Rubrique Wordpress

Sécurez WordPress: Restreindre ou interdire l’accès à l’API WordPress XML-RPC

Catégorie Wordpress

xml-rpc-bruteforceJe vous en parlais il y a peu de temps, un des meilleurs moyens de sécuriser l’espace admin de WordPress est d’en changer l’URL. Mais il existe une autre porte d’accès, que vous ne connaissez peut-être pas, mais qu’un hacker peut utiliser pour pirater votre site: l’API WordPress XML-RPC.

Cette API permet a des programmes tiers de se connecter à votre blog pour éventuellement en modifier le contenu. C’est par exemple le cas des applications mobiles WordPress qui offrent une interface plus adaptées au écrans tactiles que l’admin web WordPress. Pour vous afficher les données de votre sites, ces applications utilisent XML-RPC.

L’URL de cette API est toujours la même: www.adressedevotreblogwordpress.com/xmlrpc.php. Il est donc aisé pour les pirate de passer par là pour tenter une attaque bruteforce (essayer de se connecter avec de nombreux login/mots de passe).

Alors, si vous n’utilisez pas de logiciels tiers pour accéder à votre blog, je vous conseille de désactiver XML-RPC. Seulement voilà, c’est encore une lacune de WordPress, il n’y a pas d’option pour désactiver ça. Il faut passer par un plugin. Il en existe de nombreux, en voici un:

Manage XML-RPC
Manage XML-RPC
Développeur: brainvireinfo
Prix: Gratuit

Manage XML-RPC va vous ajouter un menu « XML-RPC setting » dans lequel vous pourrez désactiver XML-RPC (cochez les 2 options « Disable XML-RPC ») ou n’autoriser que certaines adresses IP à se connecter à votre API WordPress.

Utiliser un plugin WordPress n’est pas le seul moyen pour couper l’accès à XML-RPC, mais c’est probablement le plus simple à mettre en place. Voici d’autres méthodes alternatives:

– Supprimer le fichier xmlrpc.php en FTP. Inconvénient: celui-ci reviendra surement lors de la prochaine mise à jour de WordPress…

– Modifier le virtualhost de votre serveur en y ajoutant les lignes suivantes, juste avant </VirtualHost>:
<files xmlrpc.php>
order allow,deny
deny from all
</files>

– Ajouter ces lignes dans le fichier .htaccess de votre WordPress
<files xmlrpc.php>
order allow,deny
deny from all
</files>

Rubrique Wordpress

Sécrurisez WordPress en modifiant l’url de l’admin grâce au plugin Lockdown WP Admin

Catégorie Wordpress

cadenasIl y a de nombreuses méthodes pour hacker un site. L’une d’entre elle est ce qu’on appelle l’attaque bruteforce qui consiste à utiliser un « dictionnaire » de noms d’utilisateurs et de mots de passe dans les formulaires de connexion des espaces d’administration. C’est la raison pour laquelle il faut éviter d’utiliser des login et mots de passe trop évident, et trop courts…

Auparavant, le nom d’utilisateur par défaut de WordPress était tout simplement « admin ». Autant vous dire que ça facilitait la tache des hackers qui n’avaient plus qu’a trouver le mot de passe… D’ailleurs, si vous utilisez encore le login admin, je vous conseille d’aller vite le modifier…

Mais pour être vraiment tranquille, pourquoi ne pas tout simplement changer l’adresse de la page de connexion à l’admin? C’est un fonctionnalité que certains CMS proposent, mais hélas pas WordPress…

C’est pour palier à ce manque qu’a été créé le plugin Lockdown WP Admin. Il vous permettra de rendre indisponible les adresses connues que sont /wp-admin/ et /wp-login.php afin de mettre l’adresse de votre choix à la place.

Lockdown WP Admin
Lockdown WP Admin
Développeur: Sean Fisher
Prix: Gratuit
Rubrique Android

Empêcher l’écran de votre tablette Android de s’éteindre (supprimer la mise en veille automatique)

Catégorie Android

dormirComme je vous en parlais il y a peu de temps, j’ai une vieille tablette Android dans ma cuisine. C’est parfois assez pratique pour suivre une recette trouvée sur Internet.
Par contre, ce qui est agaçant, c’est que la tablette se met régulièrement en veille pendant que « je » cuisine…

Il existe plusieurs applications gratuites pour empêcher l’écran de votre tablette Android de s’éteindre automatiquement. J’en ai utilisées 2:

Stay Alive! est la première. Cette application est très complète, presque trop car elle en devient un peu compliquée. En effet, vous pouvez par exemple empêcher la veille uniquement quand la tablette est en charge. Elle affiche une icone dans la zone de notification dans laquelle il faut aller pour changer vos options d’anti-mise en veille.

Stay Alive! Écran Éveillé
Stay Alive! Écran Éveillé
Développeur: SyNetDev
Prix: Gratuit

Personnellement, j’ai trouvé ça un peu compliqué, c’est pourquoi je me suis rabattu sur une application un peu plus simple: No Screen Off.
No Screen Off est juste une icone en forme d’interrupteur sur lequel vous appuyez si vous voulez empêcher la mise en veille. C’est tout. Et si vous voulez réactiver la veille, il suffit de ré-appuyer sur le bouton. Rien de plus simple, non?

No Screen Off
No Screen Off
Développeur: Etienne de Closmadeuc
Prix: Gratuit
Rubrique Wordpress

Créer votre propre plugin WordPress au lieu d’utiliser functions.php pour vos fonctions

Catégorie Wordpress

phpSi vous utilisez WordPress pour des choses un peu plus avancées que du blogging de base, vous avez surement dû ajouter 2 ou 3 trucs dans le fichier functions.php de votre thème WordPress.

Mais si vous êtes du genre à changer la déco régulièrement, il faudra que vous copiiez à chaque fois les fonctions ajoutées dans le fichier functions.php de votre ancien thème vers celui du nouveau…

Pour éviter cela, il y a une astuce: Mettre les ajouts de functions.php dans un plugin. Comme ça, les thèmes passent, les plugins restent…

Nous allons donc créer un plugin WordPress de base. Rien de plus simple, il suffit de mettre un fichier php de n’importe quel nom dans le répertoire wp-content/plugins/
Dans ce fichier vous mettez juste
<?php
/*
Plugin Name: Le nom de votre plugin perso
*/
//Là, vous mettez vos ajouts de functions.php
?>

Et c’est tout! Vous n’avez plus qu’a activer le plugin dans l’admin de WordPress, vous supprimez bien ce que vous aviez dans functions.php (sinon ça fera doublon, forcement…), et ça roule…

Si vous voulez, vous pouvez mettre une entête un peu plus complète au debut du fichier de votre plugin. Ce n’est pas obligatoire, mais c’est plus joli…
<?php
/*
Plugin Name: Le nom de votre plugin perso
Description: Mon plugin perso qui remplace un morceau de functions.php
Author: David
Version: 1.0
*/
//Là, vous mettez vos ajouts de functions.php
?>

Rubrique Android

Transformez votre vieille tablette Android en horloge design

Catégorie Android

wp-clock-2-androidAujourd’hui, c’est plutôt une astuce déco que je vous donne…
J’avais besoin d’avoir l’heure dans ma cuisine. Et comme j’avais une vieille tablette Android sous la main qui a 5 ans, qui rame comme c’est pas permis, et que je trouvais pratique d’avoir en plus une tablette dans la cuisine (merci Internet pour les recettes…) j’ai voulu faire d’un pierre 2 coups…

C’est comme ça que j’ai trouvé l’application gratuite wp clock, correspondant tout à fait à ce que je recherchais.

En effet wp clock est une horloge/économiseur d’écran. Cela signifie qu’il va s’activer quand votre tablette se mettra en veille, à condition bien sûr que vous la laissiez branchée sur le secteur, et va afficher l’heure et la date en permanence.

Avec quelques paramétrages, vous pouvez obtenir quelque chose de vraiment chouette et personnaliser l’horloge à votre gout… Moi j’ai préféré ne garder que l’heure et la date qui remplissent bien l’écran.

wp clock design live wallpaper
wp clock design live wallpaper
Développeur: appjigger GmbH
Prix: Gratuit+

Comme je n’avais pas de dock pour faire tenir la tablette debout, j’ai également investi dans un support tablette en bambou Rimforsa de chez Ikea, et voilà…

horloge-tablette-cuisine

Rubrique Windows

Retrouver les mots de passe stockés dans Filezilla

Catégorie Windows

filezillaVous avez perdu les mots de passe de vos accès FTP, mais ceux-ci sont toujours enregistrés dans Filezilla? Pas de panique, il y a une solution…

Dans votre logiciel Filezilla, vous allez dans le menu « Fichier » > « Exporter les paramètres », puis cochez « Exporter les entrées du Gestionnaire de sites », puis « OK ».

Vous n’avez plus qu’a ouvrir le fichier xml obtenu avec un éditeur de texte (le bloc-notes par exemple). vous y verrez toutes les informatisons sur vos sites, dont une ligne qui ressemble à ça:

<Pass encoding="base64">TW9uTW90RGVQYXNzZQ==</Pass>

La chaîne de caractère un peu bizarre (ici TW9uTW90RGVQYXNzZQ==) est votre mot de passe encodé en base64. Jusqu’en 2015, Filezilla stockait les mots de passe en clair, et étaient facilement récupérables. Depuis, face à la critique concernant le manque de sécurité, Filezilla les encode maintenant en base64. Mais vous allez voir que ça ne change pas beaucoup de chose, si ce n’est une étape supplémentaire: Le décodage de la base64.
Pour cela, rien de plus facile, de nombreux sites Internet propose ce genre d’outil, par exemple: https://www.base64decode.org/

Vous y copier/coller votre mot de passe en base64, vous cliquez sur « Decode », et voilà, votre mot de passe FTP est affiché!

A confirmer, mais il est tout à fait possible que l’astuce fonctionne sous d’autre OS que Windows, comme la version OSX ou Linux…

Rubrique Wordpress

Utiliser 3 colonnes dans l’interface d’édition des articles de l’admin WordPress

Catégorie Wordpress

worpdress-3-columnsSi comme moi vous utilisez beaucoup WordPress, et surtout avec de nombreux plugins, vous vous êtes peut-être déjà posé la question « Mais pourquoi est-on limité à 2 colonnes dans l’interface d’admin pour l’édition des articles? ». C’est vrai, si on a de nombreux blocs à afficher, ça peut vite faire une page assez longue… Et on ne voit plus tout du premier coup d’oeil.
C’est d’autant plus regrettable que les écrans d’ordinateurs sont de plus en plus grands, et surtout plus larges…

Alors au lieu d’attendre une possible évolustion de WordPress, je me suis mis en quête d’un plugin… Je n’en ai trouvé qu’un seul permettant de passer a un affichage 3 colonnes dans l’éditeur de billets de WordPress. Son nom est justement « Three Column Screen Layout ».

Il propose de nombreux arrangements possibles sur la base de 3 colonnes… plus ou moins larges… ou en partageant en 2 la colonne sous l’éditeur de texte… Bref, c’est très souple, simple a utiliser, et ça permet de garder un maximum d’informations au dessus de la barre de flottaison qu’est le bas de l’écran?

Three Column Screen Layout
Three Column Screen Layout
Développeur: Chad Hovell
Prix: Gratuit
Rubrique Windows

NAPS2: Un logiciel pour scanner facilement vos documents en pdf

Catégorie Windows

naps2Bien souvent, quand vous désirez scanner vos documents en pdf, vous devez utiliser le logiciel fourni avec votre imprimante/scanner, qui est bien souvent peu pratique.
Pire, si vous changez de version de Windows, il est même possible que le dit logiciel ne fonctionne pas sur cette nouvelle version et que le fabricant ne se casse pas la tête en le mettre à jour… Ca m’est arrivé, merci Canon…

C’est pour cette raison que j’ai trouvé un petit logiciel gratuit bien sympa compatible avec de nombreux scanner: Not Another PDF Scanner 2, aussi appelé NAPS2.
Naps2 intègre 30 langues dont le français, ce qui ne gâche rien.

L’utilisation du logiciel est assez simple, pour peu qu’on en comprenne la logique, surtout la notion de profil. Dans un profil, vous configurez votre scanner, la résolution voulue, le format de page… et vous pouvez créer autant de profils que vous voulez, très utile si vous avez plusieurs scanner…
Pour lancer la numérisation, selectionnez votre profil déjà créé, et zou, ça scanne votre page…
Une fois toutes vos pages numérisée, vous pouvez en sélectionner plusieurs en même temps pour toutes les regrouper dans le même fichier PDF.
NAPS2 intègre aussi un module OCR, la reconnaissance de texte… Bon, personnellement je trouve que ces machins là ne marchent jamais vraiment très bien…

Bref, si NAPS2 vos intéresse, la page de téléchargement est ici (site en anglais). Vous y trouverez même une version « portable » pour les allergiques des procédures d’installation sous Windows.

Rubrique PHP

Aide mémoire de certaines fonctions PHP

Catégorie PHP

aide-memoireVoici un petit aide-mémoire de fonctions PHP usuelles pour se souvenir de leur utilisation:
Afficher toutes les valeurs d’un tableau:
foreach ($arr as $value)
{
   echo "Valeur : $value<br />\n";
}

Afficher toutes les valeurs et les clés d’un tableau:
foreach ($arr as $key => $value)
{
   echo "Clé : $key; Valeur : $value<br />\n";
}

Une boucle for de base:
for ($i = 1; $i <= 10; $i++)
{
   echo $i;
}

Rassembler les éléments d’un tableau dans une chaîne, avec éventuellement un séparateur
$comma_separated = implode(",", $array);

A l’inverse, exploser une chaîne pour en faire un tableau:
$array = explode(",", $comma_separated);

Envoyer un email (le plus simple, sans header ni rien):
mail("adresse@example.com", "Mon Sujet", "Mon message");

Afficher toutes les variables déjà définies:
print_r(get_defined_vars());

Un mix des 2 précédentes: Envoyer un email contenant les variables définies (peut parfois être pratique pour un debug):
mail("adresse@example.com", "Variables", print_r(get_defined_vars(),TRUE));

Si vous en voyez d’autres d’utilisation courante à ajouter ici, n’hésitez-pas….

Rubrique Apache

Voir la liste des hôtes virtuels (virtual hosts) actuellement configurés sur Apache 2

Catégorie Apache

Pour voir la liste des hôtes virtuels (virtual hosts) actuellement configurés sur votre serveur Apache 2, vous pouvez écumer un à un les fichiers de votre répertoire /etc/apache2/sites-available/ à la recherche du bon VirtualHost, mais ça peut être long, très long…

Sinon, vous pouvez bêtement exécuter la commande:

apache2ctl -S

qui vous renverra une jolie liste de ServerName avec le nom du fichier vhost correspondant dans /etc/apache2/sites-enabled/.

En revanche, et c’est la limitation de cette commande, elle ne vous donnera pas les ServerAlias, ni les DocumentRoot contenant le chemin de destination du vhost…