background preloader

Wordpress

Facebook Twitter

Connaitre la version de WordPress utilisée par un site tiers. Je vois arriver une foule de méchant petit pirate informatique :D Bon ça n'a pour but que d'informer, après vous en faite ce que bon vous semble, même si ce sera plutôt utilisé à des fins peu recommandable ;) A quoi bon connaitre la version d'un cms ? Et bien pour une personne qui ne connait pas trop la sécurité à rien, néanmoins, si vous connaissez la version d'un produit, ici le cms WordPress, il vous suffit d'a peine 5 mn pour ouvrir un nouvelle onglet dans votre navigateur et faire une recherche sur WordPress X.X.X Exploit X.X.X étant bien sur la version de votre WordPress. Cette recherche effectué vous tomberez sur une multitude de site indéxant les vulnérabilité existante et connu de WordPress. Bon allons maintenant à l'essentiel ;) Wordpress est ultra cool, et un monstre du référencement.

Une fois le /feed ajouté hop vous tombez sur un super flux RSS et si vous êtes a jour vous devriez trouvez ceci : <generator> SSL Insecure Content Fixer — WordPress Plugins. Either install automatically through the WordPress admin, or download the .zip file, unzip to a folder, and upload the folder to your /wp-content/plugins/ directory. Read Installing Plugins in the WordPress Codex for details.Activate the plugin through the ‘Plugins’ menu in WordPress. If your browser still reports insecure/mixed content, have a read of the Cleaning Up page. Look in your web browser’s error console. Google Chrome has a JavaScript Console in its developer toolsFireFox has the Web Console or FirebugInternet Explorer has the F12 Tools ConsoleSafari has the Error Console NB: after you open your browser’s console, refresh your page so that it tries to load the insecure content again and logs warnings to the error console.

Why No Padlock? Has a really good online test tool for diagnosing HTTPS problems. You are probably loading content (such as images) with a URL that starts with “http:”. You probably have a conflict with another plugin that is also trying to fix HTTPS detection. Comment passer WordPress en HTTPS simplement ? [TUTO complet] Dans le cadre du développement du site www.WPSERVEUR.net, j’ai du passer un site WordPress en version sécurisée, à savoir de HTTP vers HTTPS.

Si cette procédure est relativement simple, elle nécessite toutefois quelques éclaircissements et précautions d’usage que je vais m’empresser de vous décrire dans ce tuto;) Définitions SSL & HTTPS Commençons tout d’abord par quelques définitions et rappels essentiels : SSL : Secure Sockets Layer est un protocole de sécurisation des échanges sur Internet, développé à l’origine par Netscape. C’est le standard technologique de sécurité pour établir un lien crypté entre un serveur web et un navigateur. Ce lien garantit que toutes les données échangées entre le serveur web et les navigateurs restent privées et inviolables pour empêcher l’espionnage et la falsification. HTTPS : HyperText Transfer Protocol Secure, littéralement “protocole de transfert hypertexte sécurisé” est la combinaison du HTTP avec une couche de chiffrement SSL ou TLS. Really Simple SSL — Extensions WordPress. Really Simple SSL détecte automatiquement vos réglages et configure votre site web pour fonctionner en HTTPS.

Pour le garder léger, les options sont réduites au minimum. Le site entier sera déplacé vers SSL. Trois étapes simples pour configurer : Obtenez un certificat SSL (impossible de le faire pour vous, désolé).Activer cette extensionActiver SSL en un clic Toujours sauvegarder avant de quitter ! Si vous n’avez pas de bonne politique de sauvegarde, commencez par en avoir une ! Des suggestions de code ? Vous appréciez Really Simple SSL ? Espérons que cette extension vous évitera quelques heures de travail. Fonctionnalités Pro Que fait effectivement l’extension L’extension traite la plupart des problèmes que WordPress rencontre avec le SSL, comme lorsque vous êtes derrière un proxy inversé/équilibreur de charge ou quand aucun en-tête que WordPress peut utiliser pour détecter SSL n’est passé.Toutes les requêtes entrantes sont redirigées vers https. Pour installer cette extension : Yes. WordPress HTTPS (SSL) — WordPress Plugins. WordPress Force HTTPS — WordPress Plugins. Quel plugin pour sauvegarder WordPress et éviter le désastre.

Publié par Alex le 21 mai 2019 • 205 Commentaires À mes débuts sur WordPress – ça commence à remonter -, j’étais un jeune blogueur innocent. Innocent et surtout (très) insouciant. J’étais heureux de publier mes premiers articles et je ne me doutais pas, mais alors vraiment pas, qu’une catastrophe pouvait arriver. Puis un beau jour : patatras ! Plus de site. Nada. Walou. Tout ça parce que je n’avais pas effectué de sauvegarde de mon site WordPress… Je vous laisse imaginer l’état de mon petit coeur fragile de jeune utilisateur de WP. Résultat de ce plantage ? Même si vous avez beaucoup travaillé à la sécurisation de votre site, la principale ligne de défense consiste à avoir un système de sauvegarde afin de pouvoir procéder à des restaurations rapidement.

Sauf qu’à l’époque, bien évidemment, je ne connaissais pas les plugins WordPress qui permettent de se mettre à l’abri… Pour vous éviter ce qui m’est arrivé, je vais vous présenter 7 plugins de sauvegarde gratuits pour WordPress. Avantages Alex. Duplicator – WordPress Migration Plugin — WordPress Plugins. With over 25 million downloads Duplicator successfully gives WordPress users the ability to migrate, copy, move or clone a site from one location to another and also serves as a simple backup utility.

Duplicator handles serialized and base64 serialized replacements. Standard WordPress migration and WordPress backups are easily handled by this plugin as are zero downtime migrations. For complete details visit snapcreek.com. Quick Video Demo Overview Duplicator is the most powerful migrator available. It enables you to: Move, migrate or clone a WordPress site between domains or hosts with zero downtimePull down a live site to localhost for developmentTransfer a WordPress site from one host to anotherManually backup a WordPress site or parts of a siteDuplicate a live site to a staging area or vice versaBundle up an entire WordPress site for easy reuse or distributionPerform a full WordPress migration without struggling with messy import/export sql scripts Duplicator Pro Please Note Disclaimer 1.)

Comment migrer un site WordPress étape par étape. Publié par Aurélien Debord le 10 juillet 2015 • 298 Commentaires Pour la rédaction de Relooker son Thème, j’ai eu besoin de comparer les plugins dédiés à la migration de sites WordPress. Par migrer, je veux dire déplacer un site à un autre endroit pour pouvoir travailler dessus sans toucher au site principal. Ces recherches m’ont permis de peser le pour et le contre de chaque plugin et de trouver le meilleur. Je partagerai cela prochainement avec la publication d’un comparatif détaillé sur ces plugins. En attendant, je vous propose de découvrir comment procéder à une migration manuelle avec Aurélien, un nouveau cuistot.

Déplacer un site WordPress à la main est un peu plus complexe qu’avec un plugin mais il est toujours intéressant de comprendre comment les choses fonctionnent. J’espère que ce nouveau tutoriel vous sera utile. La mise en production d’un site est une étape inhérente à chaque projet web. En bref, vous pouvez y recourir dès lors que vous souhaitez : L’enjeu de la migration 1. 2. <? HTTPS detection | SSL Insecure Content Fixer. WordPress is normally pretty good at detecting when your pages are loaded over HTTPS. It needs to know so that it can load other resources like scripts and stylesheets over HTTPS too. Sometimes WordPress can’t tell. Most often this is because of your website configuration. To improve performance or security, some websites operate behind a reverse proxy, which handles the HTTPS traffic for your website and passes requests back to WordPress via HTTP. Here’s some common configurations that do this: Amazon AWS load balancingAzure ARRNginX + ApacheNginX + php-fpmtransparent CDN like Cloudflare or CloudFront The settings page in SSL Insecure Content Fixer allows you to select the appropriate method of detecting HTTPS to suit your website configuration.

Settings for HTTPS detection Sometimes your website just doesn’t give enough information, and that’s what “unable to detect HTTPS” means. NB: WordPress Multisite installations only offer the SSL Tests page to super admins. HTTPS detection | SSL Insecure Content Fixer. Comment passer son site WordPress en HTTPS. “Votre connexion à ce site n’est pas sécurisée.” Un brin interloqué, je me frotte les yeux pour bien vérifier le message que je suis en train de lire. Mais non, pas de doute. Toujours cette même phrase placardée sur mon navigateur. Un peu plus bas, on m’indique même que certaines informations pourraient être “dérobées par des pirates informatiques”. Allez, ouste, cela fait déjà beaucoup pour ce site : je ferme sa fenêtre illico presto. Pourquoi un message aussi alarmant, véritable repoussoir à internaute ? Simplement parce que le site WordPress sur lequel je suis en train de naviguer n’utilise pas le HTTPS, qui permet de sécuriser la connexion à un site. Sur WPMarmite, je m’y suis mis en mai 2016.

Si vous ne faites pas encore partie de la famille HTTPS, je vous invite à vous pencher sérieusement sur la question. Pourquoi passer en HTTPS ? C’est ce que nous allons voir dans ce nouvel article. Accrochez vos ceintures, voici le sommaire : Qu’est-ce que le HTTPS ? Bon, j’y vais un peu fort. 1. 2. Comment passer son site WordPress en HTTPS. Une faille zero-day dans le mécanisme de réinitialisation de MdP de WordPress, pourrait permettre à des attaquants de prendre le contrôle. L'expert en sécurité polonais Dawid Golunski a découvert une faille zero-day dans le mécanisme de réinitialisation de mot de passe WordPress qui permettrait à un attaquant d'obtenir le lien de réinitialisation du mot de passe dans certaines circonstances.

Le chercheur a publié ses résultats mercredi après avoir signalé la faille à l'équipe de sécurité de WordPress en juillet dernier. Dix mois plus tard, le correctif de sécurité n’étant toujours pas disponible, Golunski a décidé de se tourner vers le public et d'informer les propriétaires de site WordPress de ce problème afin qu'ils puissent protéger leurs sites par d'autres moyens. Toutes les versions de WordPress, y compris les dernières, 4.7.4, sont vulnérables, a déclaré le chercheur. Répertoriée CVE-2017-8295, la vulnérabilité réside dans le fait que WordPress utilise ce que Golunski appelle des données non fiables par défaut lors de la création d’un email de réinitialisation de mot de passe. Source : billet Golunski. En tant que développeur, que détestez-vous le plus dans WordPress ? Partagez votre expérience. WordPress est un système de gestion de contenu (CMS) open source qui permet de créer et gérer différents types de sites internet (blog et site e-commerce par exemple) sans la nécessité de disposer de connaissances avancées en développement Web.

Il est très flexible et offre aux développeurs des milliers de plugins tiers pour étendre les fonctionnalités de leur site WordPress, ce qui fait d’ailleurs l’une des forces du CMS le plus populaire. Mais pour certains développeurs, ces deux caractéristiques font toutefois partie des choses qu’ils détestent chez WordPress. Mais il y en a bien d’autres. À la question de savoir ce que les développeurs détestent chez WordPress, on peut citer plusieurs éléments de réponses, qui sont bien sûr à relativiser en fonction des personnes. La facilité d’utilisation pour les non-développeurs n’est pas compatible avec la sécurité. Conflit entre les plugins et templates WordPress. Contraintes de version des plugins. Source : Nanobox Et vous ? Voir aussi : Utilisation de l'API REST, la nouvelle API de WordPress 4.7.

Qu’est ce qu’une API ? Pour commencer, il faut comprendre qu’une API est simplement un accès « distant » à un système. Dans le cas de WordPress, c’est un accès qui permet d’accéder à du contenu de la base de données et d’exécuter des fonctionnalités à distance. Une API (Applications Programming Interface) permet à des développeurs, de concevoir des scripts qui pourront s’authentifier sur WordPress pour y créer, modifier, supprimer ou récupérer des contenus dans le but d’automatiser des actions. L’API WordPress, une nouveauté de la 4.7 ? L’API de WordPress n’est pas une nouveauté. La nouveauté est qu’il s’agit d’une nouvelle API de type REST, conçue avec les standards d’aujourd’hui et entièrement intégrée au cœur de WordPress sans avoir besoin d’installer un plugin. Bien que l’API REST soit native, elle ne fonctionne pas directement après une nouvelle installation de WordPress 4.7.

Wordpress > 4.7 Réglages > Permaliens > {Choisir une option autre que ‘Simple’} Vérifier que l’API fonctionne. Disable REST API — WordPress Plugins. Security Scan Report for. While leaking information is not a direct threat to security, it can facilitate an attacker to gain access to your systems. Therefore, it is recommended to review the following leaked info to see if it contains sensitive data. robots.txt available under: ' Interesting entry from robots.txt: The WordPress ' file exists exposing a version number Interesting header: AGE: 0 Interesting header: LINK: Interesting header: SET-COOKIE: _icl_current_language=fr; expires=Thu, 02-Mar-2017 08:55:08 GMT; Max-Age=86400; path=/ Interesting header: VIA: 1.1 varnish Interesting header: X-VARNISH: 2147202678 Interesting header: X-VARNISH-CACHE: MISS XML-RPC Interface available under: Upload directory has directory listing enabled: WordPress 4.3.3 Vulnerabilities.

WordPress 4.7.2 : importante mise à jour de sécurité. Deux semaines seulement après la sortie de la mouture 4.7.1 du célèbre CMS WordPress, arrive dans l'urgence la version 4.7.2 qui contient d'importantes mises à jour de sécurité. WordPress 4.7.2 corrige trois importantes vulnérabilités ainsi que l'explique le billet de blog qui annonce sa disponibilité. Tout d'abord une faille dans Press This permet à des utilisateurs non autorisés d'accéder à l'interface utilisateur permettant d'assigner des termes de taxonomie. Ensuite, une vulnérabilité XSS découverte par le développeur Web Ian Dunn permet de modifier le comportement des pages par injection de code JavaScript.

Enfin, s'il faut classer la gravité de ces vulnérabilités, la plus dangereuse est une faille dans la classe WP_QUERY, découverte par le développeur Mo Jangda, qui permet de réaliser des injections SQL. Cette dernière vulnérabilité n'est pas apparue avec WordPress 4.7.1. Création Thème WordPress | Tutorial #4: Hiérarchie des templates - Francis Chouquet – Graphiste Lettering. Si vous commencez la série de tutoriels consacrés à la création d’un thème pour WordPress de A à Z, je vous conseille de commencer par le début, sinon, vous risquez d’être rapidement perdu ! Dans le dernier tutoriel, nous avons vu quels étaient les principaux templates utilisés dans WordPress, mais ces fichiers header, index, sidebar et footer, bien qu’étant les plus connus et répandus, ne sont pas les seuls reconnus par WordPress.

Voici la liste de tous les templates utilisables avec un blog WordPress: home.php, single.php, yourname.php, page.php, category.php, category-6.php, author.php, date.php, search.php, 404.php, archive.php et index.php. Selon la page a afficher, on aura accès à un template différent. Dans le schéma du précédent tutoriel, on parlait de « Content ». Tous ces fichiers templates sont reliés entre eux sous une forme de hiérarchie. Mais comment sont reliés entre eux ces différents fichiers ? Ce n’est pas forcément évident d’assimiler ces termes comme ça. Fran6. Créez votre thème WordPress de A à Z - Francis Chouquet – Graphiste Lettering. How To Make Your WordPress Website Mobile Friendly. How to Make your WordPress Website Mobile Friendly ( Complete Tutorial ) How To Build A Mobile WordPress Theme, And Why You Should. Améliorez votre CSS avec la pseudo-classe :nth-child() « Creative Juiz | Webdesign, CSS3, HTML5, WordPress, Tutoriels.

Comment migrer un site WordPress étape par étape. Interconnectit/Search-Replace-DB. Traduire vos contenus. Modifier les permaliens de WordPress. Comprendre les redirections de Wordpress. Une backdoor dans le plugin WordPress CCTM. Fr:Mettre a Jour WordPress. Déployer facilement WordPress avec Git en FTP. OPEN-tech.ch | Blog - WordPress SEO by Yoast <= 1.7.3.3 - Blind SQL Injection. Attaque « brute force » sur les sites WordPress. Combattez les attaques brute force sur votre site WordPress. Le malware SoakSoak s'attaque à WordPress. WordPress SEO by Yoast <= 1.7.3.3 - Blind SQL Injection.