Après un an sans faille, Symfony a dévoilé ce 6 novembre 2024 sur son blog huit vulnérabilités d’un coup. Elles affectent différentes versions du framework Symfony. Voici un résumé de ces failles critiques, leurs impacts potentiels, ainsi que les solutions mises en place par Symfony. De quoi comprendre les implications de ces vulnérabilités pour sécuriser vos applications.
Sommaire
Introduction
Même les frameworks les plus réputés comme Symfony ne sont jamais à l’abri de failles de sécurité. Quelle que soit la solution applicative retenue, la vigilance est de mise. Des sécurités comme un pare-feu applicatif ModSecurity ainsi que le blocage automatique des attaquants (fail2ban), combiné à une bonne politique de sauvegarde externalisée, sont indispensables.
Sur les hébergements web sécurisés LRob, nos serveurs Linux aident à votre sécurité applicative grâce à ModSecurity combiné à fail2ban qui bloquent activement les tentatives d’exploitation des failles; des sauvegardes externalisées complètes sont faites chaque jour avec une rétention d’un an. Choisir LRob comme hébergeur, c’est profiter d’une solution d’hébergement simple et sécurisée tout en ajoutant un sysadmin rigoureux, disponible et passionné à votre équipe !
Failles de sécurité Symfony (novembre 2024)
CVE-2024-51736 : Détournement d’exécution de commande sur Windows avec la classe Process
Description Cette faille permet un détournement d’exécution sur les systèmes Windows lorsque le fichier exécutable cmd.exe se trouve dans le répertoire de travail actuel. La classe Process pourrait alors exécuter ce fichier, ouvrant la voie à des détournements malveillants.
Résolution Symfony a corrigé ce problème en forçant la classe Process à utiliser le chemin absolu vers cmd.exe.
Description La méthode Security::login de Symfony ne prenait pas en compte le user_checker personnalisé, ce qui pouvait permettre des connexions non désirées.
Résolution Le correctif implémente désormais un appel au user_checker configuré.
Description En manipulant une chaîne de requête spécifique, des utilisateurs peuvent changer l’environnement ou le mode de débogage du noyau lorsqu’une directive PHP register_argc_argv est activée.
Résolution Le composant SymfonyRuntime ignore désormais les valeurs d’argv pour les environnements non CLI.
Description Avec NoPrivateNetworkHttpClient, certaines informations internes pouvaient encore être exposées, permettant ainsi une énumération d’adresses IP et de ports.
Résolution Le client NoPrivateNetworkHttpClient applique désormais un filtrage des IP bloquées dès le début de la résolution des hôtes.
Description Une validation utilisant une expression régulière pouvait être contournée en introduisant un caractère \n en fin d’entrée, ce qui entraînait une réponse incorrecte de la part du Validator.
Résolution Symfony utilise désormais le modificateur regex D pour garantir une validation de toute l’entrée.
Description En exploitant des caractères spéciaux dans une URL, un attaquant pouvait détourner une redirection basée sur la classe Request pour envoyer les utilisateurs vers un autre domaine.
Résolution La méthode Request::create vérifie désormais que les URI ne contiennent pas de caractères invalides.
Description Dans un environnement sandbox, un attaquant pouvait appeler la méthode __toString() d’un objet, même si cette méthode n’était pas autorisée par la politique de sécurité, ouvrant la porte à un contournement des restrictions du sandbox.
Résolution Le mode sandbox vérifie désormais systématiquement l’appel à __toString() sur tous les objets.
Description Dans un environnement sandbox, des objets ressemblant à des tableaux pouvaient exposer des attributs sans contrôle de sécurité. Cela permettait à un attaquant d’accéder à des propriétés potentiellement sensibles.
Résolution Le mode sandbox contrôle désormais les propriétés des objets de type Array et l’appel à __isset() après vérification de sécurité.
Ces huit failles montrent que même les frameworks les plus robustes comme Symfony ne sont pas à l’abri de vulnérabilités de sécurité. Heureusement, l’équipe Symfony a réagi rapidement pour fournir des correctifs. Et comme il se doit, les failles n’ont été rendues publiques qu’après leur correctif. Si vous utilisez Symfony, assurez-vous de mettre à jour dès que possible pour protéger vos applications et vos utilisateurs.
N’oubliez jamais qu’aucune solution logicielle n’est exempte de failles de sécurité. Votre vigilance doit être continue et les mise à jour régulières restent la meilleure ligne de défense face aux failles de sécurité et aux cybermenaces.
Chez LRob, nos serveurs offrent une sécurité optimale :
Pas de faille Windows : Nos serveurs étant sous Linux, ils ne sont pas affectés par les failles spécifiques à Windows.
Mise à jour applicatif serveur : Les logiciels serveur sont mis à jour quotidiennement et monitorés en 24/7.
Pare-feu ModSecurity : En filtrant activement les requêtes malveillantes, notre pare-feu protège vos applications.
Sauvegardes externalisées : Nous disposons de sauvegardes externalisées quotidiennes pour faciliter la récupération de données en cas d’incident, et vous pouvez aussi réaliser vos propres sauvegardes vers le FTP de votre choix (par exemple via un VPS Storage Cloud de PulseHeberg) via Plesk.
Par défaut, Plesk utilise NGINX en Reverse proxy d’Apache. Mais cette configuration par défaut est-elle optimale ? Quel est l’impact sur les performances ? Pour répondre à ces questions, j’ai effectué des tests de charge sur un VPS Hetzner (8 cœurs AMD Epyc) pour mesurer l’impact de l’activation d’NGINX comme reverse proxy sur les performances globales.
Sommaire
Contexte et Configuration
Dans le cadre de ce benchmark, j’ai comparé les performances du serveur en activant et en désactivant NGINX. J’ai également testé l’activation du cache de NGINX (et cela change tout !).
Les tests de charge ont été réalisés avec ApacheBench (ab) en envoyant localement 5000 requêtes avec une concurrence de 200 requêtes simultanées. Ce pour que le test dure suffisamment longtemps et que cela limite la marge d’erreur. Il est à noter que le site de test est très léger et performant par rapport à la moyenne, avec seulement 50 à 80ms de TTFB (temps de réponse).
Voici les configurations principales :
Serveur : VPS Hetzner 8 cœurs (AMD Epyc)
Serveur Web : Plesk 18.0.65 avec Apache + NGINX comme reverse proxy
Site de test : LRob.fr un site WordPress FSE, thème Twenty Twenty-Four avec cache Breeze
Commandes de test : ab -n 5000 -c 200 https://www.lrob.fr/
Configurations NGINX
Configuration NGINX par défaut (Plesk 18.0.65)Configuration NGINX personnalisée
Avec la configuration par défaut (NGINX activé), le serveur fonctionne correctement, mais un bottleneck du CPU a été constaté. L’utilisation CPU globale (tous les cœurs) ne dépasse pas les 85 % lors du test de charge, avec un process NGINX qui est bloqué également autour de 85%.
Sans NGINX, Apache gère directement les requêtes. Les résultats montrent une amélioration de +33% des performances.
Mais la surprise est lorsque le cache NGINX est activé et gère directement les fichiers statiques. On observe +66% de gains de performances ! Et ce n’est pas tout : on observé également une réduction d’utilisation des cœurs CPU à 30%, laissant une importante marge de CPU disponible pour d’autres usages essentiels comme PHP-FPM ou MariaDB/MySQL. NGINX est cependant limité à 99% d’utilisation CPU (donc un cœur) : Peut-être est-il possible d’étendre son utilisation à plusieurs cœurs CPU et de décupler encore les résultats. Lors du test, j’avais encore 5 à 6 cœurs CPU disponibles, de quoi potentiellement multiplier ce résultat par 2 ou 3. Cela mérite d’être étudié ultérieurement.
Autres considérations concernant NGINX et Plesk
Plesk favorise l’utilisation d’NGINX avec plusieurs avantages qui peuvent justifier son activation :
Génération de certificats améliorée : Plesk permet par exemple de générer un certificat pour le webmail seulement, uniquement lorsque NGINX est en place.
Sécurité : Des fonctions comme OCSP Stapling sont dispo en 1 clic, uniquement avec NGINX
D’autres avantages m’échappent peut-être. L’inconvénient est bien-sûr que vous avez alors deux applicatifs web qui augmentent légèrement la complexité de l’installation.
Conclusion
L’utilisation de NGINX comme reverse proxy sous Plesk peut être extrêmement puissante pour des sites statiques, ou lorsque combiné à un bon système de cache (voir comparatif des cache pour WordPress). Mais selon mon test, il est indispensable de modifier les réglages NGINX pour obtenir un gain de performances plutôt qu’une réduction en comparaison à Apache seul.
Par ailleurs, les résultats peuvent varier fortement en fonction de vos applicatifs finaux (vos sites) et de leur cache. Utilisez si besoin ma méthodologie du test pour faire vos propres mesures et comparer. A ce sujet, vos retours m’intéressent : partagez vos résultats en commentaires !
Les mises à jour de WordPress, qu’elles soient manuelles ou automatiques, suscitent toujours des interrogations, voire des craintes chez les webmasters. Ces mises à jour sont nécessaires pour la sécurité et l’évolutivité de votre site, mais elles comportent aussi des risques. Alors faut-il activer les mises à jour automatiques WordPress ? Explorons les enjeux.
Sommaire
Mises à jour manuelles
Quel que soit votre mode de mise à jour (manuelle ou automatique), les risques existent.
Globalement, peu importe si la mise à jour est automatique ou manuelle, vous rencontrerez parfois des soucis à traiter, tôt ou tard.
Quels sont les risques des mises à jour de WordPress ?
Du simple bug à l’inaccessibilité du site, voici les problèmes les plus fréquents :
Intervention nécessaire : Parfois, une mise à jour nécessite une intervention manuelle pour ajuster certains paramètres ou configurations.
Un plugin ou un thème présente un bug : Une mise à jour peut introduire un dysfonctionnement, surtout si le plugin ou le thème n’est plus maintenu par ses développeurs.
Incompatibilité de versions : Un plugin ou un « addon » dépend d’un autre plugin et peut ne pas être mis à jour aussi fréquemment, créant des conflits.
Comment réduire le risque
Pour éviter ces risques et désagréments, un processus de staging est nécessaire : cela consiste à essayer toute mise à jour dans un environnement de test avant de l’appliquer en production. Cependant, cette pratique nécessite du temps et des ressources conséquents, ce qui n’est pas envisageable pour les sites les plus modestes.
Mises à jour automatiques
Quels sont les avantages des mises à jour automatiques WordPress ?
Passer aux mises à jour automatiques offre un gain de temps et de sécurité.
Cela se fait en quelques clics depuis votre panneau de contrôle Plesk. Vous avez la possibilité de désactiver la mise à jour automatique de tout plugin qui poserait souci.
1. Gain de sécurité
En activant les mises à jour automatiques, votre site est protégé contre les dernières failles de sécurité identifiées dès leur correction. Cela permet de limiter les risques de piratage et de maintenir votre site en sécurité sans intervention manuelle systématique.
2. Économie de temps et d’énergie
Les mises à jour automatiques réduisent la nécessité d’une intervention fréquente. Au lieu de vérifier manuellement les nouvelles versions de plugins ou de WordPress, vous économisez du temps précieux qui peut être réinvesti dans des tâches à plus forte valeur ajoutée.
3. Des bugs plus mineurs
Grâce à une mise à jour régulière, les bugs rencontrés seront globalement plus mineurs, tout simplement car les changements sont plus mineurs. De plus, le diagnostic sera plus simple : si un plugin pose problème, vous trouverez rapidement parmi les quelques scripts récemment modifiés, lequel pose problème, tandis que si tous les plugins ont reçu une mise à jour, vous devrez tous les tester un par un.
Pré-requis des mises à jour automatiques
En mise à jour automatique, il il y a des pré-requis encore plus importants qu’en MAJ manuelle.
1. Sauvegardes automatisées et externalisées
Les sauvegardes sont indispensables dans certains cas. Il est donc important d’avoir des sauvegardes régulières, externalisées, avec une rétention longue. Ces sauvegardes doivent être sélectivement et facilement restaurables.
Sur les hébergements web LRob, nous effectuons une sauvegarde hébergeur remontant jusqu’à 1 an en arrière.
2. Monitoring du site
Vous devez monitorer la bonne réponse de vos sites et faire une vérification manuelle de temps en temps.
Vous devez réagir rapidement si besoin, pour éviter qu’un souci ne dure sur votre site. Et vous devez avoir les bons outils pour diagnostiquer (accès aux logs, phpMyAdmin, explorateur de fichiers, désactivation des plugins depuis le panel hébergeur – tout cela est disponible sur les hébergements web LRob). Votre support LRob peut vous aider à diagnostiquer et résoudre votre souci, en s’impliquant dans la recherche et le diagnostic WordPress.
Que faire en cas de problème suite à une mise à jour WordPress ?
Si une mise à jour cause un problème, il faut réagir vite et bien :
Consultez les logs : Les journaux du serveur peuvent indiquer très rapidement la source du problème.
Désactivez le plugin fautif : Si vous pouvez vous en passer, désactivez le plugin concerné.
Adaptez les réglages : Parfois, une simple modification de réglage suffit pour résoudre l’incident.
Support des développeurs : Contactez le support du plugin ou du thème concerné pour remonter le problème et obtenir de l’aide.
Restaurez une sauvegarde : Si le problème est critique et n’a pas de solution immédiate, alors une restauration de sauvegarde est peut-être nécessaire solution. Dans ce cas, il peut être judicieux de suspendre temporairement les mises à jour (automatiques) jusqu’à ce que la solution soit trouvée. Si vous n’avez pas de sauvegarde de votre côté, votre support LRob peut restaurer sa sauvegarde hébergeur.
Contactez votre support LRob : Nous gérons de nombreux sites, il est fort probable que nous ayons déjà passé des heures à résoudre un souci similaire ou que notre expérience nous permettant de trouver votre solution très rapidement. Nous sommes toujours heureux de vous aider à gagner du temps !
En résumé : mise à jour manuelle ou automatique ?
Mise à jour manuelle
En MAJ manuelle, vous retardez l’apparition des problèmes que vous devrez résoudre tôt ou tard, tout en vous exposant à davantage de failles de sécurité.
Ce choix peut convenir aux sites très complexes, soumis à de potentiels bugs et nécessitant un suivi plus extensif.
Mise à jour automatique
En MAJ auto vous risquez un bug temporaire, vous devez prendre en charge les (rares) problèmes dès leur apparition.
L’exception : les sites complexes
L’exception étant les gros sites complexes, tels que des WooCommerce avec du dev custom, où dans ce cas, il vaut mieux faire un staging et tester chaque mise à jour (maxi tous les 3 mois, ou lorsqu’une faille de sécurité connue apparaît), moyennant un forfait de maintenance approprié.
Avec un service d’hébergement professionnel, tel que celui proposé par LRob, vous pouvez bénéficier d’un support technique et de sauvegardes prolongées, jusqu’à un an en arrière, pour sécuriser votre site face aux imprévus.
Conclusion
Globalement, la mise à jour automatique devrait selon nous être votre choix par défaut car la sécurité prime sur la fonctionnalité. Si vous êtes « agile », alors cela ne devrait pas poser de souci. Car mieux vaut avoir un bug à résoudre qu’un site piraté et toutes ses conséquences à traiter. Les petites et moyennes structures tireront souvent plus de bénéfices des mises à jour automatiques, tandis que les sites plus complexes requièrent une gestion de maintenance spécifique et approfondie.
Si vous êtes prêt à adopter les mises à jour automatiques, assurez-vous d’avoir des sauvegardes et une stratégie de monitoring en place pour gérer efficacement les rares incidents qui pourraient survenir.
👉 Pour une gestion simplifiée de votre site WordPress, découvrez les offres d’hébergement LRob et bénéficiez de notre expertise pour éviter ou résoudre les soucis techniques et garder votre site en ligne, sécurisé et performant.
Découvrez WPMasterToolKit : le plugin indispensable pour vous simplifier la vie et alléger vos sites WordPress.
Ce plugin made-in France, développé par le talentueux Ludwig YOU de Webdeclic, regroupe une multitude de fonctionnalités essentielles de WordPress, que vous pouvez chacune activer en un clic. Le tout en une seule extension : de quoi simplifier votre gestion tout en accélérant votre site ! 🚀
Un plugin vraiment différent
WPMasterToolKit est simple et flexible. Avec déjà plus de 83 fonctionnalités gratuites activables, ce plugin vous permet de remplacer d’innombrables extensions par une seule.
Ce qui rend WPMasterToolKit unique, outre le fait d’être français, c’est sa capacité à activer uniquement les fonctionnalités dont vous avez besoin, sans alourdir inutilement votre site. Là où d’autres extensions sont monolithiques, chargeant des scripts inutiles même lorsque vous ne les utilisez pas, WPMasterToolKit est conçu pour être léger et efficace.
Si une fonctionnalité est désactivée, le programme associé ne se charge pas du tout. Ainsi, vous allégez l’utilisation de ressources de votre site et améliorez ses performances, en ne chargeant que les fonctionnalités dont vous avez réellement besoin.
D’autres fonctionnalités sont sur le feu, et quelques unes sont disponibles en premium pour pérenniser le projet.
Le développeur, Ludwig YOU, est très à l’écoute des suggestions et améliore activement son plugin. Avec notamment l’ajout récent d’un onglet permettant de voir d’un coup d’œil les fonctionnalités actives.
Fonctionnalités phares de WPMasterToolKit
WPMasterToolkit : Modules actifs sur le site LRob.fr
Voici quelques-unes de mes fonctionnalités préférées jusqu’à présent :
1. Cacher la version de WordPress
Cacher la version de WordPress affichée dans le code source est une excellente mesure de sécurité. Cela réduit les chances que votre site soit ciblé par des attaques automatisées visant des versions spécifiques de WordPress.
2. Limitation des révisions
La gestion des révisions de contenu est un point souvent négligé qui peut rapidement surcharger la base de données. WPMasterToolKit permet de limiter le nombre de révisions par article, ce qui aide à garder la base de données propre et performante.
3. Désactiver le support des emojis
Les emojis sont utiles pour certains sites, mais la plupart des navigateurs modernes supportent déjà nativement ces symboles. Désactiver leur prise en charge au niveau de WordPress permet d’alléger le chargement des pages.
4. Désactiver les balises Really Simple Discovery (RSD)
En désactivant le chargement des balises RSD (et des scripts comme Dashicons pour les visiteurs non connectés), vous pouvez réduire le temps de chargement de vos pages publiques, particulièrement si votre site n’utilise pas de services tiers qui nécessitent ces éléments.
5. Désactiver jQuery Migrate
Si votre site utilise des versions récentes de jQuery, le script jQuery Migrate devient inutile et peut être désactivé pour améliorer la vitesse de chargement des pages.
D’autres fonctionnalités intéressantes
Outre ces fonctionnalités favorites, WPMasterToolKit propose également une panoplie d’outils qui facilitent la gestion quotidienne de votre site. Parmi les plus populaires, vous trouverez :
Auto-publication des articles manqués : publie automatiquement les articles qui ont raté leur date de planification.
Gestion du SMTP : Se connecte à un serveur SMTP tiers pour relayer plus fiablement vos emails.
Désactivation des API REST pour les utilisateurs non authentifiés : améliore la sécurité en limitant l’accès aux données via l’API REST.
Ban d’emails : bloque la création de comptes utilisateurs avec des adresses email temporaires ou non autorisées.
Mode Maintenance : affiche une page de maintenance personnalisée pendant vos travaux sans gêner les administrateurs.
Redirection des 404 vers la page d’accueil : améliore l’expérience utilisateur en redirigeant les pages inexistantes vers la page d’accueil.
Et bien d’autres encore… L’idéal reste d’explorer et de tester par vous-même ! Qui sait, vous pourriez remplacer des dizaines de plugins !
Une boîte à outils WordPress essentielle qui gagnera à être connue
Avec ses multiples fonctionnalités personnalisables, vous avez tout sous la main pour mieux personnaliser et contrôler votre site, améliorer ses performances et renforcer sa sécurité.
Le plugin, encore récent compte à l’heure où j’écris ces lignes +500 installations active. Pour moi, ce plugin est un véritable game changer et je suis convaincu qu’il dépassera le millier bien avant la fin de l’année, et que sa popularité explosera ensuite.
Trouver le meilleur plugin de cache n’est pas évident. Il faut le tester, mesurer les performances, connaître son support à long terme…
Alors quel est le cache le plus rapide ? Quel est le meilleur plugin de cache ? Lesquels sont pratiques et complets, lesquels sont performants ? A-t-on besoin de payer pour un bon plugin de cache ?
Aujourd’hui, on tente de répondre à ces questions avec des mesures indépendantes et les plus objectives possibles. Le test est un peu « meta » car il porte sur essai sur lrob.fr, une vitrine/blog réalisée avec FSE (full site editing). Un site standard et léger.
Sommaire
Introduction
L’objectif d’un plugin de cache : tomber sous 200ms de temps de réponse ou « TTFB » (Time To First Byte, 200ms est le temps maximum préconisé par Google PageSpeed Insights).
Mais tous les cache ne se valent pas, comme le rappelle Yoan De Macedo dans son article de blog. Certains sont plus performants et d’autres dégradent même parfois les performances. Alors pour vraiment choisir le meilleur cache, il reste nécessaire d’en tester plusieurs sur son propre site et de mesurer précisément les résultats. En raison de la variabilité du temps de réponse, il est important de faire des tests sur une certaine durée et de moyenner les résultats. Cela peut cependant être fastidieux, alors vous pouvez choisir de vous baser sur ce test comparatif pour commencer à y voir plus clair.
On rappelle aussi que le cache ne fait pas tout. Le cache permet d’alléger les ressources serveur, mais votre site doit être optimisé à la base. Sinon cela s’appelle un « cache-misère ». Privilégiez donc les plugins et thèmes légers et bien optimisés pour éviter les mauvaises surprises. Le cache sera alors la cerise sur le gâteau.
Plugins testés
Je me suis basé sur un « top » des plugins de cache ainsi que sur mon expérience des plugins réellement rencontrés chez les différents clients hébergés pour établir cette liste des plugins à tester :
Ce test réalisé par LRob n’est aucunement sponsorisé par un quelconque plugin de cache. Il a vocation à être le plus objectif possible. Cependant, ce test n’est que le reflet de lui-même et de notre avis qui ne saurait être parfaitement objectif et n’a donc pas vocation à produire des vérités générales. LRob est un hébergeur web indépendant spécialiste de WordPress.
Détails du site web
Le test est réalisé sur https://www.lrob.fr/. La fonction WP-Cron est désactivée et est exécutée directement par le serveur toutes les 4 minutes. Le site tourne sous PHP 8.3.12 en FPM dédié derrière Apache 2, avec MariaDB 11.4. Redis server est également disponible sur le serveur hôte (version 5:6.0.16).
Thème
Le site est réalisé avec FSE et le thème Twenty Twenty-Four
Plugins
Le site comporte 17 plugins actifs au moment du test (sans compter le plugin de cache testé) :
Voir la liste des plugins
Comment Blacklist Updater
Complianz | GDPR/CCPA Cookie Consent
Connect Matomo
Easy WP SMTP
hCaptcha for WP
Insert PHP Code Snippet
Optimize Database after Deleting Revisions
Rank Math SEO
Regenerate Thumbnails
Simple Local Avatars
Site Reviews
Social Sharing Block
TranslatePress – Developer
TranslatePress – Multilingual
Update URLs
WPForms Lite
WPMasterToolKit
Mesures et détails
La mesure du temps de réponse est effectuée avec Uptime Kuma sur un serveur chez PulseHeberg en Suisse (Lausanne), qui fournit cette moyenne. Le serveur en production est situé en Allemagne chez Hetzner à Falkenstein.
Chaque plugin est testé successivement, avec une mesure toutes les 20 secondes pendant 5 minutes ou plus (parfois je suis allé me faire un café entre temps), soit minimum 15 mesures pour obtenir une moyenne cohérente.
Entre chaque test, les valeurs enregistrées d’Uptime Kuma sont effacées après une première mesure une fois que le cache est mis en place; le dossier de cache est supprimé et il a été vérifié que le .htaccess et wp-config.php sont bien exempts de toute trace du précédent plugin.
Limites du protocole
Le test est fait sur un serveur en production, générant une variabilité des résultats légèrement supérieure à celle observée sur un serveur sans activité. Cependant, l’utilisation serveur est très modérée au moment du test et la variabilité est compensée par une série de plus de 15 mesures à chaque fois qui permet de moyenner les résultats. Le but n’est pas d’avoir la valeur à la milliseconde près, mais d’obtenir un ordre de grandeur.
Par ailleurs, le test est fait sur un site spécifique et ne peut pas être extrapolé à l’ensemble des sites : chaque site est différent et régira différemment à certains plugins (en particulier les boutiques). Mais si votre site est fait avec le thème Twenty Twenty-Four ou un autre thème FSE (Full Site Editing), alors il y a fort à parier que vos résultats soient similaires.
Tests et Benchmarks
Baseline – Test contrôle : Réponse sans plugin de cache
Sans aucun plugin de cache, le site répond en moyenne en 379ms avec une faible variabilité. Cette valeur est relativement faible de base, puisque les sites faits avec des builders peuvent facilement prendre 2 à 4x ce temps de réponse.
Temps de réponse sans cache
Voyons comment s’en sortent les différents plugins de cache pour améliorer ce temps de réponse.
Autoptimize
Autoptimize Réglages 1Autoptimize Réglages 2Temps de réponse Autoptimize : 379ms
Réponse moyenne : 379ms
Le temps de réponse est identique au site sans cache. Et pour cause, la fonction de cache de Autoptimize n’est en fait disponible qu’avec le plugin payant. Autrement dit, vous n’accélérerez pas votre site en version gratuite avec ce plugin. Dommage.
Cependant, comme le précise le développeur Simon JANVIER, Autoptimize, en version gratuite, est davantage utile pour la concaténation et minification intelligente des scripts. Sur ce point, il peut alléger votre site, mais cela n’améliorera pas le TTFB (temps de réponse) de votre site.
Breeze
Contrairement à ce que je pensais initialement, Breeze n’est pas réservé à Cloudways ou à Varnish, il fonctionne également sur un système classique. Je l’ajoute donc à ce test et je remercie Michael GOUT d’avoir porté ce plugin à mon attention.
Réglages Breeze 1Réglages Breeze 2
Temps de réponse Breeze : 98ms
Réponse moyenne : 98ms
Le résultat est bluffant : on tombe sous les 100ms avec une très bonne stabilité des temps de réponse ! Je découvre ce plugin et j’en tombe de ma chaise !
J’émets une petite réserve sur la compatibilité du plugin avec tous les sites en raison des commentaires sur wordpress.org. A la lecture de ces commentaires, il semble que son utilisation pourrait poser quelques soucis avec les sites les plus dynamiques ou complexes, comme les e-commerce WooCommerce.
Pour le reste, il semble être un excellent choix à ne surtout pas manquer.
Cachify
Cachify propose par défaut une mise en cache en base de données et supporte également un cache par fichiers et par Redis. Nous avons testé le cache par défaut et Redis. En dehors de cela, très peu de réglages nous sont disponibles.
Les résultats sont similaires entre le cache « Database » et Redis, on est dans la marge d’erreur. Les résultats semblent cependant plus stables avec Redis. Le résultat dépasse dans tous les cas les 200ms escomptées, ce qui est donc décevant. Ce plugin ne peut pas vraiment être recommandé.
LiteSpeed Cache
LiteSpeed Cache a beaucoup fait parler de lui récemment pour ses failles de sécurité. Le plugin prétend correspondre également à un serveur Apache. Alors comment s’en sort-il en pratique ?
Un résultat décevant pour LiteSpeed cache sur notre configuration de test, puisque le site est dans la marge d’erreur du temps de réponse original du site, sans cache.
Et pour cause, comme le relève Louis Chance, LiteSpeed, comme son nom l’indique, n’apporte aucun cache sur un serveur Apache ! Il faut forcément un serveur LiteSpeed disponible. Impossible de recommander ce plugin si vous tournez sous Apache, étant donné les performances obtenues et les multiples failles de sécurité récentes.
W3 Total Cache
W3 Total Cache offre un assistant de configuration et de nombreux réglages. C’est le plugin gratuit le plus complet que je connaisse. Il supporte différents types de cache dont Redis. Ici, la minification a été activée, ce qui peut augmenter légèrement le temps de réponse mesuré mais offre de meilleures performances pour les visiteurs à la connexion plus lente (mobiles, ADSL, etc.).
Réglages W3 Total Cache 1Réglages W3 Total Cache 2Réglages W3 Total Cache 3Réglages W3 Total Cache 4Réglages Minifcation W3 Total CacheTemps de réponse W3 Total Cache : 159ms
Réponse moyenne : 159ms
Enfin un résultat sous les 200ms ! Avec Redis, donc en évitant des milliers de fichiers de cache. Et un grand contrôle sur les réglages et des options comme le Lazy Load des images, et la désactivation de certains scripts optionnels de WordPress. Sa configuration versatile permettra de s’adapter plus précisément à chaque site : vous pourrez mesurer les performances obtenues avec différents réglages et choisir les plus pertinents pour votre site spécifique.
Par ailleurs, les autres types de cache disponibles sont également performants, bien que non testés aujourd’hui, les résultats sont assez similaires quel que soit le type de cache choisi.
Ce plugin n’a jamais déçu selon notre expérience est donc tout à fait recommandable. (C’est même le choix de LRob.fr)
WP Fastest Cache
Ce plugin offre des options intéressantes en version gratuite. Certaines options offertes gratuitement avec W3 Total Cache manquent cependant à l’appel.
Mais le plus important aujourd’hui : ce plugin porte-t-il bien son nom, en étant réellement le plus rapide ?
Ce plugin porte assez bien son nom, c’est effectivement l’un des plus rapide testés ! Sur notre test, Breeze arrive cependant en tête.
Chez LRob, nous avons vu plusieurs blogs divers et variés obtenir de très bons résultats avec ce plugin. Il n’a jamais déçu, et nous le recommandons sans hésiter.
WP-Optimize
WP-Optimize n’offre que très peu de réglages de cache. Car en réalité, sa fonction première semble plutôt être le nettoyage de la base de données. Alors comment s’en sort-il en cache ?
Réglages WP-OptimizeTemps de réponse WP-Optimize : 152ms
La variabilité du temps de réponse est trop élevée à notre goût avec des réponses oscillant entre 132 et 180ms.
Néanmoins, la moyenne reste très bonne avec 152ms. Une bonne surprise.
Nous ne sommes pas du tout rassurés par cette variabilité et ne recommandons donc pas ce plugin en tant que cache. D’autant plus que nous avons déjà observé des sites plus lents avec ce plugin que sans… A utiliser donc avec précaution en tant que cache.
Solid Performance
En bonus, je vous propose de tester un nouveau plugin de cache, Solid Performance, qui semble prometteur. (merci à Julien ROUSSEL pour la recommandation).
Réglages Solid PerformanceTemps de réponse Solid Performance : 155ms
Réponse moyenne : 155ms
Si celui-ci ne fournit strictement aucun réglage, son temps de réponse mesuré figure parmi les meilleurs de ce test. De quoi potentiellement satisfaire ceux qui n’ont pas envie de faire le moindre réglage. Le plugin étant jeune, il n’a pas encore été éprouvé, néanmoins un plugin de cache se change facilement si besoin dans la plupart des cas, il n’y a donc pas trop de risque à l’essayer si le cœur vous en dit !
Résumé des résultats et conclusion
Plugin
Réponse moyenne (ms)
Pourcentage (lower is better)
Baseline (pas de cache)
379
100%
Autoptimize
379
100%
Breeze 🥇
98
25.8%
Cachify Database
257
67.8%
Cachify Redis
263
69.4%
LiteSpeed
376
99.2%
W3 Total Cache Redis 🥉
159
41.9%
WP Fastest Cache 🥈
123
32.4%
WP-Optimize
152
40.1%
Solid Performance
155
40.9%
Nous pouvons sans hésiter recommander Breeze, WP Fastest Cache et W3 Total Cache qui sont tous les trois excellents. Ils proposent de très bon temps de réponse avec suffisamment de réglages, même en version gratuite. A noter toutefois que Breeze pourrait poser quelques soucis sur certains sites. Aussi, W3 est toutefois un peu plus complet en gratuit que WP Fastest Cache, raison pour laquelle il a été choisi pour LRob.fr, mais Breeze pourrait potentiellement le remplacer à terme, car il fournit presque autant de fonctionnalités tout en étant plus simple d’utilisation.
En résumé, selon notre test :
Choisissez Breeze pour la performance max, plutôt pour les sites vitrine
Choisissez W3 Total Cache pour le plus haut niveau de personnalisation ou si votre hôte supporte Redis (c’est le cas des hébergements LRob)
Choisissez WP Fastest Cache pour d’excellentes performances sans configuration
Mention pour WP-Optimize qui malgré son manque de réglages et sa grande variabilité de temps de réponse montre un temps de réponse moyen tout à fait correct. Mention également pour Solid Performance qui, nouvel arrivant, porte bien son nom et semble prometteur sans pour autant révolutionner quoi que ce soit, en l’état, dû à son manque de réglages. Cachify montre des réglages et des performances inférieures aux autres plugins. Nous ne pouvons pas nous prononcer sur LiteSpeed dans notre configuration Apache (si ce n’est que son intérêt est donc très limité dans ce type de configuration). Autoptimize enfin, n’apporte aucune amélioration sur les temps de chargement et est donc totalement inutile à cet effet, selon nos mesures, mais pourrait être utilisé en conjonction avec un plugin de cache pour réduire le nombre de fichiers.
Vu les bons résultats obtenus avec ces plugins gratuits, il ne semble donc pas indispensable de payer pour un plugin de cache si vous n’avez pas besoin des fonctions additionnelles proposées. Nous pourrions cependant tester les versions payantes dans un futur article, si cela vous intéresse.
On rappelle bien-sûr qu’un hébergement performant est indispensable pour obtenir les meilleurs temps de réponse. Pour cela, les hébergements LRob sont là pour vous servir (dans tous les sens du terme) !
Hébergement WordPress Spécialisé
Pratique, libre, rapide et sécurisé
WordPress, Meilleur CMS depuis 20 ans
Bien plus qu’un hébergement classique : bénéficiez d’outils de gestion et de sécurisation simplifiés pour WordPress. Avec support d’expert inclus !
Comme tous les 6 mois, Nextcloud vient de sortir sa nouvelle version majeure. Les notes de mises à jour officielles sont assez limitées et personne n’a envie de lire le changelog complet… Avec 2.363 changements cumulés sur Nextcloud 30.0.0 et 30.0.1.
Correctifs, nouveautés, améliorations, mises à jour de dépendances, etc. Tout cela est assez complexe à analyser et résumer. Heureusement, ChatGPT peut nous résumer et mettre tout ça en forme (plus de 2.400 lignes de texte et 172.879 caractères).
Alors pour gagner des heures dans votre vie, voici le résumé ChatGPT de ce qu’il faut retenir des changelogs Nextcloud 30 :
Mises à jour du système et de la base de données :
PHP 8.0 n’est plus supporté, tandis que PHP 8.1 est obsolète mais toujours utilisable.
Le support pour MariaDB 10.3 et 10.5 et PostgreSQL 9.4 ont été retirés.
Améliorations de la configuration :
De nouveaux paramètres dans le fichier de configuration ont été introduits, et certains sont dépréciés :
L’option blacklisted_files est remplacée par forbidden_filenames.
De nouvelles options comme forbidden_filename_basenames et forbidden_filename_extensions permettent de mieux contrôler les noms de fichiers et extensions bloqués.
Amélioration de la gestion des images WebP dans la configuration des serveurs web.
Gestion des fichiers et des dossiers :
Les utilisateurs peuvent désormais voir l’emplacement d’origine des fichiers supprimés dans la corbeille, et certains attributs de fichiers/dossiers sont hérités pour préserver l’état de partage.
Amélioration des aperçus de fichiers : les aperçus pour les PDF utilisent désormais le nouveau fournisseur ImaginaryPDF.
Performances et optimisation :
Plusieurs améliorations de performance, notamment le chargement différé de certaines fonctionnalités comme la génération des métadonnées, et une meilleure gestion des tâches cron pour réduire la charge du serveur.
Amélioration du tri et des fonctions de glisser-déposer dans la gestion des fichiers, avec un meilleur support pour les fichiers cachés.
Sécurité et gestion des utilisateurs :
Introduction d’une API de traitement des tâches pour gérer plus efficacement les tâches en arrière-plan.
Nouvelles fonctionnalités de sécurité, comme un contrôle plus strict des CSRF, une meilleure gestion des mots de passe pour les partages de fichiers, et un nettoyage automatique des mots de passe d’applications inutilisés.
Améliorations pour LDAP, avec une meilleure synchronisation des utilisateurs et groupes, et un journalisation améliorée des connexions LDAP.
Interface utilisateur et personnalisation :
Améliorations de l’interface utilisateur, avec une séparation des couleurs primaires et de fond pour un menu d’en-tête plus propre, et des améliorations dans les couleurs de l’interface.
Introduction de Vue.js pour plusieurs dialogues, remplaçant les anciens composants de jQuery UI pour une meilleure expérience utilisateur.
Mises à jour du tableau de bord avec des améliorations de la mise en page et des API pour plus de personnalisation.
Collaboration et partage améliorés :
Nouvelles options pour les demandes de fichiers, permettant de solliciter des fichiers de la part d’autres utilisateurs plus facilement.
Améliorations diverses des capacités de partage, incluant une gestion améliorée des dates d’expiration pour les partages publics et des options de protection par mot de passe.
Corrections de bogues et divers :
Corrections liées à la gestion des sessions, à la gestion des erreurs, et à l’intégration LDAP.
Améliorations dans la gestion de certains types de fichiers, la synchronisation des calendriers, et les notifications utilisateurs.
Ces changements mettent l’accent sur la performance, la sécurité, et l’amélioration de l’expérience utilisateur, tant dans les paramètres d’administration que dans la gestion quotidienne des fichiers.
Mise à jour pour les clients Nextcloud chez LRob
La version 30 de Nextcloud entre en phase de test de notre côté pour prévoir le déploiement plus large à tous les clients.
Le conflit entre Matt Mullenweg, fondateur de WordPress et WP Engine continue de secouer la communauté WordPress. Le dernier développement dans cette affaire concerne un plugin majeur de l’écosystème : Advanced Custom Fields (ACF). Depuis le 12 octobre 2024, ACF a été entièrement remplacé sur le répertoire officiel de WordPress.org par Secure Custom Fields (SCF), un fork mis en place par l’équipe de sécurité de WordPress.
Ce conflit autour d’ACF est l’une des nombreuses étapes dans la tension croissante entre Matt Mullenweg et WP Engine. La relation entre ces deux acteurs majeurs de l’écosystème WordPress a dégénéré en raison de divergences sur la gestion de la marque WordPress, la gouvernance du projet, et certaines pratiques commerciales de WP Engine. Ces tensions se sont intensifiées lorsque Mullenweg a critiqué ouvertement WP Engine, l’accusant de nuire à l’écosystème en désactivant certaines fonctionnalités cruciales (comme l’historique des révisions), et de brouiller les cartes avec l’utilisation de la marque « WP ».
Ce conflit pose des questions sur la gouvernance de WordPress et la gestion de l’open source dans un environnement où les intérêts commerciaux sont en jeu.
Un changement officiellement motivé par la sécurité
Dans un billet publié le 12 octobre 2024, Matt Mullenweg a annoncé la création de Secure Custom Fields en tant que fork d’ACF pour répondre à une faille de sécurité critique découverte dans le plugin d’origine.
Secure Custom Fields remplace ainsi totalement ACF sur WordPress.org et tous les sites qui utilisaient ACF via ce dépôt passeront automatiquement à SCF lors de la mise à jour.
On ne peut pas s’empêcher de penser que les tensions entre les deux entreprises n’y sont pas pour rien dans cette décision. Mais nous ne sommes cependant pas à la place de Matt Mullenweg, qui, intelligent et au service du projet WordPress, a probablement de bonnes raisons de faire ce choix.
La réaction de l’équipe ACF
Face à ce changement, l’équipe ACF a exprimé sa déception et son inquiétude dans un article publié sur leur blog officiel. Ils dénoncent une décision qu’ils jugent unilatérale et qui, selon eux, va à l’encontre des principes de l’open source. Depuis leur intégration à WP Engine, ils ont continuellement travaillé sur le développement d’ACF avec plus de 200 000 lignes de code et de nombreuses améliorations, tant sur le plan fonctionnel que sécuritaire.
Voici ce qu’ils déclarent dans leur billet :
« Nous sommes consternés par les actions de Matt Mullenweg, qui a unilatéralement et sans notre consentement pris le contrôle du plugin Advanced Custom Fields, un outil que nous développons activement pour la communauté WordPress depuis 2011. »
L’équipe ACF indique que les utilisateurs d’ACF Pro ou ceux hébergés sur WP Engine et Flywheel ne sont pas concernés par ce changement et continueront de recevoir les mises à jour directement via WP Engine. En revanche, ceux utilisant la version gratuite d’ACF sur d’autres hébergements doivent télécharger manuellement la version 6.3.8 d’ACF depuis leur site pour continuer à bénéficier des mises à jour de leur côté.
ACF indique comment continuer d’utiliser sa propre version du plugin en cas d’utilisation de la version gratuite d’ACF chez un hébergeur autre qu’eux-même (WP Engine).
Il joue enfin la carte de la fidélité sur son site avec un encart spécial sur l’accueil :
Encart sur la page d’accueil d’ACF
« Vous faites confiance à ACF depuis plus de dix ans. Les experts qui maintiennent ACF continueront à soutenir et à améliorer les fonctionnalités que nos utilisateurs apprécient et en lesquelles ils ont confiance. »
Néanmoins ces plugins sont moins essentiels qu’ACF et peuvent être remplacés par Update URLs et Query Monitor pour ne citer qu’eux.
Impact pour les utilisateurs
Différences entre ACF et SCF
Pour l’heure, les deux plugins gratuits sont fonctionnellement identiques car le « fork » est très récent. Il faudra donc suivre leurs évolutions respectives afin d’observer si l’un d’eux se démarque par sa stabilité, sécurité, ou ses fonctionnalités.
On peut envisager qu’ACF finisse par être intégré au core WordPress. Restons patients, l’avenir nous le dira.
Version payante d’ACF
Pour la version payante d’ACF et les clients WP Engine, il n’y a aucun changement à prévoir.
Version gratuite d’ACF
Si vous utilisez la version gratuite d’ACF sur la vraie version originale de WordPress.org, chez un hébergeur indépendant comme LRob :
Lors de mise à jour de vos plugins, ACF sera transformé en SCF, puis maintenu par la communauté WordPress
Si vous utilisez d’autres plugins de WP Engine, songez à leur trouver un remplaçant si ces derniers ne voient pas leur accès à WordPress.org restauré.
Conclusion
Bien que ce conflit puisse soulever des inquiétudes, il faut se rappeler que Matt Mullenweg a toujours eu pour objectif de maintenir l’intégrité et la sécurité de l’écosystème WordPress. Secure Custom Fields a été introduit dans cet esprit et malgré les critiques, Mullenweg reste une figure respectée dans la communauté.
En attendant que la situation s’éclaircisse davantage, restons prudents sur nos avis et à restons attentifs aux mises à jour et aux news à ce sujet.
Voir une IP blacklistée fait partie de la vie d’hébergeur, le quotidien pour les plus gros ou les plus permissifs. Néanmoins, c’est une première pour LRob en 10 ans d’existence !
Les plus positifs d’entre vous diront que c’est la rançon de la gloire… Forcément, plus le volume augmente, plus le risque de voir une activité non autorisée sur un site augmente. Les plus critiques feront un scandale. Quoi qu’il en soit, chez LRob, on fait le choix de la transparence. Alors on répond à toutes vos interrogations.
Que s’est-il passé et quelles solutions mettons-nous en œuvre ? Réponses.
Découverte du blacklisting sur AbuseIPDB
Dimanche 13 Octobre, j’ai été alerté par mon client Météo Centre que son site était bloqué par l’antivirus MalwareBytes en version payante (merci à eux pour cette alerte).
Face à cette anomalie, l’urgence est sonnée pour LRob. Que l’on soit Dimanche ou le jour de Noël : j’ai immédiatement vérifié son site qui n’avait aucun souci, puis investigué auprès de MalwareBytes. La cause du blocage a été donnée en 1h seulement (bravo au support MalwareBytes) : l’IPv4 du serveur hébergeant ce site est blacklistée sur AbuseIPDB pour requêtes malveillantes. Mais manifestement, le souci provient d’un autre site.
Coup de cœur pour AbuseIPDB
Toutes les blacklists ne se valent pas (CF : SPFBL), néanmoins, AbuseIPDB est un vrai projet bien fait et sérieux.
Dans cette mauvaise nouvelle, la découverte de cette blacklist communautaire été un coup de cœur : non-seulement celle-ci m’avait permis de détecter une anomalie sur mon serveur, mais il était facile de contribuer. C’est pourquoi LRob a immédiatement rejoint AbuseIPDB pour contribuer à reporter les IP attaquantes et aider la communauté mondiale des sysadmins en retour.
Mais le plus important était cependant de stopper la source des requêtes malveillantes. Alors d’où venaient-elles ?
Une cause inattendue
Bien-sûr, j’ai immédiatement cherché la cause de ces requêtes émanant d’un de mes serveurs. Si c’est un client, cela n’est pas toléré. Si c’est un site piraté, celui-ci devait être coupé et réparé immédiatement… Si c’est une intrusion serveur, c’est gravissime. J’ai donc entamé les recherches et ce que j’ai trouvé à la fois anodin et inhabituel.
Mais récemment, un nouveau site réparé m’a joué un mauvais tour : une récidive. Un site réparé s’est à nouveau fait pirater, ce qui ne m’était encore jamais arrivé sur mes hébergements.
Cela entrant dans la garantie de 90 jours, j’ai donc réparé à nouveau ce site sans aucun frais. Mais les attaques, bien que moins fréquentes, continuaient d’arriver sur AbuseIPDB.
Au bout de 3 jours de recherches de logs infructueuses au cours des journées et soirées, j’ai finalement analysé l’ensemble du trafic réseau sur le serveur (un travail de titan), jusqu’à remonter un des processus (programmes) anormaux lancés en tant que l’utilisateur système de ce site. Eurêka ! Je tiens là la cause originelle du problème.
Comment est-ce possible ?
Je le sais désormais, dès son arrivée, ce site contenait en fait des programmes (pas juste des scripts PHP mais bel et bien des programmes) malveillants, qui ont réussi à s’exécuter dès l’importation du site. Cela signifie que même une fois supprimés, et même avec le site désactivé, les programmes malveillants continuaient de tourner. Les hackers ont donc pu utiliser cela comme vecteur d’attaque même après la réparation du site. Ils ont également pu réécrire des fichiers malveillants, générant la récidive visible.
Comme ces programmes ne tournaient pas directement via le serveur web habituel, mais indépendamment, il était impossible de détecter leur activité via les logs du serveur web, rendant la détection plus difficile (raison pour laquelle aura fallu en dernier recours analyser le trafic réseau, ce qui est inhabituel). D’autant plus que ce type de programme n’est même pas sensé pouvoir s’exécuter et pour cause : la fonction « PHP exec() » qui permet de les lancer est sensée être désactivée… Mais elle ne l’était pas pour ce client en raison d’une configuration spécifique (corrigée depuis). J’avais déjà vu ce souci sur d’autres serveurs et si ça n’avait pas été le mien, j’aurais pensé à regarder directement les process lancés et j’aurais trouvé le souci en 30 minutes… Mais ici, comme cela n’était pas sensé arriver, ça m’a pris 3 jours. Les joies du métier !
La solution immédiate
Tous les process (programmes en cours d’exécution) douteux ont bien-sûr été sauvegardés pour investigation, puis stoppés. Un checkup complet du site a été refait et une vérification manuelle 3x par jour a été mise en place pour s’assurer qu’aucune récidive n’avait lieu.
Situation actuelle
A l’heure où j’écris ces lignes, plus aucune attaque n’est reportée sur AbuseIPDB, mais la blacklist n’a pas encore été levée.
Delisting
La demande de delisting a été effectuée le jour même de la découverte du souci, et peut prendre entre 7 et 10 jours à être levée. C’est lent, et ce serait là le seul défaut d’AbuseIPDB. L’impact de ce blacklisting est heureusement assez faible en attendant cette levée.
Aucun autre site touché
Grâce à l’excellente isolation des sites web appliquée sur mes hébergements, le site piraté était cantonné à lui-même et n’a pas pu avoir d’impact sur les autres sites hébergés.
Des solutions supplémentaires à long terme
L’impact de ce blacklisting est très minime et pour preuve : seul Météo Centre m’a remonté ce souci, car ce site est probablement le plus populaire que j’héberge, ce qui leur permet de rapidement être notifiés de ce type d’informations. Merci encore à eux et à MalwareBytes pour leur réactivité dans la remontée d’informations pertinentes.
Néanmoins, il est possible un jour que certains clients souhaitent la possibilité d’éviter totalement que leur site ne soit hébergé sur une IP blacklistée à cause d’un tiers site web. Pour cela, la solution est l’adresse IP dédiée.
C’est pourquoi prochainement, je vais lancer l’option IP dédiée disponible pour tous les hébergements web LRob.
Cela nécessite quelques préparatifs car l’ajout de multiples IP sur un serveur dédié n’est pas anodin. De plus il faut que j’estime et définisse le prix de l’option. Lorsque l’option sera lancée, chaque client LRob pourra bénéficier d’une IPv4 et IPv6 dédiée s’il le souhaite.
Avec un peu d’imagination, cela pourrait également permettre des migrations de serveur sans changement d’IP, grâce aux « IP Failover » (plus coûteuses mais plus flexibles, elles peuvent être transportées d’un serveur à un autre, tant que le fournisseur de serveur reste inchangé). Cela devrait plaire à mes revendeurs n’ayant pas la main sur la zone DNS de tous leurs clients… !
L’importance de la transparence
Un service où il n’y a jamais aucune anomalie n’existe pas en ce monde. Bien-sûr, j’aurais pu cacher ce souci mineur et un seul client l’aurait remarqué. Mais chez LRob, on fait le choix montrer notre engagement à gérer toute anomalies avec rigueur et dévotion.
La transparence est la base de la confiance. Et je vous remercie pour votre confiance.
Remplacer un wiki par WordPress : une solution plus simple pour la documentation
Chez LRob, la gestion de la documentation est essentielle, mais elle était jusqu’à récemment assurée par MediaWiki. Bien que cet outil soit efficace pour des projets collaboratifs, il devient lourd et compliqué à gérer quand on est seul à rédiger et maintenir la documentation.
C’est en travaillant sur un site WordPress aux nombreuses pages utilisées comme des catégories que l’idée m’est venue : pourquoi ne pas utiliser WordPress pour gérer la documentation, sans plugin supplémentaire ?
Pourquoi passer à WordPress ?
WordPress, qui fait tourner www.lrob.fr, offre déjà toutes les fonctionnalités de base nécessaires pour organiser la documentation, sans avoir à installer de plugin supplémentaire. Voici quelques avantages natifs qui m’ont poussé à faire la transition :
Hiérarchie des pages : Créer des pages et des sous-pages, comme dans un wiki, est très simple grâce à la structure native de WordPress.
Bloc Gutenberg pour l’arborescence : Il existe un bloc permettant d’afficher l’arborescence des sous-pages d’une page parente, facilitant la navigation dans la documentation.
Pour compléter cette configuration, j’ai utilisé RankMath SEO, déjà présent sur lrob.fr, qui m’a aidé à intégrer deux fonctionnalités clés pour un site de documentation :
Breadcrumbs : Un fil d’Ariane pour améliorer la navigation et le référencement.
Sommaire automatique : Un index des titres et sous-titres, idéal pour des pages bien structurées comme dans un wiki.
En prime, le wiki pourra être traduit automatiquement en anglais grâce à TranslatePress et l’API DeepL qui fait des miracles.
La transition vers WordPress
Le 17 Octobre au soir, j’ai donc transféré la documentation sur WordPress. L’éditeur de blocs Gutenberg a rendu le processus facile, en conservant les titres, listes, et liens lors du copier-coller depuis MediaWiki. Ensuite, j’ai mis en place des redirections 301 du wiki vers les nouvelles pages de documentation sur WordPress, puis j’ai désactivé l’ancien wiki.
Ce matin, j’ai profité de cette migration pour réorganiser et améliorer une partie de la documentation, avec une mise en page plus claire et plus moderne, tout en ajoutant des liens internes pour une meilleure navigation.
Un résultat plus simple et efficace
Le passage à WordPress simplifie la gestion de la documentation. Non seulement cela m’a permis d’éliminer les lourdeurs de maintenance de MediaWiki, mais c’est aussi une solution plus flexible et facile à utiliser pour moi, tout en offrant un contenu plus accessible à mes clients.
Grâce à RankMath SEO, la documentation est mieux structurée et plus optimisée pour le SEO, ce qui devrait améliorer sa visibilité en ligne.
Depuis longtemps, je cherchais un moyen d’exploiter efficacement les données de hacking bloquées par mes serveurs. Les tentatives d’intrusion sont permanentes, mais grâce à des systèmes de sécurité tels que Fail2ban, les attaques sont stoppées avant de causer des dommages. Cependant, au-delà de la simple protection de mes systèmes et clients, je souhaitais aller plus loin : partager ces informations et rendre l’internet plus sécurisé pour tous.
Déjà plus de 2000 IP malveillantes reportées en seulement 48 heures !
C’est dans cette optique que LRob a commencé à contribuer au reporting des attaquants via AbuseIPDB, une plateforme qui permet à chacun de signaler des IP malveillantes. En seulement 48 heures, plus de 2000 IP ont déjà été signalées, ce qui montre à quel point cette initiative peut avoir un impact significatif.
Pourquoi reporter les IP malveillantes ?
Les hackers attaquent tout, tout le temps. Que vous soyez une petite entreprise, un particulier ou une grande organisation, vous êtes une cible. Toutefois, même si ces attaques sont incessantes, les ressources des cybercriminels sont limitées. En les identifiant, nous avons une chance de mieux les combattre et de limiter leurs capacités d’action.
Il y a deux principales raisons pour lesquelles reporter les IP malveillantes est crucial :
Identifier et bloquer les attaquants : En reportant ces IP, vous contribuez à la création d’une base de données accessible à tous, facilitant ainsi le blocage de menaces potentielles avant qu’elles n’atteignent d’autres infrastructures.
Informer les hôtes légitimes : Certains hôtes légitimes peuvent être infectés ou détournés à leur insu, servant alors de relais pour des attaques. En signalant ces IP, vous leur donnez une chance de réagir et de corriger la situation.
Le partage d’informations via des plateformes telles qu’AbuseIPDB permet de rendre le web plus sûr, non seulement pour vous, mais aussi pour toute la communauté.
Une API simple pour un reporting efficace
L’une des grandes forces d’AbuseIPDB est sa simplicité d’utilisation. Via une API accessible à tous, il devient très facile de contribuer au signalement des IP malveillantes. En validant votre identité, vous pouvez même augmenter la limite des signalements à 5000 IP par jour, ce qui permet de couvrir un plus large spectre d’attaques.
J’ai donc décidé de mettre en place un système pour automatiser ces reports, et ainsi faire profiter la communauté de mes données de hacks bloqués. Une bannière est désormais visible en bas de mon site LRob.fr, renvoyant directement vers mon profil AbuseIPDB, où chacun peut voir les IP que j’ai signalées (voir mon profil ici).
Automatisation du reporting avec Plesk et Fail2ban
Pour ceux qui, comme LRob, utilisent Plesk pour gérer leurs serveurs, j’ai développé un script permettant de reporter automatiquement les IP malveillantes via l’API d’AbuseIPDB en utilisant les jails de Fail2ban.
Ce script est librement disponible sur GitHub et peut être utilisé par tout sysadmin souhaitant automatiser ce processus. Il suffit de configurer votre clé API et vous êtes prêt à commencer !
Nous avons tous un rôle à jouer pour construire un internet plus sain et sécurisé. Chaque IP signalée est une attaque potentielle en moins pour nos infrastructures, une menace en moins pour les entreprises et les particuliers. Grâce aux efforts conjugués des contributeurs et des plateformes comme AbuseIPDB, nous pouvons réduire l’impact des cyberattaques et rendre le web plus sûr pour tous. 🌐
Alors, que vous soyez un sysadmin expérimenté ou un utilisateur individuel souhaitant contribuer, je vous encourage à rejoindre cette initiative. Ensemble, nous pouvons faire une vraie différence et rendre le web plus sécurisé. 👊
Il est temps de dénoncer une organisation – SPFBL.net – qui, bien qu’elle prétende lutter contre le spam, semble en réalité adopter des pratiques contraires à cet objectif. Au lieu de remplir son rôle, ce prestataire semble profiter de sa position pour mener des pratiques absolument scandaleuses et inacceptables.
Toutes les RBL ne sont pas gérées de manière éthique. L’exemple du jour est celui de SPFBL.net, une RBL brésilienne née en 2015(source MXToolbox), qui est de plus en plus mise en lumière pour ses pratiques largement contestables.
Info : Qu’est-ce qu’une RBL ?
Une RBL (Real-time Blackhole List) est une liste d’adresses IP suspectées d’envoyer du spam ou d’autres contenus malveillants. Les serveurs de messagerie s’appuient sur ces listes pour bloquer ou filtrer les e-mails potentiellement dangereux.
Dans cet article, nous allons décortiquer cette situation et expliquer pourquoi les pratiques de cette entreprise sont non seulement douteuses, mais potentiellement nuisibles à l’ensemble de l’écosystème internet si des administrateurs décident d’utiliser cette RBL. Nous verrons également comment combattre ces pratiques.
L’avis des utilisateurs et fournisseurs de services confrontés à la blacklist SPFBL
Commençons par montrer l’avis général ressortant de cette blacklist. Une rapide recherche sur les moteurs de recherche montre que les forums (en anglais) sont remplis de personnes criant au scandale et à l’arnaque au sujet de SPFBL.net.
Pour avoir contacté leur support (je vous détaille cela ensuite), je serais plutôt de leur avis… Jugez par vous-même.
« I contacted the operator of this spfbl.net and he threatened me with getting my IP’s blocked throughout the internet, how can something like this be allowed to happen. »
« We got flagged because we don’t have a contact email in our whois record (we have privacy turned on for it). Given that google.com also has that, I conclude that these guys are just a scam who want to be paid to have your domain unrestricted. »
Le cas LRob : une blacklist manifestement injustifiée
Le serveur d’infrastructure LRob est un exemple parfait d’un système configuré et géré avec soin depuis plusieurs années. En tant qu’administrateur système de ce serveur, je peux affirmer avec certitude qu’aucun spam n’a jamais été envoyé depuis cette machine. De plus, tous les paramètres essentiels sont correctement mis en place : Hostname, rDNS, MX, SPF, DKIM, et DMARC.
Malgré ces mesures exemplaires de conformité, l’IPv6 du serveur s’est retrouvée sur la liste noire de SPFBL.net.
A domain is considered non-compliant when the WHOIS search result for that domain does not contain the email address of the domain owner. Update the registration data and remove privacy protection for this domain in WHOIS and wait one hour for the cached result of this WHOIS query to expire.
This IP was flagged due to misconfiguration of the e-mail service or the suspicion that there is no MTA at it.
For the delist key can be sent, select the e-mail address responsible for this IP:
add a PayPal user’s email for 2.00 USD.
The rDNS must be registered under your own domain. We do not accept rDNS with third-party domains.
Résumé des échanges avec le support de SPFBL.net
J’ai bien-sûr contacté la RBL pour vérifier si j’avais bien compris leur politique et s’il était possible de discuter en bonne intelligence. Résultat : oui, j’avais bien compris, et non, il ne me semble pas possible de discuter en bonne intelligence avec eux en l’état.
Voici un résumé ChatGPT des échanges par mail :
Demande initiale (Robin) : Robin, administrateur système, a contacté SPFBL pour demander de l’aide concernant la suppression de son adresse IPv6 de leur liste noire DNS. Il souhaitait obtenir des précisions sur les raisons de l’inscription et des conseils pour corriger d’éventuelles mauvaises configurations, suspectant un lien avec la protection de la confidentialité WHOIS.
Réponse (Leandro) : Leandro, de SPFBL, a répondu en demandant à Robin de retirer temporairement la protection de la confidentialité WHOIS afin de pouvoir retirer l’IP via leur outil de suppression en ligne.
Préoccupations (Robin) : Robin a exprimé des inquiétudes quant à l’exigence de retirer la protection de la confidentialité WHOIS, invoquant les réglementations du RGPD. Il a remis en question la nécessité d’exposer des données personnelles, soulignant qu’aucun rapport d’abus n’avait été émis sur son domaine.
Explication (Leandro) : Leandro a expliqué que leur système utilisait les données du propriétaire du domaine pour prédire le spam et associer des domaines sous le même titulaire. Il n’a pas fourni d’autres justifications pour cette politique.
Objection (Robin) : Robin a contesté l’utilité des informations WHOIS pour évaluer le comportement d’une IP, qualifiant la politique de SPFBL de contre-productive. Il a réitéré que son IP ne présentait aucun risque et a demandé sa suppression de la liste noire.
Options (Leandro) : Leandro a proposé deux options pour la suppression : retirer temporairement la protection WHOIS ou payer des frais.
Réponse ferme (Robin) : Robin a fermement rejeté les deux options, qualifiant cette pratique de malhonnête et assimilable à une escroquerie. Il a souligné que son IP était conforme et a menacé de prendre des mesures légales si le problème n’était pas résolu.
Réponse finale (Leandro) : Leandro a rejeté les menaces légales de Robin, affirmant que SPFBL respecte les lois américaines et l’invitant à poursuivre toute action légale qu’il jugerait appropriée.
Dernier avertissement (Robin) : Robin a rappelé que l’internet est un système global et qu’aucune localisation ne justifie de nuire à des entreprises légitimes à travers des pratiques éthiques douteuses. Il a confirmé son intention de prendre les mesures nécessaires, en précisant que ses contacts identifieraient les autorités locales compétentes si nécessaire.
Ces échanges ont eu lieu entre le 8 et le 9 septembre 2024.
Par ailleurs, je dispose d’un log qui montre qu’ils ont tenté d’envoyer un mail à une adresse inexistante pour test, pouvant vérifier par eux-même la bonne configuration du serveur qui a donc rejeté ce mail :
Oct 9 14:55:13 ds postfix/smtpd[899530]: connect from matrix.spfbl.net[54.233.253.229]
Oct 9 14:55:14 ds postfix/smtpd[899530]: NOQUEUE: reject: RCPT from matrix.spfbl.net[54.233.253.229]: 550 5.1.1 <inexistent-feature-check-192715907d9@lrob.net>: Recipient address rejected: User unknown in virtual mailbox table; from=<admin@spfbl.net> to=<inexistent-feature-check-192715907d9@lrob.net> proto=ESMTP helo=<matrix.spfbl.net>
Oct 9 14:55:14 ds postfix/smtpd[899530]: disconnect from matrix.spfbl.net[54.233.253.229] ehlo=1 mail=1 rcpt=0/1 quit=1 commands=3/4
Oct 9 14:55:14 ds psa-pc-remote[2023328]: Message aborted.
Le cas SPFBL.net : une pratique abusive
Le cas de SPFBL.net met en lumière des pratiques alarmantes qui vont à l’encontre de la protection des données et des standards éthiques que de nombreuses autres RBL respectent.
En particulier, cette RBL blacklist des IP selon des critères abusifs, puis impose des conditions très problématiques pour le délistage d’adresses IP.
Décortiquons les « règles pour un délistage gratuit » selon la politique affichée sur leur site le 9 Septembre 2024, qui nous informe également sur les raisons possibles au blacklistage initial :
Only IP with rDNS pointing to the same mail server IP will be accepted, with FCrDNS validation;
❌ Ce critère est certes standard, mais cette vérification devrait être effectuée par le serveur destinataire de l’e-mail, pas par une RBL, qui ici n’apporte aucune valeur ajoutée.
The rDNS must be in the domain of the MTA administrator, so third-party domains such as the generic rDNS of the data-center or ISP will not be accepted, and its TLD cannot be free and must have a public and accessible WHOIS without privacy obfuscation;
❌ L’administrateur peut très bien infogérer les mails d’un tiers, comme dans mon cas où le MTA est « lrob.net » et l’administration est faite via « lrob.fr ». Cela ne devrait pas justifier un blocage. ❌ Bloquer les rDNS génériques peut être une bonne pratique, mais cela relève du serveur destinataire, pas d’une RBL. ❌ Exiger un WHOIS public contrevient au RGPD en Europe. Le droit d’envoyer des mails ne devrait pas dépendre de la visibilité des informations personnelles dans le WHOIS.
The postmaster account must be configured for the domain registered on the rDNS and the account must be active and responding;
❌ Les rDNS sont souvent des sous-domaines techniques, comme « ds.lrob.net ». Avoir une adresse e-mail du type « postmaster (at) ds.lrob.net » n’a aucun sens. Le postmaster peut être contacté via d’autres canaux plus appropriés, comme un formulaire de contact ou une adresse principale.
If you are using an IPv6 with SLAAC flag, you must keep port 25 opened to proof the existence of an active SMTP service and
❌ Bien que le serveur doive effectivement écouter sur le port 25 pour assurer le bon fonctionnement du SMTP, c’est encore une fois au serveur destinataire de vérifier cela, pas à une blacklist de le contrôler.
Reputation of IP should be below 25% of negative points per total send volume
✅ Ce critère est cohérent avec le principe même d’une RBL, qui évalue la réputation d’une adresse IP en fonction de son comportement réel.
Voyons aussi les conditions payantes :
Only static IPs with configured mail server reverse, even if FCrDNS is invalid;
❌ Sous prétexte de payer, on permettrait d’avoir un rDNS invalide, ce qui est contraire aux normes de configuration des e-mails. C’est un contournement des bonnes pratiques, qui pourrait permettre l’envoi de courriers mal configurés.
A PayPal account is required for the email address of this account to be assigned to the IP, as responsible for the abuse;
❌ Forcer l’utilisation de PayPal pour attribuer une adresse IP à un compte est une restriction injustifiée. Cela limite les options des utilisateurs et n’a aucune raison légitime dans un cadre technique.
The PayPal user must agree to have their email address shown publicly on this platform as responsible for the abuses of that IP and
❌ Exposer publiquement l’adresse email associée au compte PayPal est une atteinte à la vie privée et peut entraîner des risques de harcèlement ou d’abus. Cela va clairement à l’encontre des principes de confidentialité.
Reputation of IP should be below 25% of negative points per total send volume.
✅ Ce critère est acceptable et s’aligne avec le principe d’évaluation de la réputation d’une adresse IP sur la base de son comportement effectif, comme attendu d’une RBL.
En somme, cette blacklist me semble tenter de réinventer la roue avec des règles de blocage qui ne font strictement aucun sens d’un point de vue technique.
Quand aux conditions de délisting, même dans sa version payante, les conditions restent abusives. De mon point de vue, cela devrait déjà, à ce stade, avoir dissuadé tout sysadmin d’utiliser cette RBL.
Le but semble bien-sûr être de faire du profit sur le dos des utilisateurs tout en récupérant des données personnelles.
Résumé des problèmes de SPFBL.net
Plusieurs problèmes majeur remettent en question le bienfondé de leurs pratiques et leur impact négatif sur les entreprises légitimes.
Voici les principaux points à retenir :
Exposition des données privées WHOIS SPFBL.net exige que les administrateurs retirent la protection de leur WHOIS pour être retirés de leur liste noire. Cela signifie que des informations personnelles et sensibles, comme l’adresse email du propriétaire du domaine, doivent être publiquement accessibles pour que l’adresse IP ne soit plus blacklistée. En Europe, cette demande est en totale contradiction avec le RGPD (Règlement Général sur la Protection des Données), qui garantit la protection des données privées des utilisateurs. Les informations contenus dans le WHOIS sont privées par défaut depuis plusieurs années. Cette exigence exposerait les administrateurs système et les entreprises à des risques d’abus ou de spams ciblés, ce qui est contraire aux bonnes pratiques en matière de sécurité et de confidentialité.
Paiement pour la délistage En plus de la suppression de la protection WHOIS, SPFBL.net propose également une alternative : payer 2 dollars pour retirer une adresse IP de la liste noire. Cette pratique est perçue par beaucoup comme une forme de chantage. Exiger un paiement pour rétablir la légitimité d’une adresse IP, alors qu’il n’y a aucune preuve d’activité suspecte ou malveillante, remet en question la transparence de leurs opérations. Cette approche pousse probablement de nombreuses entreprises légitimes à payer simplement pour éviter les désagréments causés par le blacklistage.
Un modèle de détection inefficace Regrouper les domaines en fonction des informations WHOIS ignore les réalités du web moderne, où de nombreuses entreprises légitimes utilisent des infrastructures partagées, hébergées par des fournisseurs comme Google ou OVH. En conséquence, des adresses IP pourraient être injustement blacklisted simplement parce qu’elles partagent un propriétaire de domaine avec d’autres utilisateurs, sans considération pour leur comportement réel.
Un impact potentiel très grave
Les conséquences de ces pratiques sont nombreuses et graves pour l’écosystème internet :
Impact sur les entreprises : Lorsqu’une adresse IP est bloquée à tort, cela peut affecter la capacité d’une entreprise à communiquer par e-mail avec ses clients, partenaires ou prestataires. Les erreurs de détection ou les exigences abusives peuvent ainsi perturber le bon fonctionnement d’une entreprise.
Chantage et extorsion : Demander de l’argent pour supprimer une adresse IP d’une liste noire sans preuve d’activité malveillante s’apparente à de l’extorsion. Cette approche nuit gravement à la confiance entre les fournisseurs de services internet et leurs clients.
Violation de la confidentialité : En demandant la suppression de la protection WHOIS, SPFBL.net viole les principes fondamentaux de la protection des données personnelles, particulièrement en Europe, où le RGPD (Règlement Général sur la Protection des Données) protège les informations privées des utilisateurs. En exposant ces données, SPFBL.net expose les administrateurs système et les entreprises à des risques d’abus.
Que faire en tant que fournisseur de services sur internet ?
1. Cessez d’utiliser cette RBL immédiatement
Nous devons tous enjoindre nos relations chez les grands fournisseurs de services à ne surtout PAS utiliser cette RBL.
Il est absolument indispensable que les fournisseurs de services internet cessent d’utiliser SPFBL.net et d’autres RBL qui ne respectent pas les standards éthiques. Une autre RBL de ce type est également UCEPROTECT qui blacklist des blocks d’IP complets et demande ensuite de l’argent à chacun des usagers des IP pour les débloquer.
L’utilisation d’une RBL douteuse peut entraîner des conséquences néfastes pour les utilisateurs finaux, les entreprises et l’ensemble de l’écosystème numérique.
Il existe de nombreuses alternatives respectables qui se concentrent sur la détection des activités malveillantes en se basant sur des comportements réels, et non sur des informations privées ou des regroupements arbitraires de domaines. Les administrateurs système doivent rester vigilants et choisir des solutions qui respectent la vie privée et qui suivent des pratiques équitables et transparentes.
2. Ne cédez pas
Si comme moi vous êtes victime de cette RBL et estimez que ces pratiques sont abusives, ne cédez surtout pas aux prérequis scandaleux de cette RBL. Au contraire, battez-vous à mes côtés.
3. Dénoncez ces pratiques aux autorités compétentes
Faites jouer vos relations pour que cela remonte aux CSIRT français (Computer Security Incident Response Team), à l’ANSSI mais également à la CNIL pour non respect de la RGPD. Si vous avez des contacts au niveau européen, relayez l’info. Si vous êtes en dehors de France ou d’Europe, contactez les organismes à votre portée, et n’hésitez pas à vous appuyer sur cet article pour expliquer le problème.
Si vous n’avez pas de contact mais que vous comprenez l’enjeu, relayez également l’info à des personnes du domaine de l’hébergement et du sysadmin web.
Conclusion
L’affaire SPFBL.net est un exemple flagrant des dangers des pratiques douteuses de certaines RBL.
On comprend que celui qui se prétend combattre les « méchants » n’est pas toujours « gentil » lui-même.
Pour protéger l’intégrité de l’internet et le respect des utilisateurs, il est impératif que les fournisseurs de services internet cessent d’utiliser cette RBL et privilégient les solutions plus respectueuses disponibles.
Confrères sysadmin : ne cédez surtout pas aux prérequis grotesques de cette RBL.
LRob ne cèdera pas, cet article marque d’ailleurs le début d’une lutte qui ne s’arrêtra qu’une fois que la communauté aura eu gain de cause. Cela est possible, en contactant les bonnes personnes. Et vous pouvez aider à ce combat.
Si vous êtes confronté aux pratiques abusives de SPFBL.net, rejoignez-nous pour dénoncer ces actions et protéger l’intégrité de l’écosystème internet. Contactez les autorités compétentes, partagez cette information dans vos réseaux professionnels, et refusez de céder à ces pratiques déloyales.
Le monde de WordPress, qui alimente plus de 40 % des sites web dans le monde, est en pleine ébullition. Au centre du conflit se trouvent deux acteurs majeurs de l’écosystème : Matt Mullenweg, fondateur de WordPress et CEO d’Automattic, et WP Engine, une des principales entreprises d’hébergement pour WordPress.
Cet affrontement, qui a pris des proportions juridiques, soulève des questions cruciales sur le contrôle de la marque WordPress, l’open source, et la gouvernance de l’un des projets les plus influents du web. Voici une analyse détaillée de cette affaire et des enjeux qu’elle représente.
Contexte : WordPress et WP Engine
WordPress et Automattic : une relation complexe
WordPress, lancé en 2003 par Matt Mullenweg et Mike Little, est un logiciel open source permettant de créer et gérer des sites web. Il est gratuit et bénéficie du soutien d’une large communauté de développeurs qui contribuent à son amélioration continue. Cependant, la gouvernance du projet repose en grande partie sur Automattic, la société fondée par Mullenweg. Automattic gère notamment WordPress.com et d’autres produits populaires comme WooCommerce et Jetpack.
Bien que WordPress soit open source, Automattic détient une licence exclusive pour l’utilisation de la marque WordPress, ce qui donne à l’entreprise un rôle central dans l’écosystème. Cela inclut la protection de la marque contre des utilisations perçues comme abusives ou trompeuses.
WP Engine : un gros acteur de l’hébergement WordPress
De son côté, WP Engine est l’un des plus grands services d’hébergement spécialisés dans WordPress. L’entreprise propose des solutions d’hébergement optimisées pour WordPress, facilitant la gestion des sites web pour des millions d’utilisateurs. Elle a connu une croissance rapide, attirant des investisseurs de premier plan comme Silver Lake.
Cependant, WP Engine n’est pas directement affilié à Automattic ni à la WordPress Foundation, bien que son nom et son modèle économique soient étroitement liés à WordPress.
Le Début du Conflit : Mullenweg vs WP Engine
En septembre 2024, Matt Mullenweg a publié un billet de blog dans lequel il critiquait ouvertement WP Engine, qualifiant l’entreprise de “cancer pour WordPress”. Il reprochait à WP Engine de désactiver par défaut la fonctionnalité d’historique des révisions des articles, une pratique qui, selon lui, compromettait la protection des données des utilisateurs.
Mullenweg a également dénoncé l’utilisation par WP Engine de la marque “WP”, estimant que cela créait une confusion chez les utilisateurs, leur faisant croire que WP Engine faisait partie de WordPress ou avait un lien officiel avec la WordPress Foundation.
La Réaction de WP Engine
Face à ces accusations, WP Engine a répliqué en envoyant une lettre de cessation et de désistement à Mullenweg et à Automattic, exigeant qu’ils retirent leurs déclarations. WP Engine a défendu son utilisation de la marque « WP », affirmant que cela relevait de l’usage loyal du nom, conformément à la loi sur les marques. La société a également accusé Mullenweg d’avoir menacé d’adopter une “approche nucléaire” contre WP Engine à moins qu’elle n’accepte de payer une redevance substantielle pour l’utilisation de la marque WordPress.
L’escalade juridique : cessez-le-feu et contre-attaques
En réponse à la lettre de WP Engine, Automattic a émis sa propre lettre de cessation et de désistement, affirmant que WP Engine violait les règles d’utilisation des marques WordPress et WooCommerce.
Le conflit a atteint un nouveau sommet lorsque Mullenweg a pris la décision radicale de bannir WP Engine des ressources de WordPress.org. Ce ban a bloqué les sites hébergés sur WP Engine de l’accès aux mises à jour des plugins et des thèmes, exposant de nombreux sites à des risques de sécurité. Cette mesure a été largement critiquée au sein de la communauté WordPress, car elle a laissé de petites entreprises et des sites indépendants sans solution viable.
WP Engine a dénoncé cette décision, accusant Mullenweg d’abus de pouvoir et de mettre en danger l’ensemble de l’écosystème WordPress.
Matt Mullenweg, CEO of Automattic, has misused his control of WordPress to interfere with WP Engine customers’ access to https://t.co/ZpKb9q4jPh, asserting that he did so because WP Engine filed litigation against https://t.co/erlNmkIol2. This simply is not true. Our Cease &…
L’interruption des services WP Engine a eu un impact majeur sur de nombreux utilisateurs. Bien que les plugins et thèmes WordPress soient sous licence open source, les hébergeurs comme WP Engine doivent gérer des infrastructures pour que leurs clients puissent les utiliser. Le ban temporaire a révélé la fragilité de certaines dépendances techniques et a mis en lumière l’importance d’une gestion équilibrée des ressources open source.
Mullenweg a toutefois affirmé que le conflit était strictement lié à des questions de marques et non à la gestion globale de WordPress. Le ban a été levé temporairement à la fin du mois de septembre, mais l’incident a semé des doutes dans la communauté.
Automattic trop dominant ?
De plus en plus de voix s’élèvent pour questionner la position dominante d’Automattic dans la gestion de WordPress. John O’Nolan, fondateur du CMS open source Ghost, a critiqué la centralisation excessive autour de Matt Mullenweg, affirmant que “40 % du web ne devrait pas être contrôlé par une seule personne”.
De son côté, David Heinemeier Hansson, créateur de Ruby on Rails, a accusé Automattic de trahir les principes de l’open source en demandant à WP Engine de reverser 8 % de ses revenus. Pour lui, cette pratique pourrait avoir des répercussions bien au-delà de WordPress, menaçant l’ensemble de la communauté open source.
Les implications juridiques et commerciales
Le 3 octobre 2024, WP Engine a décidé de passer à l’offensive en déposant une plainte contre Automattic et Mullenweg pour abus de pouvoir et pratiques anticoncurrentielles. WP Engine accuse Automattic de ne pas avoir respecté ses engagements envers l’open source et de nuire aux intérêts des développeurs et des utilisateurs.
Cette affaire est encore en cours, mais elle pourrait avoir des répercussions profondes sur la manière dont les marques et projets open source comme WordPress sont gérés à l’avenir.
Un message spécial à la connexion sur WordPress.org
Lors du login aux forums de WordPress.org, une nouvelle case à cocher est apparue :
✅ I am not affiliated with WP Engine in any way, financially or otherwise.
Message inhabituel qui m’a poussé à rechercher cela et à découvrir cette affaire.
Questions soulevées pour WordPress
Cela touche essentiellement deux grandes entreprises américaines qui font une exploitation commerciale de WordPress (dans des modèles à mon avis trop modifiés de la version originale de WordPress). Version originale de WP qui est vraiment libre et que vous pouvez héberger où vous le souhaitez (et on l’espère, vous choisirez un hébergement LRob).
Les hébergeurs indépendants tels que LRob, sommes pour l’heure totalement à l’abri de ce conflit. Pas de sonnette d’alarme pour nous, même si l’on reste vigilants.
Ce conflit souligne en tout cas les tensions possibles lors d’une gestion de projet open source à grande échelle. Alors que WordPress reste une technologie essentielle pour des millions de sites, ce débat autour de la propriété des marques, de la gouvernance et de l’éthique de l’open source, soulève des questions.
En particulier : Jusqu’où l’open source peut-il rester libre quand il est étroitement lié à des intérêts commerciaux massifs ?
Une quadruple faille de sécurité critique vient d’être découverte dans CUPS pour l’ensemble des systèmes GNU/Linux. Cet article sera mis à jour avec les nouvelles informations, pour vous offrir un résumé simple et efficace de ce qu’il faut savoir et des mesures à prendre.
MAJ 29/09/2024 : Ces failles concernent bien uniquement CUPS, donc très peu de serveurs sont touchés, à moins que vous n’ayez des imprimantes en datacenter… ! Cet article a donc été réécrit en conséquence.
Une faille critique : qu’est-ce qu’on sait ?
Le chercheur en sécurité Simone Margaritelli, a découvert cet ensemble de failles début septembre.
Cela concerne CUPS, le service d’impression de Linux. Le chercheur met en lumière une possible exécution de code à distance (Remote Code Execution, ou RCE) sans authentification. Cela signifie que des attaquants pourraient potentiellement exécuter des commandes sur des machines distantes sans avoir à s’identifier, ce qui rend la faille particulièrement dangereuse. Le score CVSS attribué à ces failles est situé entre 8.3 et 9.0/10 (après avoir été évalué à 9.9).
Le 26 Septembre, Naïm Aouaichia, ingénieur cybersécurité nous alertait en indiquant avant tout le monde que cela pourrait concerner CUPS :
« Certaines rumeurs évoquent que cette faille serait liée à des vulnérabilités dans CUPS, le service d’impression. Oui, vos imprimantes sont peut-être au centre de tout ça. À confirmer.
D’après certaines hypothèses, le problème pourrait être lié à un buffer overflow ou à une race condition. »
Cela ne concerne donc pas les serveurs dédiés sous firewall et/ou avec un service d’impression non lancé. Pour les administrateurs locaux utilisant CUPS, restez bien attentifs.
Un problème qui date
Cette vulnérabilité a la peau dure, puisqu’elle a été présente dans les systèmes GNU/Linux pendant plus d’une décennie. Elle affecte toutes les distributions Linux, y compris Debian, Ubuntu, RedHat et autres.
Malgré l’importance de cette faille, il n’existe pour l’instant aucune correction disponible. Les développeurs continuent de débattre pour savoir quels aspects de la faille affectent réellement la sécurité, ce qui retarde la mise en place d’un correctif.
Processus de divulgation
Le chercheur Margaritelli, à l’origine de cette découverte, a travaillé sans relâche pendant trois semaines pour alerter la communauté open source et aider à la coordination des efforts de correction. Cependant, il a rencontré de nombreuses résistances de la part des développeurs, certains étant réticents à accepter l’existence de cette faille dans leur code. Cela souligne les défis auxquels est confrontée la gestion des vulnérabilités dans le monde open source.
Certains l’accusent de vouloir augmenter sa cote de popularité. Mais il faut se rendre à l’évidence : Le chercheur a bel et bien découvert une grosse faille que tout le monde ignorait depuis plus de 10 ans.
Canonical (Ubuntu) et RedHat ont confirmé la gravité de la situation et travaillent activement à une solution. La divulgation complète des détails techniques de la faille est prévue le 6 octobre, ce qui augmente la pression pour qu’un correctif soit publié rapidement.
La roadmap est la suivante :
30 Septembre : Divulgation initiale à la mailing list de sécurité « Openwall »
6 Octobre : Révélation publique avec tous les éléments de la vulnérabilité
Pourquoi c’est compliqué de corriger la faille ?
Margaritelli a indiqué dès le début qu’il faudrait probablement au moins trois à six identifiants CVE (Common Vulnerabilities and Exposures) pour couvrir tous les aspects du problème. Cela signifie qu’il y a plusieurs vecteurs d’attaque potentiels, chacun nécessitant une analyse et une résolution spécifiques.
Quels sont les risques pour vous ?
De ce que l’on sait désormais, il faut absolument éviter d’exposer vos services IPP sur internet (port 631 à bloquer au niveau des firewalls).
Bien que cette faille soit critique, elle n’est pas si facilement exploitable. Elle nécessite un haut niveau d’expertise technique, ce qui signifie que, pour l’instant, seuls des attaquants très qualifiés pourraient s’en servir. Les détails de la faille ne sont sont pas encore publics, limitant donc son impact. Mais cela ne doit pas vous rendre complaisant. Il faut rester vigilant, car une fois la divulgation complète effectuée, les tentatives d’exploitation vont se multiplier.
Que faire en attendant ?
Dans l’attente d’un correctif officiel, voici les bonnes pratiques à adopter pour limiter les risques :
Surveillez les annonces officielles : Restez informé des mises à jour de sécurité publiées par votre distribution Linux. Ces annonces vous indiqueront quand un correctif est disponible.
Renforcez la configuration de vos firewalls : Assurez-vous que vos serveurs ne sont pas exposés inutilement à Internet. Restreignez les accès aux ports essentiels et surtout, n’exposer pas le port 631 !
Limitez l’exposition des services : Réduisez au minimum le nombre de services qui écoutent publiquement en coupant les services inutiles ou en les faisant écouter sur 127.0.0.1.
Préparez-vous pour un déploiement rapide : Dès qu’un correctif est publié, soyez prêt à l’installer immédiatement pour protéger vos machines.
Cette faille RCE est sans doute une des plus graves découvertes dans l’écosystème GNU/Linux depuis longtemps. Cependant, il est important de ne pas céder à la panique. Aucun système n’est exempt de failles et Linux reste le système d’exploitation le plus fiable et sécurisé. Il faut se rappeler que la plupart des serveurs n’ont pas de service CUPS en route, mais si c’est le cas, alors faites particulièrement attention. En adoptant les mesures de sécurité recommandées et en restant à l’écoute des annonces officielles, vous pouvez minimiser les risques. Le monde open source, réagit généralement rapidement et saura certainement surmonter cette épreuve efficacement, malgré les divergences internes inhérentes au travail collaboratif.
Gardez un œil sur les correctifs à venir et assurez-vous que vos systèmes sont prêts à les recevoir. La sécurité informatique est un défi permanent, mais en restant proactif, vous vous assurez que vos serveurs et vos clients WordPress restent protégés.
Chez LRob, on suit ça de très près, et si les serveurs ne sont pas affectés, je vous garantis qu’on corrigera quand même cette faille mondiale à l’instant où le patch sera disponible.
Enfin, on rappelle à ceux qui vont arguer que « Linux n’est pas sécurisé » un petit comparatif Linux VS Microsoft.
Comparatif des failles de sécurité Linux VS Microsoft sur 1 anComparatif des failles de sécurité Linux VS Microsoft sur 11 ans
En vérité : la sécurité à 100% n’existe jamais, quiconque prétend le contraire est un menteur ou un ignorant ! Laissez donc le dogmatisme de côté. Personne n’est épargné par les failles, il s’agit donc de faire au mieux et de rester vigilant pour rendre les intrusions les plus difficiles possibles.
Imaginez le drame : seulement 1 chance sur 10 que vos demandes vous parviennent !
Les formulaires de contact sont indispensables pour acquérir des clients. Pourtant, un certain nombre de ces formulaires sont mal configurés et échouent à faire parvenir les demandes des prospects…
De plus, les formulaires sont sensés être faits pour vous faire gagner du temps… Et quelques astuces peuvent vous y aider… Par exemple en ne recevant pas de spam ou en pouvant répondre plus rapidement.
Aujourd’hui, LRob vous fait gagner du temps et des prospects !
1. Ne mettez pas l’adresse email du client en expéditeur (From)
L’erreur la plus fréquente lors de la configuration des formulaires de contact est de considérer le client comme l’expéditeur du mail.
Il peut sembler logique de mettre son adresse email dans le champ « From », mais cela provoque un problème majeur : le mail spoofing, ou usurpation d’identité.
En procédant ainsi, votre site web se fait passer pour l’adresse email de votre client (par exemple : john.doe@microsoft.com). Si le domaine de votre client est bien sécurisé (ce qui est souvent le cas), il refusera que votre serveur envoie un email en son nom. Le message sera donc bloqué silencieusement par votre fournisseur email, ou considéré comme du spam… 9 chances sur 10 que vous soyez considéré comme un spammeur.
La solution est très simple : l’expéditeur du mail doit toujours être une adresse liée à votre propre domaine. Par exemple, utilisez une adresse telle que : site@votredomaine.fr. Cela garantit que les emails envoyés à partir de votre formulaire ne seront pas rejetés ou classés comme spam.
2. Protégez vos formulaires avec un Captcha
N’oubliez pas d’ajouter un Captcha pour éviter les spams.
Le Captcha n’est pas là juste pour embêter le monde : c’est une solution simple et efficace pour filtrer les robots et préserver la qualité des messages reçus.
Sans cette protection, vous allez recevoir des dizaines voire des centaines de messages non sollicités par jour, ce qui vous fera perdre du temps à trier, en plus de manquer les vraies demandes.
Pour respecter la vie privée de vos usagers, je conseille hCaptcha.
3. Configurez SMTP sur votre site
Votre site web devrait avoir une adresse mail dédiée avec un vrai login SMTP pour vos envois. Pour rappel, SMTP est le protocole standard d’envoi email.
Si vos mails sont chez Gmail ou Microsoft, cela va être plus compliqué à appliquer car vous payez à chaque boîte mail et SMTP est désactivé par défaut… Mais s’ils sont chez votre hébergeur favori alors aucun souci !
Les envois par défaut via la fonction php mail() sont parfois désactivés pour éviter les envois involontaires de mails et ainsi préserver la réputation des serveurs (bloqué par défaut chez LRob, autorisé au cas par cas).
Cela assure que l’envoi se fasse depuis un vrai serveur email plutôt que depuis le serveur du site web, lorsque ces deux serveurs sont distincts.
SMTP va améliorer la délivrabilité des mails grâce à des « headers » email (des méta-informations) généralement plus propres que php mail().
En cas de problème avec le formulaire (envoi massif de spams par exemple), SMTP permettra de limiter les envois à un quota horaire.
En cas de souci de délivrabilité quelconque, si votre hébergeur fournit du support pour cela (c’est le cas de LRob), les envois SMTP sont bien plus facilement traçables dans les logs, ce qui simplifie le diagnostic.
En résumé, utiliser SMTP n’a que des chances d’améliorer votre délivrabilité et d’éviter les problèmes. Utilisez-le !
4. Vérifiez la délivrabilité de vos emails du formulaire
Assurez-vous que vos messages sont bien reçus en effectuant des tests avec des outils comme mail-tester.com.
Mail-Tester vous permet de mesurer la qualité de vos envois.
Mettez l’adresse mail s’affichant à la visite de mail-tester.com en destinataire du formulaire, faites votre test, puis vérifiez le score.
Un score supérieur ou égal à 9/10 est recommandé pour garantir la bonne réception des demandes. Ce score devrait également être atteint lors de vos envois email classiques. Si ce n’est pas le cas, contactez votre hébergeur email pour plus d’infos (ou venez vous héberger chez LRob !).
5. Faites vos tests en navigation privée
Lorsque vous testez vos formulaires de contact, faites-le en navigation privée.
Si vous êtes connecté à votre site, certaines fonctionnalités comme le Captcha peuvent être désactivées, pour ne citer que ça. Cela pourrait fausser vos tests et vous donner une impression erronée de la qualité de votre formulaire.
6. Utilisez une adresse destinataire liée à votre domaine
Assurez-vous que l’adresse de réception (destinataire du formulaire) appartient bien à votre domaine (vous@votredomaine.fr) et qu’elle n’est pas redirigée vers une autre adresse.
En cas de problème avec votre formulaire, par exemple si vous recevez du spam via le formulaire et que le destinataire est un grand fournisseur de messagerie (Gmail, Orange, Yahoo, etc.), vous pourriez être considéré comme spammeur.
Utiliser votre propre domaine en destinataire du formulaire vous permet donc de protéger votre e-réputation et de réduire les risques de blocage ou de mauvaise gestion des emails par les fournisseurs de messagerie.
7. Évitez les emails de confirmation
Envoyer un email de confirmation peut sembler être une bonne idée, mais il faut s’en méfier.
Si ce message contient le texte soumis par l’utilisateur, votre formulaire peut alors être exploité par des personnes malveillantes pour envoyer du spam à n’importe quelle adresse mail via votre site. Même si le texte n’est pas repris, cela peut quand même générer des mails non sollicités vers des tiers, ce qui n’est jamais bon.
Cela peut donc ternir la réputation de votre domaine et vous exposer à des sanctions. Préférez donc éviter cette pratique.
8. Utilisez le champ « Reply-To » pour faciliter vos réponses
Même si vous ne devez pas mettre l’adresse email du client dans le champ « From », vous pouvez cependant l’ajouter dans le champ « Reply-To ».
Ainsi, vous pourrez directement répondre au mail du formulaire : l’adresse email de votre prospect sera automatiquement le destinataire de votre mail.
Une solution simple et efficace pour gagner du temps !
9. Sauvegardez les demandes sur le site
Envisagez de sauvegarder les demandes du formulaire en base de données du site.
Des plugins WordPress comme « Contact Form 7 Database Addon » permettent cela gratuitement. Vous pourrez alors vérifier de temps en temps que vous n’avez pas loupé une demande.
Pour aller plus loin…
Si vous avez des doutes sur la configuration de vos formulaires, ou si vous souhaitez un audit personnalisé, n’hésitez pas à me contacter.
Aussi, le conseil relatif à la délivrabilité email est inclus dans le support LRob pour tous les clients.
Je n’ai plus qu’à vous souhaiter une belle réussite avec des formulaires au top désormais ! 💪
💥Nouvelles offres & jusqu’à -30% en Septembre 💥 De quoi booster sa rentrée ! Tous les détails 👇
En septembre, les adultes font aussi leur rentrée !
Et ça fait pile 1 an que j’ai quitté mon CDI pour me focaliser totalement sur l’activité LRob. Alors il faut marquer le coup.
Le planning de septembre est chargé, donc allons à l’essentiel.
⭐ Nouveautés ⭐
🟢 La migration vers LRob peut désormais être commandée depuis le portail LRob ! Avec 3 niveaux de service disponibles de 120 à 499€ (le dernier permet la migration de 50 boîtes mail de nuit !). 😎
🟢 Les offres de webmastering ont évolué pour plus de flexibilité. Choisissez désormais l’hébergement et le niveau de webmastering souhaité séparément. Dans certains cas, cela peut faire de belles économies. 🔀
🟢 L’offre WP ArticlePro AI se simplifie, à tarif réduit pour Septembre ! La relecture, amélioration, mise en page de vos articles, avec désormais 2 images incluses, des options multilingue : à partir de 30€/article (au lieu de 40€) ! 🤖
Un décret du 30 Mai 2024 fixe depuis le 1er Juillet l’augmentation des cotisations pour 2025 pour les BNC (et Cipav). Pour une meilleure protection sociale. Auto-entrepreneurs (et EI) : préparez-vous.
Comme indiqué dans cette première actualité :
Cela concerne les auto-entrepreneurs affiliés au régime général de la Sécurité sociale et déclarant leur chiffre d’affaires dans la catégorie des BNC. Il s’agit de garantir leurs droits à la retraite complémentaire.
Un mail de l’URSSAF ce 28 août informe de l’évolution du taux global de cotisations.
Dérouler pour voir le mail
Bonjour,
Vous êtes auto-entrepreneur artisan-commerçant ou en profession libérale non réglementée et vous déclarez votre chiffre d’affaires en bénéfices non commerciaux (BNC).
Ainsi, chaque mois ou chaque trimestre, vous payez des cotisations et contributions sociales calculées selon un taux global de cotisations appliqué à votre chiffre d’affaires.
Nous vous informons que depuis le 1er juillet 2024, ce taux global de cotisations de 21,1 % augmente sur trois ans, de façon progressive, comme indiqué sur ce tableau (hors bénéficiaires de l’Acre et auto-entrepreneurs exerçant en outre-mer), selon le calendrier suivant :
Année
Période
Taux global
2024
du 1er juillet au 31 décembre 2024
23,1 %
2025
du 1er janvier au 31 décembre 2025
24,6 %
2026
à compter du 1er janvier 2026
26,1 %
Pourquoi votre taux augmente-t-il?
Votre taux augmente pour vous permettre d’acquérir des droits à la retraite complémentaire des travailleurs indépendants et de bénéficier ainsi d’une protection sociale renforcée.
Qu‘est-ce que la retraite complémentaire des travailleurs indépendants?
La retraite complémentaire des travailleurs indépendants est un complément essentiel à votre retraite de base. En payant chaque mois ou chaque trimestre vos cotisations, vous cumulez des points, qui seront convertis en droits retraite le moment venu.
Vous bénéficiez de l‘Acre ou vous exercez votre activité en outre-mer?
Si vous êtes bénéficiaire de l’Acre ou si vous exercez votre activité en outre-mer, nous vous invitons à consulter votre nouveau taux de cotisations sur les pages L’essentiel du statut – Autoentrepreneur.urssaf.fr.
Bon à savoir
Pour vos droits à la retraite complémentaire avant le 1er juillet 2024, un dispositif, en cours de définition par les pouvoirs publics, sera mis en place afin de vous permettre, si vous le souhaitez, de cotiser de manière rétroactive et ainsi d’acquérir des droits.
Une question?
Vous retrouverez toute l’information utile concernant :
🟢 2024, du 1er juillet au 31 décembre 2024 : 23,1 % 📈 2025, du 1er janvier au 31 décembre 2025 : 24,6 % 📈 2026, à compter du 1er janvier 2026 : 26,1 %
Pourquoi le taux augmente-t-il ?
L’URSSAF explique dans le mail :
« Votre taux augmente pour vous permettre d’acquérir des droits à la retraite complémentaire des travailleurs indépendants et de bénéficier ainsi d’une protection sociale renforcée. »
Et sur le site :
« La retraite complémentaire constitue un complément essentiel à la retraite de base. Grâce aux cotisations versées, les auto-entrepreneurs cumuleront désormais des points qui seront convertis en droits retraite le moment venu, assurant ainsi une meilleure sécurité financière à long terme. »
Adaptez-vous
💡 Pensez bien à :
Adapter vos grilles de calcul de cotisations
Prévoir si besoin l’adaptation de votre tarification
Ré-évaluer la pertinence d’un passage en SARL/EURL et dérivés
Ne pas vous laisser avoir par les éventuelles campagnes de phishing (faux emails vous demandant des infos personnelles ou vous redirigeant vers de faux sites) qui pourraient avoir lieu suite à cette annonce.
Conclusion
Ce n’est pas forcément la meilleure nouvelle pour la rentrée…
Mais voyons le côté positif : Il reste une chance que l’on touche une retraite. 🤞 (si, si, on y croit…)
———–
Je suis Robin Labadie, hébergeur web spécialiste WordPress.
Le 19 août 2024, une vulnérabilité critique a été identifiée dans le plugin LiteSpeed Cache, utilisé par plus de 5 millions de sites WordPress. Cette faille permet à un attaquant non authentifié de se faire passer pour un administrateur, compromettant ainsi l’intégrité totale du site.
Elle affecte toutes les versions du plugin LiteSpeed Cache jusqu’à la version 6.3.0.1. En exploitant un bug dans la fonction de simulation de rôle, un attaquant peut utiliser un hash pour se faire passer pour un administrateur. Une fois ce hash obtenu, il peut créer un compte administrateur via l’API REST de WordPress, ce qui lui permet de prendre le contrôle du site.
Le hash utilisé est de seulement six caractères, ce qui le rend vulnérable aux attaques par force brute. De plus, s’il est possible d’accéder aux logs de débogage, ce hash peut être récupéré facilement par un attaquant.
Que Faire ?
Ne sous-estimez pas cette vulnérabilité. Les menaces de ce type peuvent rapidement se transformer en catastrophes si elles ne sont pas traitées à temps.
La solution est simple : mettez à jour LiteSpeed Cache vers la version 6.4.1 ou supérieure. Cette mise à jour corrige la faille.
Si vous utilisez Wordfence Premium, Care ou Response, une règle de pare-feu a été déployée le 20 août 2024 pour vous protéger. Les utilisateurs de la version gratuite recevront cette protection à partir du 19 septembre 2024.
Comment rester protégé ?
Avec le WordPress Toolkit sur les hébergements LRob, vous auriez été alerté automatiquement par mail de la vulnérabilité et la mise à jour aurait pu être automatique 😎. La sauvegarde est complète et quotidienne chez LRob, avec une rétention de 1 an complet ! Un bon moyen de garder une longueur d’avance sur les menaces de sécurité.
Je voulais l’héberger moi-même sur serveurs Linux. Car tout le monde sait qu’un serveur digne de ce nom est forcément sous Linux !
J’entrais sans le savoir dans ma véritable vocation : sysadmin 🌱
📷 Photo by Manon Laterza – 2012 – Je gère mes serveurs, mes amis jouent à la pétanque à côté. 😂
Le commencement
En 2012, on avait besoin : d’un site web (d’abord un forum), d’un serveur de voix et de serveurs de jeux.
Passionné d’informatique pure depuis 10 ans, j’ai été le seul parmi les 25 personnes à l’initiative du projet, à oser se coller sur cette partie technique, devenant de facto l’administrateur système principal de la communauté.
Il fallait donc apprendre énormément de choses d’un coup, en partant de rien :
choisir un fournisseur de serveurs dédiés (à l’époque : online.net / Dedibox)
installer et gérer un serveur Linux (ESXI + Debian) via un terminal headless (SSH)
gérer les IP multiples (failover)
choisir un registrar pour enregistrer et gérer un nom de domaine
gérer une zone DNS
gérer un firewall
installer un serveur web (LAMP)
créer des bases de données MySQL à la main, installer et utiliser phpMyAdmin
gérer des fichiers de configuration système et CMS
à gérer les droits et permissions sur un forum phpBB
Et j’en oublie sûrement
Dans cette découverte, ma curiosité était insatiable. 😋
J’ai bossé jour et nuit jusqu’à ce que tout fonctionne ! Ça m’a pris 5 à 7 jours.🌛
J’ai appris bien plus dans ce court laps de temps qu’en un an de fac d’informatique (arrêtée pour me lancer en auto-entrepreneur en 2010 car je m’ennuyais des cours que je trouvais non pertinents).
Et ce n’était le début…
J’avais au final une VM (machine virtuelle) pour le serveur web, une VM pour le serveur voix, et une VM pour les serveurs de jeu. J’aurais pu regrouper les deux dernières, mais j’apprenais et je pensais au début qu’il valait mieux tout séparer au maximum, ce qui au final n’est pas plus mal quand on débute.
Pendant des années, j’ai exploré les multiples facettes des serveurs. Dont la programmation BASH, devenant second contributeur de LinuxGSM en m’investissant profondément dans le projet open-source.
Découverte de WordPress
En 2014 j’ai surtout découvert WordPress ! 😍
Je l’ignorais, mais WordPress allait devenir un élément central de ma vie professionnelle.
J’ai d’abord transitionné le site de la communauté d’un forum phpBB vers un site WordPress.
Devant la découverte de ce CMS génial, j’ai eu envie de faire mon site perso LRob dans la foulée, toujours en 2014. J’ai commencé à héberger et faire des sites pour des amis. Sans même avoir conscience qu’en fait, c’était un véritable métier de sysadmin, webmaster et hébergeur web.
Coup d’accélérateur
En 2016, j’ai mis un énorme coup de boost à la gestion serveur web.
Après des migrations serveur toujours plus propres, la création de mes propres outils et process, la mise en place manuelle de certificats SSL/TLS (pour HTTPS) et pas mal de temps à gérer WordPress, je me suis attaqué au maillon manquant !
Je me suis mis à faire mes premiers serveurs email à la main, en respectant toutes les normes possibles (rDNS, HELO, SPF, DKIM, DMARC). Et à découvrir les questions de délivrabilité vers Microsoft, difficiles la première fois qu’on déploie un serveur.
J’ai même crée une série de tutos sur les serveurs Linux, celle que j’aurais rêvé d’avoir quand j’ai débuté. De quoi aider les administrateurs système Linux et Web en devenir.
2017 : de passionné à professionnel
Jusqu’à 2017, il faut dire ce qui est : ma situation pro était chaotique.
Très enrichissante, mais chaotique.
J’ai oscillé entre des prestations en tant qu’ingénieur son, du dépannage informatique en freelance, du tournage et montage vidéo, du support en télétravail (j’étais en avance sur mon temps 😎) et de l’intérim’ pour combler les manques. Mais à 27 ans, j’avais mon prêt étudiant à combler, je voulais améliorer mon niveau de vie et je devais donc stabiliser mes revenus.
Je me suis dit que mine de rien, je commençais à avoir des compétences en informatique valorisables en entreprise… Il y aurait bien une entreprise avec qui on peut mutuellement s’aider !
Et là, je crois que j’ai eu le coup de chance de ma vie.
Dès mon début de recherche d’emploi, j’ai découvert un hébergeur web orléanais : HaiSoft.
Quelle aubaine ! 🤩
C’est le seul à qui j’ai envoyé mon CV. Le seul avec qui j’ai passé un entretien. Et ce fut, je crois, le coup de foudre professionnel mutuel.
Ils ont reconnu en moi l’autodidacte passionné que j’étais. Ils m’ont invité à rejoindre l’équipe. Cela marquait début d’une aventure géniale de presque 6 ans. 🤝
Pendant ces années, me suis professionnalisé tout en apportant mes idées et énergies fraîches pour perfectionner chaque aspect des services. 👌
HaiSoft mettait la barre très haut, mais rien n’est jamais parfait. 🏋️♂️
Dans une synergie exemplaire, on a résolu les problèmes récurrents, amélioré les documentations, boosté les performances, la sécurité, les mises à jour. On a enrichi l’offre et amélioré la communication. J’ai même eu la latitude de de gérer les baies serveurs ! 🎯
HaiSoft est un superbe modèle d’entreprise IT, le meilleur selon moi. 🤩
La parole de chacun est écoutée, la hiérarchie est amicale, transparente et accessible. Quiconque peut proposer et mettre en place des améliorations. L’implication et l’engagement du salarié deviennent naturels.
C’est d’ailleurs grâce à cette ouverture qu’à l’époque, étant le plus fervent utilisateur de WordPress, je suis naturellement devenu, sans que cela ne soit vraiment acté, le référent support WordPress. J’ai pu pousser des services et prestations spécifiques pour WordPress et former toute l’équipe à ces tâches.
Les humains derrière tout ça sont géniaux ! 🤗
J’en profite pour remercier les membres de l’équipe, qui me sont encore chers à ce jour :
Frédéric, pour être un patron exceptionnellement droit et soucieux
Damien, pour ta vision d’ensemble toujours pertinente
Benoît, pour être un éternel mentor, avec ta curiosité, rigueur et droiture consistante
Dylan, pour avoir encore amélioré l’idéal de la relation client
Arthur, pour être à l’écoute et relever les défis de développement
Jérôme, pour la découverte d’un autre univers et les bonnes discussions
Merci pour tout ! 💖
👉 HaiSoft continue de briller par sa qualité grâce à tout ce petit monde, et les nouveaux. Chaque fois que j’ai des nouvelles d’eux, j’apprends la mise en place d’évolutions et solutions géniales.
Alors si mon expertise WordPress ne vous est pas utile : foncez chez eux ! Vous nous remercierez plus tard. 😉
🌐 Agence web
Les années passant, j’ai quand même voulu évoluer et ré-entreprendre. Je me suis mis à faire plus de sites web, d’abord pour des amis, puis des pros… A proposer du webmastering WordPress.
Fin 2022, j’ai pris un risque calculé : quitter HaiSoft pour rejoindre une agence web et remettre d’aplomb leur parc d’hébergement. 🪛
On sait ce qu’on perd, mais jamais ce qu’on gagne. Alors j’ai préparé mon avenir d’indépendant.
Dans la courte transition entre les deux jobs, à la vitesse de l’éclair, j’ai déployé ma propre infrastructure de web hosting. ⚡
Puis, en quelques mois, j’ai rénové les serveurs de l’agence qui m’embauchait : amélioré les performances, la sécurité, les backups, simplifié la gestion, tout en réduisant drastiquement les coûts serveurs. 🔒
⏩ Tournant Freelance
Début 2023, grande surprise : départ en retraite de mes nouveaux patrons !
L’agence web dans laquelle je mettais en place mes plans à long terme a ainsi été vendue.
Au début, j’étais enthousiasmé par ce changement, ça ouvrait des portes fabuleuses. Sauf que… La nouvelle hiérarchie bloquait tous les budgets des évolutions prévues. J’ai cru que c’était temporaire, mais en discutant avec la hiérarchie en direct, j’ai compris que ça ne mènerait à rien. 😅
L’équipe se sentait abandonnée, lésée. Certains parlaient de partir. L’ambiance était extrêmement négative et pesante. Je ne pouvais plus faire mon travail correctement et certaines urgences ne pouvaient pas être traitées. Si auparavant j’étais fier du travail accompli et en route, désormais je ne voulais surtout plus mettre mon nom sur le désastre que je voyais se tramer devant nous.
Mon temps méritait mieux que ça ! ⌚
Parallèlement, mon activité de freelance commençait à décoller alors même que je ne faisais rien d’autre que d’en parler un peu autour de moi. Me lancer dans cette tâche à fond ne pouvait que marcher !
Alors, j’ai franchi le cap :
Poser ma démission le premier (d’autres ont ensuite suivi)
Passer en 100% freelance ! 🚀
Sûrement la meilleure décision de ma vie !
Non-seulement j’arrive à en vivre confortablement, mais j’éprouve une satisfaction que je n’aurais jamais oser imaginer !
J’ai l’infrastructure d’hébergement rêvée : la plus belle, fiable et sécurisée.
Et j’ai surtout le bonheur d’accompagner chaque jour des clients exceptionnels. 💘
Ce site utilise des cookies à des fins fonctionnelles et statistiques. Toutes les statistiques sont anonymisées et auto-hébergées sur serveur privé Matomo en Europe. Cela aide à comprendre ce que vous aimez trouver sur ce site et à pérenniser l'activité professionnelle proposée. La non acceptation peut casser certaines fonctionnalités. Pour une meilleure expérience, merci de bien vouloir accepter les cookies.
Fonctionnalités
Toujours activé
Certains cookies sont requis pour les fonctionnalités élémentaires de ce site.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiques
Autoriser ce site à collecter des données statistiques anonymisées et préservées des tiers tels que Google.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
