Catégorie : Web

Informations sur la publication en ligne

Créateurs de sites statiques

Les sites statiques n’utilisent pas de base de donnée et n’utilisent pas non plus de code php ou autres exécutés sur le serveur.

Conséquence, le temps de traitement est ultra rapide, votre serveur n’a pour mission que d’envoyer des contenus aux clients qui le demandent.

Le site doit être développé sur une station et ensuite téléchargé sur le serveur.

Les principaux moteurs

Publii

Bases du système :
https://webkef.com/publii-cms-blog/

Le tuto est ici :
https://webkef.com/creer-blog-publii-tutoriel/

Le site officiel en anglais, c’est ici :
https://getpublii.com/

Cela fonctionne très simplement à part que les images ne peuvent être insérées qu’à partir d’un disque local (le disque réseau ne fonctionne pas)

Un seul auteur en français, forum en anglais.

Kirby

Le système n’est pas gratuit et devient payant dès qu’on est en production.

Projet à l’adresse :
https://getkirby.com/

Grav

Grav n’est pas tout à fait un générateur de site statique mais un « flat file » database. Les données ne sont pas stockées en base de données mais sur des fichiers.

Jekyll

Un des générateurs de site statique les plus en vue.

Retour au monde de la ligne de commande.
https://jekyllrb.com/docs/

Utilise l’environnement de développement Ruby
https://jekyllrb.com/docs/installation/windows/

Sous windows, ils conseillent d’installer un sous-système linux.

Hugo

Fonctionne à partir de NodeJs, c’est à dire de javascript

C’est là :
https://gohugo.io/

En ligne de commande aussi. Tutoriel ici :
https://jamstatic.fr/2018/03/10/mettre-en-place-son-premier-site-sous-hugo/

C’est le plus rapide

Next Js

Nuxt

fonctionne avec vue.js

VuePress

bien pour créer des documentations

Son site wordpress en https

Petite méthode pour générer et utiliser un certificat ssl gratuit pour son site wordpress.

1 – obtenir le certificat

A partir du CPanel

L’outil let’s encrypt SSL de cPanel permet d’installer un certificat SSL gratuit (et bien reconnu) délivré par l’autorité de certificat Let’s Encrypt. Le projet Let’s Encrypt est une autorité de certification, assez récente, qui fournit des certificats SSL gratuitement. La particularité des certificats Let’s Encrypt est qu’ils sont très bien reconnus et permettent d’avoir le cadenas vert dans la barre d’adresse du navigateur, sans message d’erreur. Le projet vise à démocratiser l’usage de connexions chiffrées sur internet.

Se rendre sur la rubrique « Let’s Encrypt SSL » sur le CPanel.

Génerer un nouveau certificat pour le domaine souhaité en laissant les coches par défaut.

A partir du site Let’s Encrypt

Se rendre à l’adresse https://letsencrypt.org/

Demande d’avoir un accès au shell si l’hébergement n’est pas géré par CPanel. Ensuite, à partir du shell, on installe un client qui permet d’installer le certificat.

Forcer le https

Dans wordpress forcer l’utilisation de https.

Forcer l’utilisation de l’admin en https

Pour ce faire, il vous suffit d’ajouter la ligne de code suivante à votre fichier wp-config.php.

define('FORCE_SSL_ADMIN', true) ;

Activer https pour l’ensemble du site

La première étape consiste à modifier l’URL de votre site dans la zone d’administration de WordPress. Vous trouverez l’URL de votre site Web sous Réglages > Général.

WordPress reglages HTTPS LeDigitalizeur

En mode multisite, il faut aller sur la gestion de chaque site du réseau pour modifier les liens.

Désormais, votre site WordPress utilise déjà HTTPS et tous les liens que vous utilisez devraient maintenant aussi être changés en HTTPS.

Rediriger les url http vers https

On va placer une redirection 301 pour toutes les url http vers la nouvelle version https.

Ces modifications vont se faire dans le fichier .htaccess

Ajoutez les lignes suivantes à votre fichier .htaccess

#Redirection vers HTTPS
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$ https://%{SERVER_NAME}/$1 [R=301,L]

Google seach

Faire le transfert sur google search

Analytics

Changer le code ou garder le même

changer la validation

Vérifier le certificat

Afficher la page utilisateur et contrôler dans la barre d’adresse :

  • l’affichage du protocole https
  • le cadenas vérouillé.

Vérifier la qualité du certificat à partir du site

https://www.ssllabs.com/ssltest/analyze.html

https://www.ionos.fr/tools/ssl-checker

Vérification des redirections :
https://www.linksspy.com/seo-tools/free-seo-ssl-scan/new

Outils gratuits pour le graphisme

Le graphisme (design, photos, vidéos…)

Source : https://www.maddyness.com/2018/04/04/100-outils-pour-lancer-sa-startup-sans-developpeur-ni-graphiste-et-presque-sans-argent/

Musiques libres de droits

Trouver des musiques libres de droits pour les publier sur vos sites ou pour rendre plus agréables vos vidéos youtube.

Au bout du fil : https://www.auboutdufil.com

CC Mixter : http://dig.ccmixter.org

Freesound : nombreux éléments de bruitage https://freesound.org/browse/

Free Music Archinve : http://freemusicarchive.org

Free PD : https://freepd.com

Incompetech : proposent des ensembles de musiques d’ambiance. http://incompetech.com/music/royalty-free/collections.php

 

Sécurité des sites web

Si nous prêtons surtout attention au design, au contenu ou encore au référencement de notre site web, la question de la sécurité devrait pourtant être celle qui requiert le plus notre vigilance. En effet, le nombre exponentiel de sites et d’applications en circulation augmentent d’autant les risques d’être infecté. Et malheureusement, cela n’arrive pas qu’aux autres. Cet article se propose de vous apporter des réponses claires concernant la sécurité et l’intégrité de votre site web.

Pour cela, nous verrons dans un premier temps quelles sont les menaces auxquels nous sommes exposés sur le Net. Dans un second temps, je vous présenterai une série d’outils en ligne gratuits pour tester et vérifier l’intégrité et la proprété de votre site web.

10 outils pour tester la sécurité de votre site

Quels sont les risques encourus sur le net ?

Avant toute chose, il est bon de faire une piqure de rappel à propos de la sécurité sur le web.
La cybercriminalité coûte à l’économie mondiale approximativement 450 milliard de dollars chaque année. C’est une hausse de 200% en cinq ans1,
98% des applications scannées en 2015 par Trustwave présentaient au moins une vulnérabilité en terme de sécurité2,
Le coût d’une cyberattaque pour l’économie américaine est passé de 3.8 millions de dollars (2005) à 11 millions de dollars (2015), soit une hausse de 192% en dix ans3,
Le but de ces chiffres n’est pas de vous effrayer mais simplement de vous démontrer que le risque est bel et bien réel et que les enjeux sont globaux.

Vous n’avez peut-être pas un site qui représente un intérêt stratégique majeur (mais je vous le souhaite). Néanmoins, votre outil web n’est pas à l’abri d’une intrusion ou d’une infection.
Voici les principaux risques auxquels vous pouvez être exposés et pour lesquels vous devez et pouvez prendre des précautions élémentaires.

La faille XSS

Selon Cenzic, ce type d’attaque représente environ 25% des attaques. En quoi cela consiste ?
La faille XSS (plus officiellement appelée Cross-Site Scripting) est une faille permettant l’injection de code HTML ou JavaScript dans des variables mal ou non protégées.

Comment cela se passe ?

  1. le pirate envoie un message piégé avec un lien de redirection vers le site pirate,
  2. l’utilisateur ouvre le message et clique sur le lien,
  3. redirection vers l’URL et récupération des cookies de l’utilisateur dans un document,
  4. le pirate récupère les données contenues dans le document,

L’attaque par force brute

Le principe ici est d’essayer de « casser » votre mot de passe en testant toutes les combinaisons possibles.
Moins utilisée que la faille XSS, cette technique reste cependant relativement courante dans la mesure où un ordinateur personnel est capable de tester plusieurs centaines de milliers voire quelques millions de mots de passe par seconde.

Pour vous défendre :

  • Passoire : ce programme en ligne génère des mots de passe, en évalue et en améliore la robustesse,
  • www.keylength.com: cet outil en ligne permet de calculer la bonne taille d’une clef suivant différentes méthodes.

L’injection SQL

L’injection SQL est une méthode d’attaque très fréquente qui consiste à modifier une requête SQL en injectant des morceaux de code par le biais d’un formulaire.
Cela permet ensuite au pirate d’entrer dans la base de données du site vulnérable et d’y récupérer les données qu’il cherche.

Quelques exemples célèbres :

  • Le 17 août 2009, le département de la justice américaine identifie l’américain Albert Gonzales et deux russes comme étant les auteurs du vol de 130 millions de numéros de cartes de crédit grâce à une attaque par injection SQL. Les principales victimes furent la société de traitement des paiements par cartes Hearland Payment Systems, les chaînes de supermarché 7-eleven et Hannaford Brothers4
  • Le 1er juin 2011, le groupe Lulz Security est accusé d’avoir mené une attaque par injection SQL contre le site de Sony. Au moins 1 million de clients se font voler coupons, clés d’activation et leurs mot de passe5

Comment s’en prémunir ?

  • www.httpcs.com : Scanner en ligne de détection d’injection SQL
  • gits.hydraze.org : comment repérer les injections SQL, les exploiter et les corriger

Il vous appartient également d’avoir une machine parfaitement saine si vous gérez vous-même votre site web. En effet, un ordinateur infecté peut s’avérer être la porte ouverte à des véritables dangers pour votre outil web. C’est ce que nous allons voir maintenant.

Les vers

Les vers (ou « worms » en anglais) sont des programmes malicieux capables d’envoyer une copie d’eux-mêmes vers d’autres machines. On peut les classer selon leur technique de propagation : les vers de courrier électronique, les vers de réseau et ceux de partage de fichiers. Parmi les plus célèbres, citons le vers « I Love You » qui a connu une propagation fulgurante.

Comment s’en protéger ?

Des mesures simples peuvent être prises pour contenir un ver informatique. Vous pouvez analyser tous les fichiers suspect à l’aide de votre antivirus mais vous devez surtout maintenir tous vos logiciels à jour, y compris les logiciels non-antivirus. Ceux-ci peuvent parfois comporter des failles de sécurité qui sont corrigées dans des versions plus récentes du logiciel en question.

Les virus

Les virus sont des logiciels capables de se répliquer, puis de se propager à d’autres ordinateurs en s’insérant dans d’autres programmes ou des documents légitimes appelés « hôtes ». Ils se répartissent en plusieurs catégories : les virus de secteur d’amorçage, les virus de fichier, les virus de macro et les virus et de script. Certains intègrent également des rootkits afin de pouvoir se camoufler. Les virus peuvent s’avérer particulièrement dangereux et endommager plus ou moins gravement les machines infectées.

Quelques exemples célèbres:

  • Le virus Tchernobyl ou CIH est connu pour avoir été un des plus destructeurs. Il détruisait l’ensemble des informations du système attaqué et parfois il rendait la machine quasiment inutilisable. Il a sévi de 1998 à 2002.
  • Cryptolocker est un logiciel malveillant dont la présence sur le web a explosé de 700 % entre 2012 et 2014. Selon les calculs du FBI en juin 2014, il a causé pour 27 millions de dollars de pertes aux utilisateurs. Sous couvert d’une mise à jour Adobe Flash, le logiciel malveillant crypte les fichiers des victimes et exige une rançon allant de 100 à 400 dollars pour les décrypter. Il n’y a à ce jour aucun moyen connu pour casser l’algorithme de chiffrement utilisé, ce qui explique le pourcentage élevé de victimes ayant payé la rançon exigée par les pirates. Le logiciel malveillant Locky, qui est similaire à Cryptolocker, est particulièrement actif de fin 2015 à début 20166

Les trojans

Les chevaux de Troie (ou « Trojan horse » en anglais) sont divisés en plusieurs sous-catégories, et comprennent notamment les portes dérobées, les droppers, les notificateurs, les logiciels espions (dont les keyloggers), etc. Certains chevaux de Troie utilisent des rootkits pour dissimuler leur activité.

En 2014, une étude de l’Association of Internet Security Professionnals centrée sur les dangers du live streaming illégal a mise en lumière qu’un ordinateur sur trois est infecté par un logiciel malveillant et que 73 % de ces infections proviennent d’un cheval de Troie7.

Comment s’en prémunir ?

Pour se protéger contre ce genre de programme malveillant, le recours à un antivirus peut s’avérer efficace, mais reste souvent insuffisant. Il est conseillé de faire une analyse complète de son système d’exploitation et un nettoyage profond. Dans certains cas, l’utilisateur peut se retrouver obligé de démarrer sur un autre système d’exploitation, puis de redémarrer en mode sans échec afin de pouvoir reprendre la main.

Afin de vérifier la santé et l’intégrité de votre site web, sachez qu’il existe de nombreux outils. Je vous propose une sélection de 10 outils gratuits en ligne afin de scanner votre site web. C’est ce que nous allons voir maintenant.

Outils de contrôle et de nettoyage

SUCURI

SUCURI est l’un des scanners gratuits le plus célèbre (et le plus utilisé). Grâce à ce test, vous pouvez vérifier si votre site est infesté de malwares, s’il est blacklisté, s’il est utilisé pour spammer ou s’il n’est pas victime d’un défacement.

SUCURI test online

SSL Labs

SSL Labs est l’un des outils les plus utilisés pour scanner les serveurs web SSL. Le rapport vous fournit une analyse complète des vos URL https avec leurs dates d’expiration, leur classement global, Cipher, la version du certificat SSL/TLS, et bien plus encore. Si vous utilisez un site sécurisé (https), vous devriez faire un scan sans plus attendre.

Qualys propose également un FreeScan de votre site web pour détecter les risques les plus importants, les malwares, les failles de sécurité,etc. Vous aurez besoin de créer un compte gratuit afin de pouvoir lancer ce test.

Web Inspector

Web Inspector scanne votre site et vous fournit un rapport complet à propos des menaces telles que le blacklistage, le phishing, les malware, les vers, les backdoors, les trojans, les iframes douteuses, les connections douteuses, etc. Je vous encourage vivement à faire ce test très complet.

Web Inspector test online

Quttera

Quttera vérifie votre site et détecte les malware et les failles de sécurité éventuelles. Vous aurez une vue complète sur les fichiers infectés, les fichiers douteux, les fichiers à risque, etc.

Quttera test online

ScanMyServer

ScanMyServer propose l’un des rapports le plus complet en matière de test de sécurité comprenant l’injection SQL, la faille XSS, l’injection de code PHP, l’injection d’en-tête HTTP, etc. Le rapport d’analyse vous est adressé par courriel avec un résumé du niveau global de vulnérabilité de votre site web.

Scan My Server test online

Detectify

Detectify est une application Web en SaaS qui analyse le niveau de sécurité de votre site et qui génère un rapport avec les résultats. La période de gratuité est de 21 jours.

SiteGuarding

SiteGuarding scanne votre serveur pour y détecter d’éventuels malwares, vérifie si votre site est blacklisté, utilisé pour spammer, victime de defacement, etc. L’outil est compatible avec les principales plateformes web : WordPress, Joomla, Drupal, Magento, osCommerce, VBulletin, phpbb, etc.

SiteGuarding test online

Site Lock

Site Lock scanne votre site pour trouver et fixer d’éventuels malwares et autres vulnérabilités. Cet outil est gratuit pendant une période d’essai de 30 jours.

Acunetix

Acunetix procède à une analyse complète de votre site web, incluant le réseau et ce depuis les serveurs d’Acunetix . Le scan en ligne est accessible pour une période de 14 jours.

AsafaWeb

AsafaWeb est un outil plus particulièrement destiné aux sites ASP.NET. Le scan apporte des informations précises concernant de très nombreux points de sécurité.

Conclusion

Avant toute chose, j’espère sincérement que votre site est en parfait état de marche et que vous n’aurez jamais besoin de ces outils. Mais ne vous arrêtez pas ici – un bon résultat d’analyse ne signifie pas que vous êtes en sécurité. N’oubliez pas qu’un système parfaitement à jour est le premier garant d’un niveau de sécurité satisfaisant.

Si vous avez trouvé cet article interessant et utile, n’hésitez pas à en faire profiter vos amis en le partageant.

Sources

1 : Hamilton Place Strategies – Cybercrime Costs More Than You Think
2 : Trustwave – 2015 Trustwave Global Security Report
3 : Hamilton Place Strategies – Cybercrime Costs More Than You Think
4 : Macnn – LulzSec hacks Sony Pictures, reveals 1m passwords unguarded
5BBC – US man ‘stole 130m card numbers’
6 : Symantec 2014 – Security Response Publications, Internet Security Threat Report
7 : Documentcloud – Illegal Streaming and Cyber Security Risks : a dangerous status quo ?

Publication de photos et d’albums

Exemple de deux sites distincts qui renvoient l’un vers l’autre

Avec WordPress voir la solution de couplage avec Zenphoto ici :

http://pled.fr/zenphoto/page/gallery

 

Utilisation de Owncloud

https://owncloud.org/install/#edition

Il devrait être possible de gérer par owncloud l’espace de gestion des images de zenphoto et de publier des minisites en inline sous wordpress.

Utilisation de Lychee

https://lychee.electerious.com/

c’est une solution libre mais qui ne repose que sur une seule personne

Piwigo

penser à utiliser l’extention Event Cats, pour avoir un utilisateur autoconnecté.

Déplacer WordPress vers un nouveau Nom de Domaine

Déplacer WordPress simplementVous déménagez ? Pensez à modifier votre base de données WordPress !

 

Une problématique que l’on rencontre lorsque l’on souhaite changer l’URL de son blog: Comment déplacer en toute simplicité son blog WordPress d’un nom de domaine à un autre ?

Déménager son blog WordPress

On a parfois besoin de modifier l’URL de son domaine ou simplement d’en changer pour le rendre plus efficace ou pour mieux refléter l’orientation du blog.

Si vous décidez de changer l’emplacement URL de votre blog WordPress en raison d’un changement de nom de domaine (http://www.ancien-domaine.comvers http://www.nouveau-domaine.com) ou pourquoi pas dans un sous-répertoire (http://www.domaine.com  vers http://www.domaine.com/blog), il y a quelques mesures simples à prendre, pour s’assurer d’une migration correcte et de ne rompre aucun lien.

 

Attention, cet article ne traite pas du déplacement d’un blog WordPress à partir d’un serveur ou hébergement vers un autre hébergeur…

 

Ce qui doit être modifié ou pas

Avant toute chose et en préambule, n’oubliez surtout pas d’effectuer une sauvegarde complète de vos fichiers et de votre base de données.

La partie la plus délicate lors du déplacement d’un blog WordPress vers un autre emplacement, réside dans le fait que WordPress utilise les liens absolus en lieu et place de liens relatifs lorsqu’il stocke certains paramètres dans votre base de données. Dans les articles et les pages de votre blog lui-même, il y aura forcément des liens absolus (par exemple http://www.ancien-domaine.com/monarticle)

Toutes ces valeurs de la base de données devront être modifiées lors de la migration de votre WordPress. Cet article vous montrera quels sont les champs de la base de données à remplacer et quelles sont commandes SQL à utiliser.

Une fois que la totalité de votre blog a été déplacé, la première chose à faire, est d’informer WordPress du changement et de lui donner son nouvel emplacement (les fichiers wp-config. php et .htaccess ne devraient subir aucun changement). Cette valeur peut être modifiée depuis l’admin WP dans les options générales, mais si vous ne pouvez plus accéder à l’URL de l’ancien blog, vous devrez directement modifier cette valeur depuis la base de données MySQL.

PhpMyAdmin

Procédures et requêtes SQL à utiliser

Pour exécuter des requêtes SQL, connectez-vous à la base de données MySQL qui héberge les tables de WordPress via phpMyAdmin ou connectez-vous au serveur de base de données et exécutez le client MySQL en tant que root.

Pour mettre à jour les options concernant l’emplacement du nouveau blog, utilisez la commande SQL suivante:

UPDATE wp_options SET option_value = replace(option_value, 'http://www.ancien-domain.com', 'http://www.nouveau-domaine.com') WHERE option_name = 'home' OR option_name = 'siteurl';

penser aussi à faire cela pour chacun des sous-sites wp_1_options etc…

 

Après cela, vous aurez besoin de réparer les URL des articles et de vos pages, ces valeurs URL sont stockées comme des URL absolues, elles ont donc besoin d’être modifié, procédez au changement avec la requête SQL suivante:

UPDATE wp_posts SET guid = replace(guid, 'http://www.ancien-domaine.com','http://www.nouveau-domaine.com');

penser aussi à faire cela pour chacun des sous-sites wp_1_posts etc…

 

Si vous avez linké en interne au sein d’articles ou de pages avec des URL absolues, ces liens pointent désormais vers de mauvaises URL puisque vous avez déménagé. Utilisez la commande SQL suivante pour corriger tous les liens internes des articles et des pages:

UPDATE wp_posts SET post_content = replace(post_content, 'http://www.ancien-domaine.com', 'http://www.nouveau-domaine.com');

penser aussi à faire cela pour chacun des sous-sites wp_1_posts etc…

 

Déplacer WordPress avec MySql

Et voilà, c’est déjà terminé !!!

Parcourez maintenant votre blog pour vérifier que tout fonctionne correctement. Vous aurez également besoin de vous reconnecter à l’administration WP, en effet, votre cookie d’authentification est devenu invalide en raison du changement d’URL.

 


Mise à jour SEO

Reste à réaliser les opérations nécessaires pour faire la mutation correctement sur les moteurs Google

 

Source : https://wpformation.com/deplacer-wordpress-nom-domaine/

Protection d’un site WordPress

Pour se protéger des attaques voici les principales stratégies à mettre en oeuvre

Faire des mises à jour régulières du noyau, des thèmes et des plugins.

Faire des sauvegardes régulières de son site.

Changer le nom de l’administrateur et placer

Masquer les accès à l’administration « wp-admin » et « wp-login »

Les plugins possible sur des multisites sont :

  • Cerber Security & Limit Login Attempts
  • WPS Hide Login

 

 

Créer un serveur Web pour WordPress

Partir de rien pour créer son propre serveur web qui hébergera des réseaux WordPress.

Ce qui est nécessaire

  • Nous utilisons Ubuntu server.
  • Une clé usb pour l’installation de ubuntu server
  • une machine

Les étapes

Installer Ubuntu server sur la machine

installer LAMP (linux, Apache, Mysql et PHP

Modifier Apache pour permettre la réécriture des URL

Modifier le fichier conf de Apache

Vous devez obtenir quelque chose qui ressemble à cela:

<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html
    ServerName server_domain_name_or_IP
    <Directory /var/www/html/>
        AllowOverride All
    </Directory>
    . . .

Enregistrer le fichier.

Ensuite, il faut activer le mod rewrite sur apache:

sudo a2enmod rewrite

Redémarer Apache:

sudo service apache2 restart