QUE FAIRE LORSQUE SON BLOG WORDPRESS EST PIRATE ?

Lorsque Google detecte sur votre site du code malicieux, il le bloque illico presto. Les personnes qui tentent d y acceder auront un message indiquant que son acces a ete restreint a la suite du piratage de ce dernier. Votre site risque egalement de ne plus s’afficher dans les resultats des moteurs de recherche car il sera bloque. Et aussi votre hebergeur peut a tout moment fermer son acces pour cause de piratage. Bien entendu, il pourra le re-ouvrir si vous effectuez des actions de correction et que vous le prévenez !

JE PASSE A L ACTION : JE SECURISE

Comme dit le vieil adage : « Mieux vaut prévenir que guérir ! »

J’installe des nouvelles extensions

Pour installer une extension, voici un petit rappel :

* Connectez-vous sur l’interface d’administration de WordPress de votre site, l’URL est du style : http://www.monsite.com/wp-admin
* Puis allez dans Extensions > Ajouter
* Saisissez le nom ou le début du nom du plugin puis cliquez sur Chercher parmi les extensions.
1. Limit Login Attempts :

limit-login-atempts

Le premier réflexe à avoir est de bloquer l’accès à son interface d’administration. Par défaut, WordPress permet d’essayer sans aucune limite, des combinaisons de login et de mot de passe pour se connecter à son interface d’administration.

L’extension « Limit Login Attempts » permet de limiter le nombre de tentatives de connexion.

A noter que jusqu’à très récemment, il y avait un conflit entre l’extension « Captcha » et celle-ci. Depuis le 12/02 c’est de l’histoire ancienne.
2. Wordfence Security :

wordfence_security

C’est une extension gratuite et complète qui permet, entre autre, d’effectuer des scans sur son site et de voir s’il contient des fichiers vérolés. Dès son installation, activez-le et effectuez un scan. Si votre version de WordPress est française, il va vous détecter 3 fichiers (readme.html, wp-config-sample.html et wp-includes/version.php) qui ne sont en fait pas vérolés mais considérés comme tels en raison de la langue. Pour éviter de les voir à chaque scan, il suffit de lui dire de ne plus afficher ces « erreurs » en cliquant sur « Always ignore this file ». Si l’extension vous détecte plus d’erreurs alors vous savez que vous avez des fichiers corrompus à corriger ou à supprimer.
L’extension permet également de voir le trafic en temps réel des personnes qui sont sur votre site, de bloquer des adresses IP …
Personnellement ce que j’aime dans cette extension, c’est de recevoir les e-mails d’alertes deWordfence, notamment lorsqu’une personne se connecte à l’interface d’administration de mes sites ou encore lorsqu’un pirate a tenté de s’y introduire :
email_alert_plugin_wordfence

En 2 petites extensions, vous êtes un tant soit peu plus protégé. Maintenant, passons aux choses sérieuses !

JE SAUVEGARDE

Si vous n’avez pas accès au serveur FTP de votre site, ou que vous ne voulez pas vous embêter avec ça, vous pouvez effectuer une sauvegarde en quelques clics avec le plugin BackWPup Free qui permet de planifier des sauvegardes automatiques de votre site.

Il vous permet d’effectuer des sauvegardes complètes ou bien de spécifier uniquement ce que vous souhaitez sauvegarder. Vous pouvez même demander à ce que la sauvegarde soit envoyée sur votre serveur FTP ou sur un de vos comptes sur le Cloud (Dropbox, Google Drive, etc.).

Bien sûr, il existe d’autres plugins permettant de sauvegarder son site. L’article du site Magazine du WebDesign en présente quelques uns.

J’AI ACCÈS AU SERVEUR FTP, JE PASSE AU NIVEAU 2 DE LA SÉCURISATION DE MON SITE

htaccess

Pour y accéder, n’oubliez pas de demander d’afficher les fichiers cachés lorsque vous vous connectez à votre serveur FTP grâce à un logiciel tel que FileZilla, ou à un plugin pour votre navigateur tel que FireFTP. Le cas échéant, vous ne le verrez pas …

Afficher les fichiers cachés sur votre serveur FTP

Premier réflexe, pensez à sauvegarder la version précédente de ce fichier, elle vous sera utile si vous faite une erreur de code et que votre site affiche une jolie erreur 500.

Morceaux de code à rajouter en haut de votre fichier .htaccess (celui qui est à la racine de votre site) :

* Pour bloquer les requêtes trace, delete, debug et track envoyé à votre site :

1
2
3
4
# block bad request
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|DELETE|TRACK|DEBUG) [NC]
RewriteRule ^(.*)$ - [F,L]

* Pour bloquer l’accès aux fichiers que les pirates adorent modifier/véroler :

1
2
3
4
5
6
7
8
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

* Pour cacher vos répertoires aux utilisateurs (ne pas lister ce que contient vos répertoires permet de ne pas donner toutes les billes aux pirates) :

1
2
# directory browsing
Options All -Indexes

* Pour protéger les fichiers de configuration de WordPress:

1
2
3
4
5
# 403 protect
<FilesMatch "^(wp-config.php|php.ini|php5.ini|readme.html|bb-config.php)">
Order Allow,Deny
Deny from all
</FilesMatch>

* Pour protéger le fichier .htaccess pour ne pas qu’un pirate puisse modifier ce fichier en effectuant par exemple une redirection de votre site vers le sien ou vers votre revendeur préféré de viagra :

1
2
3
4
5
# Secure .htaccess
<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>

Sécurisation du répertoire wp-content/uploads/ grâce à un fichier .htaccess :

Je vous invite à créer un fichier .htaccess dans le répertoire uploads (qui ne doit jamais contenir de fichier PHP) :

1
2
3
<Files *.php>
Deny from all
</Files>

Cette règle permet d’interdire l’exécution de fichier PHP, ce qui vous protégera des pirates qui tenteraient d’insérer une backdoor sur votre site.

functions.php

Dans l’interface d’administration de WordPress, vous pouvez modifier ce fichier en allant surApparence > Editeur et en cliquant sur Theme Functions.

Juste après le début du fichier « <?php », vous pourrez ajouter quelques lignes qui vont dire à WordPress de ne plus rendre accessible à n’importe qui, par exemple, la version que vous utilisez :

1
2
3
4
5
6
7
// masquer le numero de version de wordpress
remove_action('wp_head', 'wp_generator');
//desactiver windows live writer
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'wp_shortlink_wp_head', 10, 0 );
remove_action('wp_head', 'wp_dlmp_l10n_style' );
remove_action('wp_head', 'rsd_link');

Sans l’ajout de ces quelques lignes, les pirates peuvent connaître en moins d’une minute la version de votre installation. Il suffit d’aller sur votre site, de faire un clic droit et de cliquer sur « Afficher le code source ».
Si aucun plugin cachant la version de WordPress ou que les lignes de code ci-dessus n’ont pas été ajoutées dans les fonctions de votre thème, alors un pirate pourra y lire ceci :
Version de WordPress dans le code source

 

MON SITE S’EST DÉJÀ FAIT PIRATER, QUE DOIS-JE FAIRE ?

Avant tout, respirez, cela arrive de se faire pirater. Maintenant le plus important va être de retrousser ses manches et de suivre un petit tutoriel vous permettant de corriger les fichiers endommagés.
N’oubliez pas de sauvegarder votre site actuel. Si vous avez accès au serveur FTP, connectez-vous, et copiez l’ensemble des fichiers et répertoires que vous voyez, dans un répertoire sur votre PC. Si vous avez accès à l’interface d’administration de votre site, installez WPBackUP et effectuez une sauvegarde.
Si vous avez l’extension Wordfence Sécurity, vous pouvez effectuer un scan afin d’obtenir la liste des fichiers piratés. Pour chaque erreur trouvée par le plugin, je ne peux vous conseiller que de regarder avant quel est l’état de ce fichier et si il ne s’agit pas des fichiers « readme.html », wp-config-sample.php ou bien « wp-includes/version.php », alors vous pourrez supprimer ces fichiers en appuyant sur le bouton prévu à cet effet.
Lorsque toute trace de piratage a été exterminée et que votre site ou blog est de nouveau en ligne, pensez à changer le login et le mot de passe de vos utilisateurs sur WordPress (et de les informer).
Nous vous donnons comme conseil d’utiliser un mot de passe qui doit faire au moins 7 caractères de long. Pour le rendre plus sûr, utilisez un mélange de majuscules, de minuscules, de chiffres et de symboles comme ! » ? $ % ^ & ).

Plus votre mot de passe sera complexe et plus de temps il faudra pour vous pirater.
De plus, si vous avez un utilisateur nommé admin, l’administrateur par défaut de WordPress, les pirates vont tenter d’entrer dans l’interface via cet utilisateur. Donc il est conseillé d’en créer un nouveau avec un nom d’utilisateur différent et un mot de passe compliqué, puis de supprimer « admin ». Plus on sécurise son site et moins on a de chances d’être piraté.
J’espère que cet article vous aura donné quelques billes concernant le piratage et comment essayer de sécuriser un minimum son site ou blog.
Même si les pirates trouvent tout le temps les failles, et surtout le moyen de les exploiter, je pense qu’il est très important de prendre quelques instants, au calme, afin de sécuriser son site.

 

 

Créer des formulaires performants – plugin WordPress gratuit

WordPress est de plus en plus utilisé dans le monde pour la création de blogs mais aussi de sites internet. Il est possible de rajouter en quelques minutes des plugins (extensions) qui permettent de booster les performances de votre site internet. Les plugin peuvent ajouter des boutons de partage sur les réseaux sociaux, ajouter une pop-up, traduire un site internet, sauvegarder automatiquement le contenu du site internet.

Une des extensions les plus importantes et les plus utilisées est le formulaire de contact: Ce formulaire permet à vos lecteurs de rester en contact avec vous, de vous poser vos questions, de demander un devis.

Dans cet article je vais présenter un plugin gratuit que je trouve très performant : Contact 7 form. Certaines options un peu moins connues

La première étape sera d’ajouter l’extension Contact 7 form sur votre site internet

Dans cet article je vous présente 6 options interessantes

    1. Ajouter une pièce jointe à votre formulair
    2. Envoyer un email de remerciement après envoi de formulaire
    3. Sauvegarder toutes les informations dans une base de donnée
    4. Améliorer le design du formulaire
    5. Savoir sur quelle page la personne a rempli votre formulaire
    6.  Savoir depuis quel média les personnes qui ont rempli le formulaire sont arrivées

1. AJOUTER UNE PIÈCE JOINTE À VOTRE FORMULAIRE

Pour certains professionnels, il peut être intéressant de demander au lecteur de joindre une pièce jointe directement depuis le formulaire. C’est le cas par exemple pour les sociétés de placement…
Il est possible d’ajouter un champ d’envoi de pièce jointe depuis un formulaire
Etape 1: Ajouter le champ pièce jointe à votre formulaire

Etape 2:  Option permettant de recevoir votre pièce jointe à votre email

2. ENVOYER UN EMAIL DE REMERCIEMENT APRÈS ENVOI DE FORMULAIRE

Lorsque le formulaire est envoyé, un message « envoi réussi » apparait sur l’écran de la personne qui a envoyé le formulaire. Il est bien sur possible de changer le texte qui apparait.

Il peut etre interessant d’envoyer un email automatique à la personne qui a envoyé le formulaire. Nous pouvons le remercier de nous avoir contacté; lui dire que nous bien recu sa demande; mais aussi lui donner un lien vers notre ebook gratuit ou vers une offre unique.

3. SAUVEGARDER TOUTES LES INFORMATIONS DANS UNE BASE DE DONNÉE

Il est interessant de sauvegarder dans une base de donnée toutes les informations recus dans les formulaires (nom, email, telephone, question).
Il existe un plugin WordPress qui permet de sauvegarder les informations puis de les exporter en Excel.
Voici le nom de plugin

4. AMÉLIORER LE DESIGN DU FORMULAIRE

Il est possible en utilisant du css d’améliorer le design d’un formulaire
Dans cet exemple je vous montre comment raccoursir la longueur des champs pour que votre formulaire puisse entrer dans votre sidebar

Dans la partie configuration de l’extension  ajouter par exemple la partie rouge [email* your-emailclass:contactside]

Puis dans le fichier style.css ajouter les paramètres désirés. Dans mon cas ca sera que la longueur des champs soit de 120 px

.contactside
{
 width: 120px;
}

Avec mes clients je vais encore plus loin avec ce plugin de formulaire
Il est possible

1. De savoir sur quelle page la personne a rempli votre formulaire.
Par exemple dans la plupart des pages et articles de mon site je rajoute un formulaire de contact en bas de page, et il m’est interessant de savoir depuis quelle page les personnes ont souhaitées me contacter. Il faut ajouter des paramètres pour le savoir
2. De savoir depuis quel média les personnes qui ont rempli le formulaire sont arrivées
A l’aide d’un objectif de Google Analytics, il est possible d’avoir de nombreuses statistiques comme savoir depuis quel média (google organique, Facebook, Twitter, votre newsletter) les personnes vous ont contactées ou vous ont demandées un devis. Cela permet de savoir sur quels médias mettre l’accent

source : http://yaellasryweb.com/creer-des-formulaires-performant-plugin-wordpress-gratuit/

——————–

Principal interet pour moi de cette article c est l extension Contact Form DB qui permet de stocker les informations du formulaire dans une base sql et de les exporter vers Excel

NB : exemple de formulaire cree avec Contact Form 7 :

http://mac.compta.net/devis-gratuit-d-expertise-comptable-ou-de-commissariat-aux-comptes

 

Michel BOHDANOWICZ

Expert-comptable / Commissaire aux comptes

___________

____________