde est en vacances mais si vous pouvez développer vos opinions dans les commentaires ou sur vos propres blogs, vous êtes les bienvenus…!

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Wordpress.

Ajoutez ce blog à vos favoris Technorati.

Une protection grâce à un fichier .htaccess permet de combattre ce « squattage sauvage« .

Première solution : bloquer tous les accès aux images qui sont directement intégrés à d’autres sites.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?woueb.net/.*$ [NC]
RewriteRule \.(gif|jpg|jpeg|png)$ – [F]

Pour ceux qui n’ont pas fait de « Bac, option fichiers .htaccess » : pour tous les fichiers images du site www.woueb.net (et/ou woueb.net sans le www), bloquer l’accès depuis les autres sites.

Autre solution, plus sadique :?????? vous pouvez remplacer n’importe quel média par un fichier de votre choix !
La syntaxe est la même, sauf pour la dernière directive qui remplace l’image par une autre, plutôt d’en bloquer l’accès.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?woueb.net/.*$ [NC]
RewriteRule \.(gif|jpg|jpeg|png)$ http://www.woueb.net/images/logo_woueb.gif [R,L]

Voili !

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Administration, Wordpress.

Ajoutez ce blog à vos favoris Technorati.

Ce tutoriel vient d’un besoin personnel de pouvoir travailler sur le design de mon blog en mode déconnecté.

Bien entendu, il est également possible d’utiliser cet article pour installer d’autres applications Apache/MySQL sur une clé USB.

Note : ce tutoriel ne concerne que Windows, même s’il existe des solutions similaires pour Linux, et Mac OS X.

Pour la suite de l’article, je considère que la lettre de lecteur affectée à la clé USB est J:\

Etape 1 : télécharger Xampplite

Je privilégie XAMPP (X Apache MySQL Perl PHP) comme logiciel : développé par ApacheFriends, il permet entre autres d’installer rapidement un serveur Web et MySQL.

Deux versions sont disponibles :

• Xampp,
• XamppLite.

Pour l’installation de WordPress, la version Xampplite est tout à fait suffisante, mais vous pouvez toujours consulter les différences entre les deux versions.

Etape 2 : décompresser les fichiers

En supposant que tout le monde y arrivera, je ne reviendrais pas sur ce point : il s’agit de décompresser les fichiers directement sur votre clé USB, dans un répertoire J:\Xampplite qui contiendra les fichiers et dossiers de Xampplite.

Le résultat vous donnera une arborescence de ce type là.

Par ailleurs, vous pouvez directement télécharger WordPress et décompresser les fichiers dans le répertoire J:\Xampplite\htdocs\wordpress : ce répertoire sera la racine de votre blog et contiendra donc les fichiers et dossiers wp-content, wp-admin, etc.

Etape 3 : modifier la configuration d’Apache pour permettre aux permaliens de fonctionner

Par défaut, Apache est configuré sans le support du mod_rewrite qui permet la réécriture d’URL (et donc la génération des permaliens).

Pour activer cette fonctionnalité, il suffit d’éditer le fichier J:\Xampplite\apache\conf\httpd.conf et de décommenter la ligne suivante (ligne 118 chez moi) en enlevant le # (dièse) :

#LoadModule rewrite_module modules/mod_rewrite.so

Etape 4 : installation et lancement de Xampp

Il reste un dernier point à voir avant de démarrer Xampplite, i.e. vérifier si les ports sont disponibles sur la machine.

Pour cela, il suffit de lancer l’exécutable J:\Xampplite\xampp-portcheck.exe : le résultat sera présenté sous la forme suivante.

Il est important que la colonne Status indique l’état free : si certaines applications occupent déjà les ports Apache et MySQL, il faut obligatoirement les fermer sinon les processus ne pourront pas se lancer.

Note : dans l’exemple ci-dessus, on peut voir que Skype écoute déjà sur les ports 80 (HTTP) et 443 (HTTPS) ; il est donc nécessaire de couper Skype pour pouvoir lancer Apache.

Maintenant que tout est prêt, on peut enfin lancer l’installation : en fait d’installation, le script va simplement déclarer à la machine un certain nombre de variables d’environnement et de chemins.

Pour lancer les applications, vous pouvez le faire directement grâce aux fichiers de lancement .bat, mais je vous conseille plutôt d’utiliser le Control Panel : J:\Xampplite\xampp-control.exe.

Pour héberger Worpress, il suffit de lancer Apache et MySQL.

Pour vérifier que Xampplite a bien démarré, il suffit de vous rendre à l’adresse http://localhost/ : vous devriez voir une page de la forme suivante.

Etape 5 : modification des paramètres de sécurité

Xampplite possède quelques failles de sécurité avec la configuration par défaut (notamment sur MySQL) : vous pouvez en voir le détail sur la page :

http://localhost/security/

Il vous est possible d’attribuer un mot de passe à l’utilisateur root sur MySQL (vide par défaut) et de changer le mode d’authentification (HTTP plutôt que Cookies) à l’adresse :

http://localhost/security/xamppsecurity.php

Etape 6 : création d’une base de données

Pour fonctionner, WordPress à besoin d’une base de données. Pour la créer, vous pouvez utilisez PhpMyAdmin à l’adresse :

http://localhost/phpmyadmin/

Etape 7 : installation de WordPress

Enfin, on arrive à l’installation de WordPress.

Pour cela, il y a deux techniques :

• vous pouvez éditer directement le fichier de configuration wp-config.php avec les bonnes informations,
• vous pouvez utiliser l’interface d’installation sur http://localhost/wordpress/.

Notes : lorsque vous changez de PC, veuillez à bien relancer le fichier d’installation setup_xampp.bat, qui va rafraîchir votre installation (notamment les variables d’environnement ainsi que les chemins).

Gonzague me demandait si cette solution était uniquement valable pour Windows : il existe une version de Xampp pour Mac OS X (et une version pour Linux). L’installation et le paramétrage restent globalement similaires.

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Administration, Wordpress.

Ajoutez ce blog à vos favoris Technorati.