Catégorie : News

Comme tous les 6 mois, Nextcloud vient de sortir sa nouvelle version majeure. Les notes de mises à jour officielles sont assez limitées et personne n’a envie de lire le changelog complet… Avec 2.363 changements cumulés sur Nextcloud 30.0.0 et 30.0.1.

Correctifs, nouveautés, améliorations, mises à jour de dépendances, etc. Tout cela est assez complexe à analyser et résumer. Heureusement, ChatGPT peut nous résumer et mettre tout ça en forme (plus de 2.400 lignes de texte et 172.879 caractères).

Alors pour gagner des heures dans votre vie, voici le résumé ChatGPT de ce qu’il faut retenir des changelogs Nextcloud 30 :

1. Mises à jour du système et de la base de données :
   • PHP 8.0 n’est plus supporté, tandis que PHP 8.1 est obsolète mais toujours utilisable.
   • Le support pour MariaDB 10.3 et 10.5 et PostgreSQL 9.4 ont été retirés.
2. Améliorations de la configuration :
   • De nouveaux paramètres dans le fichier de configuration ont été introduits, et certains sont dépréciés :
     • L’option blacklisted_files est remplacée par forbidden_filenames.
     • De nouvelles options comme forbidden_filename_basenames et forbidden_filename_extensions permettent de mieux contrôler les noms de fichiers et extensions bloqués.
   • Amélioration de la gestion des images WebP dans la configuration des serveurs web.
3. Gestion des fichiers et des dossiers :
   • Les utilisateurs peuvent désormais voir l’emplacement d’origine des fichiers supprimés dans la corbeille, et certains attributs de fichiers/dossiers sont hérités pour préserver l’état de partage.
   • Amélioration des aperçus de fichiers : les aperçus pour les PDF utilisent désormais le nouveau fournisseur ImaginaryPDF.
4. Performances et optimisation :
   • Plusieurs améliorations de performance, notamment le chargement différé de certaines fonctionnalités comme la génération des métadonnées, et une meilleure gestion des tâches cron pour réduire la charge du serveur.
   • Amélioration du tri et des fonctions de glisser-déposer dans la gestion des fichiers, avec un meilleur support pour les fichiers cachés.
5. Sécurité et gestion des utilisateurs :
   • Introduction d’une API de traitement des tâches pour gérer plus efficacement les tâches en arrière-plan.
   • Nouvelles fonctionnalités de sécurité, comme un contrôle plus strict des CSRF, une meilleure gestion des mots de passe pour les partages de fichiers, et un nettoyage automatique des mots de passe d’applications inutilisés.
   • Améliorations pour LDAP, avec une meilleure synchronisation des utilisateurs et groupes, et un journalisation améliorée des connexions LDAP.
6. Interface utilisateur et personnalisation :
   • Améliorations de l’interface utilisateur, avec une séparation des couleurs primaires et de fond pour un menu d’en-tête plus propre, et des améliorations dans les couleurs de l’interface.
   • Introduction de Vue.js pour plusieurs dialogues, remplaçant les anciens composants de jQuery UI pour une meilleure expérience utilisateur.
   • Mises à jour du tableau de bord avec des améliorations de la mise en page et des API pour plus de personnalisation.
7. Collaboration et partage améliorés :
   • Nouvelles options pour les demandes de fichiers, permettant de solliciter des fichiers de la part d’autres utilisateurs plus facilement.
   • Améliorations diverses des capacités de partage, incluant une gestion améliorée des dates d’expiration pour les partages publics et des options de protection par mot de passe.
8. Corrections de bogues et divers :
   • Corrections liées à la gestion des sessions, à la gestion des erreurs, et à l’intégration LDAP.
   • Améliorations dans la gestion de certains types de fichiers, la synchronisation des calendriers, et les notifications utilisateurs.

Ces changements mettent l’accent sur la performance, la sécurité, et l’amélioration de l’expérience utilisateur, tant dans les paramètres d’administration que dans la gestion quotidienne des fichiers.

Mise à jour pour les clients Nextcloud chez LRob

La version 30 de Nextcloud entre en phase de test de notre côté pour prévoir le déploiement plus large à tous les clients.

Si tout fonctionne bien, alors la mise à jour sera effectuée pour les clients bénéficiant d’un hébergement Nextcloud avec mises à jour incluses chez LRob dans le week-end du 2 et 3 novembre.

Bon travail collaboratif à tous !

Le conflit entre Matt Mullenweg, fondateur de WordPress et WP Engine continue de secouer la communauté WordPress. Le dernier développement dans cette affaire concerne un plugin majeur de l’écosystème : Advanced Custom Fields (ACF). Depuis le 12 octobre 2024, ACF a été entièrement remplacé sur le répertoire officiel de WordPress.org par Secure Custom Fields (SCF), un fork mis en place par l’équipe de sécurité de WordPress.

L’annonce officielle a été faite via un billet de blog sur WordPress.org. Voici ce qu’il faut retenir.

La réaction de l’équipe ACF

Face à ce changement, l’équipe ACF a exprimé sa déception et son inquiétude dans un article publié sur leur blog officiel. Ils dénoncent une décision qu’ils jugent unilatérale et qui, selon eux, va à l’encontre des principes de l’open source. Depuis leur intégration à WP Engine, ils ont continuellement travaillé sur le développement d’ACF avec plus de 200 000 lignes de code et de nombreuses améliorations, tant sur le plan fonctionnel que sécuritaire.

Voici ce qu’ils déclarent dans leur billet :

« Nous sommes consternés par les actions de Matt Mullenweg, qui a unilatéralement et sans notre consentement pris le contrôle du plugin Advanced Custom Fields, un outil que nous développons activement pour la communauté WordPress depuis 2011. »

Extrait traduit du post original sur le blog ACF

L’équipe ACF indique que les utilisateurs d’ACF Pro ou ceux hébergés sur WP Engine et Flywheel ne sont pas concernés par ce changement et continueront de recevoir les mises à jour directement via WP Engine. En revanche, ceux utilisant la version gratuite d’ACF sur d’autres hébergements doivent télécharger manuellement la version 6.3.8 d’ACF depuis leur site pour continuer à bénéficier des mises à jour de leur côté.

ACF indique comment continuer d’utiliser sa propre version du plugin en cas d’utilisation de la version gratuite d’ACF chez un hébergeur autre qu’eux-même (WP Engine).

Il joue enfin la carte de la fidélité sur son site avec un encart spécial sur l’accueil :

« Vous faites confiance à ACF depuis plus de dix ans. Les experts qui maintiennent ACF continueront à soutenir et à améliorer les fonctionnalités que nos utilisateurs apprécient et en lesquelles ils ont confiance. »

WP Engine bannis de WordPress.org

On le rappelle, WP Engine est totalement banni de WordPress.org, ce qui signifie que leurs autres plugins ne peuvent plus être maintenus.

On pense notamment à Better Search Replace (1+ million installations actives), ou à PHP Compatibility Checker (200 000+ installations actives).

Néanmoins ces plugins sont moins essentiels qu’ACF et peuvent être remplacés par Update URLs et Query Monitor pour ne citer qu’eux.

Un décret du 30 Mai 2024 fixe depuis le 1er Juillet l’augmentation des cotisations pour 2025 pour les BNC (et Cipav). Pour une meilleure protection sociale. Auto-entrepreneurs (et EI) : préparez-vous.

Comme indiqué dans cette première actualité :

Cela concerne les auto-entrepreneurs affiliés au régime général de la Sécurité sociale et déclarant leur chiffre d’affaires dans la catégorie des BNC. Il s’agit de garantir leurs droits à la retraite complémentaire.

Source : autoentrepreneur.urssaf.fr

Cela recoupe l’information du 10 juillet sur le site officiel.

Résumé des hausses

🟢 2024, du 1er juillet au 31 décembre 2024 : 23,1 %
📈 2025, du 1er janvier au 31 décembre 2025 : 24,6 %
📈 2026, à compter du 1er janvier 2026 : 26,1 %

Pourquoi le taux augmente-t-il ?

L’URSSAF explique dans le mail :

« Votre taux augmente pour vous permettre d’acquérir des droits à la retraite complémentaire des travailleurs indépendants et de bénéficier ainsi d’une protection sociale renforcée. »

Et sur le site :

« La retraite complémentaire constitue un complément essentiel à la retraite de base. Grâce aux cotisations versées, les auto-entrepreneurs cumuleront désormais des points qui seront convertis en droits retraite le moment venu, assurant ainsi une meilleure sécurité financière à long terme. »

Adaptez-vous

💡 Pensez bien à :

• Adapter vos grilles de calcul de cotisations
• Prévoir si besoin l’adaptation de votre tarification
• Ré-évaluer la pertinence d’un passage en SARL/EURL et dérivés
• Ne pas vous laisser avoir par les éventuelles campagnes de phishing (faux emails vous demandant des infos personnelles ou vous redirigeant vers de faux sites) qui pourraient avoir lieu suite à cette annonce.

Conclusion

Ce n’est pas forcément la meilleure nouvelle pour la rentrée…

Mais voyons le côté positif :
Il reste une chance que l’on touche une retraite. 🤞
(si, si, on y croit…)

———–

Je suis Robin Labadie, hébergeur web spécialiste WordPress.

Vous cherchez le meilleur pour vos projets web :

En 2012, j’ai créé une communauté geek.

Je voulais l’héberger moi-même sur serveurs Linux. Car tout le monde sait qu’un serveur digne de ce nom est forcément sous Linux !

J’entrais sans le savoir dans ma véritable vocation : sysadmin 🌱

📷 Photo by Manon Laterza – 2012 – Je gère mes serveurs, mes amis jouent à la pétanque à côté. 😂

Le commencement

En 2012, on avait besoin : d’un site web (d’abord un forum), d’un serveur de voix et de serveurs de jeux.

Passionné d’informatique pure depuis 10 ans, j’ai été le seul parmi les 25 personnes à l’initiative du projet, à oser se coller sur cette partie technique, devenant de facto l’administrateur système principal de la communauté.

Il fallait donc apprendre énormément de choses d’un coup, en partant de rien :

• choisir un fournisseur de serveurs dédiés (à l’époque : online.net / Dedibox)
• installer et gérer un serveur Linux (ESXI + Debian) via un terminal headless (SSH)
• gérer les IP multiples (failover)
• choisir un registrar pour enregistrer et gérer un nom de domaine
• gérer une zone DNS
• gérer un firewall
• installer un serveur web (LAMP)
• créer des bases de données MySQL à la main, installer et utiliser phpMyAdmin
• gérer des fichiers de configuration système et CMS
• à gérer les droits et permissions sur un forum phpBB
• Et j’en oublie sûrement

Dans cette découverte, ma curiosité était insatiable. 😋

J’ai bossé jour et nuit jusqu’à ce que tout fonctionne ! Ça m’a pris 5 à 7 jours.🌛

J’ai appris bien plus dans ce court laps de temps qu’en un an de fac d’informatique (arrêtée pour me lancer en auto-entrepreneur en 2010 car je m’ennuyais des cours que je trouvais non pertinents).

Et ce n’était le début…

J’avais au final une VM (machine virtuelle) pour le serveur web, une VM pour le serveur voix, et une VM pour les serveurs de jeu. J’aurais pu regrouper les deux dernières, mais j’apprenais et je pensais au début qu’il valait mieux tout séparer au maximum, ce qui au final n’est pas plus mal quand on débute.

Pendant des années, j’ai exploré les multiples facettes des serveurs. Dont la programmation BASH, devenant second contributeur de LinuxGSM en m’investissant profondément dans le projet open-source.

Découverte de WordPress

En 2014 j’ai surtout découvert WordPress ! 😍

Je l’ignorais, mais WordPress allait devenir un élément central de ma vie professionnelle.

J’ai d’abord transitionné le site de la communauté d’un forum phpBB vers un site WordPress.

Devant la découverte de ce CMS génial, j’ai eu envie de faire mon site perso LRob dans la foulée, toujours en 2014. J’ai commencé à héberger et faire des sites pour des amis. Sans même avoir conscience qu’en fait, c’était un véritable métier de sysadmin, webmaster et hébergeur web.

Coup d’accélérateur

En 2016, j’ai mis un énorme coup de boost à la gestion serveur web.

Après des migrations serveur toujours plus propres, la création de mes propres outils et process, la mise en place manuelle de certificats SSL/TLS (pour HTTPS) et pas mal de temps à gérer WordPress, je me suis attaqué au maillon manquant !

Je me suis mis à faire mes premiers serveurs email à la main, en respectant toutes les normes possibles (rDNS, HELO, SPF, DKIM, DMARC). Et à découvrir les questions de délivrabilité vers Microsoft, difficiles la première fois qu’on déploie un serveur.

J’ai même crée une série de tutos sur les serveurs Linux, celle que j’aurais rêvé d’avoir quand j’ai débuté.
De quoi aider les administrateurs système Linux et Web en devenir.

2017 : de passionné à professionnel

Jusqu’à 2017, il faut dire ce qui est : ma situation pro était chaotique.

Très enrichissante, mais chaotique.

J’ai oscillé entre des prestations en tant qu’ingénieur son, du dépannage informatique en freelance, du tournage et montage vidéo, du support en télétravail (j’étais en avance sur mon temps 😎) et de l’intérim’ pour combler les manques. Mais à 27 ans, j’avais mon prêt étudiant à combler, je voulais améliorer mon niveau de vie et je devais donc stabiliser mes revenus.

Je me suis dit que mine de rien, je commençais à avoir des compétences en informatique valorisables en entreprise… Il y aurait bien une entreprise avec qui on peut mutuellement s’aider !

Et là, je crois que j’ai eu le coup de chance de ma vie.

Dès mon début de recherche d’emploi, j’ai découvert un hébergeur web orléanais : HaiSoft.

Quelle aubaine ! 🤩

C’est le seul à qui j’ai envoyé mon CV. Le seul avec qui j’ai passé un entretien. Et ce fut, je crois, le coup de foudre professionnel mutuel.

Ils ont reconnu en moi l’autodidacte passionné que j’étais. Ils m’ont invité à rejoindre l’équipe.
Cela marquait début d’une aventure géniale de presque 6 ans. 🤝

Pendant ces années, me suis professionnalisé tout en apportant mes idées et énergies fraîches pour perfectionner chaque aspect des services. 👌

HaiSoft mettait la barre très haut, mais rien n’est jamais parfait. 🏋️‍♂️

Dans une synergie exemplaire, on a résolu les problèmes récurrents, amélioré les documentations, boosté les performances, la sécurité, les mises à jour. On a enrichi l’offre et amélioré la communication. J’ai même eu la latitude de de gérer les baies serveurs ! 🎯

HaiSoft est un superbe modèle d’entreprise IT, le meilleur selon moi. 🤩

La parole de chacun est écoutée, la hiérarchie est amicale, transparente et accessible.
Quiconque peut proposer et mettre en place des améliorations.
L’implication et l’engagement du salarié deviennent naturels.

C’est d’ailleurs grâce à cette ouverture qu’à l’époque, étant le plus fervent utilisateur de WordPress, je suis naturellement devenu, sans que cela ne soit vraiment acté, le référent support WordPress. J’ai pu pousser des services et prestations spécifiques pour WordPress et former toute l’équipe à ces tâches.

Les humains derrière tout ça sont géniaux ! 🤗

J’en profite pour remercier les membres de l’équipe, qui me sont encore chers à ce jour :

• Frédéric, pour être un patron exceptionnellement droit et soucieux
• Damien, pour ta vision d’ensemble toujours pertinente
• Benoît, pour être un éternel mentor, avec ta curiosité, rigueur et droiture consistante
• Dylan, pour avoir encore amélioré l’idéal de la relation client
• Arthur, pour être à l’écoute et relever les défis de développement
• Jérôme, pour la découverte d’un autre univers et les bonnes discussions

Merci pour tout ! 💖

👉 HaiSoft continue de briller par sa qualité grâce à tout ce petit monde, et les nouveaux. Chaque fois que j’ai des nouvelles d’eux, j’apprends la mise en place d’évolutions et solutions géniales.

Alors si mon expertise WordPress ne vous est pas utile : foncez chez eux !
Vous nous remercierez plus tard. 😉

🌐 Agence web

Les années passant, j’ai quand même voulu évoluer et ré-entreprendre.
Je me suis mis à faire plus de sites web, d’abord pour des amis, puis des pros… A proposer du webmastering WordPress.

Fin 2022, j’ai pris un risque calculé : quitter HaiSoft pour rejoindre une agence web et remettre d’aplomb leur parc d’hébergement. 🪛

On sait ce qu’on perd, mais jamais ce qu’on gagne. Alors j’ai préparé mon avenir d’indépendant.

Dans la courte transition entre les deux jobs, à la vitesse de l’éclair, j’ai déployé ma propre infrastructure de web hosting. ⚡

Puis, en quelques mois, j’ai rénové les serveurs de l’agence qui m’embauchait : amélioré les performances, la sécurité, les backups, simplifié la gestion, tout en réduisant drastiquement les coûts serveurs. 🔒

⏩ Tournant Freelance

Début 2023, grande surprise : départ en retraite de mes nouveaux patrons !

L’agence web dans laquelle je mettais en place mes plans à long terme a ainsi été vendue.

Au début, j’étais enthousiasmé par ce changement, ça ouvrait des portes fabuleuses.
Sauf que… La nouvelle hiérarchie bloquait tous les budgets des évolutions prévues. J’ai cru que c’était temporaire, mais en discutant avec la hiérarchie en direct, j’ai compris que ça ne mènerait à rien. 😅

L’équipe se sentait abandonnée, lésée. Certains parlaient de partir. L’ambiance était extrêmement négative et pesante. Je ne pouvais plus faire mon travail correctement et certaines urgences ne pouvaient pas être traitées. Si auparavant j’étais fier du travail accompli et en route, désormais je ne voulais surtout plus mettre mon nom sur le désastre que je voyais se tramer devant nous.

Mon temps méritait mieux que ça ! ⌚

Parallèlement, mon activité de freelance commençait à décoller alors même que je ne faisais rien d’autre que d’en parler un peu autour de moi. Me lancer dans cette tâche à fond ne pouvait que marcher !

Alors, j’ai franchi le cap :

• Poser ma démission le premier (d’autres ont ensuite suivi)
• Passer en 100% freelance ! 🚀

Sûrement la meilleure décision de ma vie !

Non-seulement j’arrive à en vivre confortablement, mais j’éprouve une satisfaction que je n’aurais jamais oser imaginer !

J’ai l’infrastructure d’hébergement rêvée : la plus belle, fiable et sécurisée.

Et j’ai surtout le bonheur d’accompagner chaque jour des clients exceptionnels. 💘

👉 Pour réussir avec WordPress découvrez mes hébergements WordPress !

PS: Merci Enzo Deniau pour avoir inspiré ce post par tes questions.

Article enrichi depuis mon post LinkedIn.

Identification & causes : tout ce qu’il faut savoir 👇

La semaine dernière, je révélais sur LinkedIn un piratage à priori répandu chez les possesseurs de sites WordPress hébergés chez o2switch. En qualité d’expert sécurité WordPress et grâce à une investigation auprès de quelques confrères touchés et non touchés, nous avons pu en apprendre davantage.

📄 Mode opératoire du hack

Le hack redirige les utilisateurs mobile vers des sites frauduleux, notamment en rapport avec la guerre Ukraine/Russie via un URL shortener hébergé aux Emirats Arabes Unis.

Techniquement il consiste en une injection de code JavaScript obfusqué dans tous les posts WordPress du site. Il est donc chargé dans les pages et articles et parfois dans d’autres plugins comme les plugins de cookies, les plugins d’avis utilisateurs, etc.

Voici un aperçu du code pirate après dé-obfuscation, qui permet même sans parler ce langage de comprendre que l’action a lieu lors du clic et qu’une URL aléatoire est sélectionnée en fonction du « UserAgent », c’est à dire du navigateur utilisé :

Jul-2024:213287:199.195.252.[HIDDEN] - - [27/Jul/2024:20:10:59 +0200] "POST /index.php?s=captcha HTTP/1.1" 200 102292 "https://www.[HIDDEN].fr/index.php?s=captcha" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MS-RTC LM 8; InfoPath.3; .NET4.0C; .NET4.0E) chromeframe/8.0.552.224"

🔍 Identification

• Le hack est parfois mal inséré dans les articles et s’affiche de manière textuelle dans le corps des pages au lieu de s’exécuter
• La plupart du temps il est invisible, vous pouvez vérifier si votre site est impacté en recherchant « _0x365b », ou « 0x3023 », ou « function _0x », via l’inspecteur de votre console développeur à la visite du site, ou via une recherche dans phpMyAdmin
• Les antivirus Eset et Avast bloquent l’accès aux sites touchés
• Update 31/07/2024 – L’un des sites touchés ne se voit pas via la console développeur, il faut à la place utiliser l’outil en lignes de commandes « curl » pour observer le code malveillant. Il est possible que cela soit dû au cache du site.

Voici un exemple du code pirate tel que visible depuis la console développeur :

🌐 Répartition du hack

Grâce à une recherche du pattern du hack sur Google et Bing, j’ai trouvé de nombreux sites infectés. J’ai contacté l’ensemble des propriétaires des sites pour les alerter, leur conseiller de contacter leur prestataire et leur proposer mon aide si besoin.

• Sur 40 domaines impactés, trouvés en France et en Belgique, 2 seulement ne sont pas chez o2switch – update 30/07/2024 : Certains sites chez OVH, Hostinger et divers hébergeurs sont aussi touchés, mais plus rares pour le moment.
• D’autres fournisseurs de serveurs étrangers sont touchés mais j’en ai trouvé moins qu’en France.
• Cela laisse penser à une attaque ciblée des sites présents sur les IP o2switch, que le hacker aurait trouvé via des listes publiques qui référencent cela. Ce type d’attaques peut cibler n’importe quel hébergeur qui n’y peut strictement rien. C’est pour cela qu’il faut être pro-actif dans votre sécurité.

💡 Des causes toujours incertaines

Voici ce qu’on a pu voir et déduire en recoupant les infos entre confrères :

• Comme le hack est insidieux, beaucoup ne sont pas diagnostiqués et détectés rapidement, mais la plus ancienne occurrence semble avoir eu lieu en Mai – update 30/07/2024 potentiellement plutôt en Juillet
• Cela ne touche pas un plugin ou un thème spécifique
• Le plugin Tiger d’o2switch ne semble donc pas non-plus être la cause du problème, car des sites sans ce plugin sont touchés
• Les sites touchés semblent généralement moins entretenus que les autres, mais c’est le cas de la plupart des sites; et des sites assez bien suivis (peut-être pas assez) sont aussi touchés
• La faille exploitée a pu provenir du core de WordPress lorsque non mis à jour assez rapidement
• Il est possible que cela provienne de l’utilisation d’une version PHP obsolète définie par le gestionnaire de l’hébergement (client final)
• Il est possible que la présence d’une seconde instance WordPress (une instance de dev par exemple) dans l’hébergement, qui elle, ne serait pas à jour, puisse déteindre sur l’instance principale, par manque d’isolation (c’est le même hébergement, le même utilisateur système, les mêmes droits, et il ne semble pas y avoir de règle open_basedir pour restreindre le répertoire au niveau de PHP chez o2switch)
• Cela ne touche pas les clients d’un serveur spécifique d’o2switch, ils sont répartis sur de plusieurs serveurs mutualisés, et certains serveurs ne sont pas du tout touchés, laissant entendre un souci marginal (donc pas d’intrusion serveur ou hébergeur global)
• Il y a une minuscule probabilité pour qu’une intrusion ou une faille hébergeur plus globale aie eu lieu (par exemple une faille dans un paquet système qui permet le hack), mais nous n’avons aucun élément pour le vérifier et dans la mesure où o2switch n’a rien signalé, il est plus raisonnable de penser que le souci provient de l’applicatif final (WordPress) ou de la version de PHP utilisée par le client final.
• – Update 29/07/2024 Il est enfin possible qu’une faille du serveur web Apache aie été exploitée, soit lorsqu’elle n’était pas encore correctement corrigée, soit car o2switch a trop tardé à mettre à jour ses versions logicielles. Les dates semblent concorder pour les hacks les plus récents. Là encore aucune certitude sans une annonce officielle de l’hébergeur.
• – Update 31/07/2024 Des failles dans des sous-versions de PHP, notamment dans certaines révisions de PHP 8.0 pourraient expliquer le piratage. Cela concorde avec les requêtes observées pouvant causer un buffer overflow et permettre un injection de code. Si les sous-versions de PHP 8.0 de l’hébergeur ne sont pas à jour, cela explique la possibilité du hack. Quoi qu’il en soit, le client est fautif si c’est la cause, car on rappelle que PHP 8.0 est dans tous les cas obsolète et ne devrait plus du tout être utilisé. Il n’est d’ailleurs plus disponible à la sélection sur les hébergements LRob.
• Aucun hack à déplorer sur les hébergements LRob.

🔨 Réparation du hack

La réparation consiste à nettoyer la base de données en effaçant les lignes correspondant au pattern du hack. Avant toute opération, sauvegardez votre base de données. Les fichiers des sites web ne semblent pas impactés sur ce hack, mais une vérification manuelle complète est toujours recommandée comme pour tout hack. Pensez aussi à vider les différents caches pour que le code malveillant en soit également retiré.

Besoin d’aide pour réparer vos sites et rester sécurisé à l’avenir ? Découvrez mes services de réparation et sécurisation WordPress ainsi que mes hébergements WordPress sécurisés.

Si vous avez plus d’infos, partagez-les en commentaires ou MP !

Littéralement des milliards des périphériques vont en profiter ! 🥹

❓Qu’est-ce que le kernel ?

C’est le code le plus primordial : Il permet en résumé au système d’exploitation de parler aux composants d’un périphérique, il gère les fonctions les plus élémentaires comme la lecture/écriture des données sur le disque, l’exécution des programmes, etc.

ℹ️ Quels périphériques sont concernés ?

Quand on parle de « périphériques », c’est très large.

Le kernel Linux est présent sur les serveurs web (90 à 99% du marché), les smartphones Android (85% du marché), et les quelques millions d’ordinateurs ayant installé un OS GNU/Linux (2 à 4%) !

Sans compter les box et divers objets connectés tournant avec Linux.

Mac OS et iOS utilisent également une partie de Linux. En gros, seuls les ordinateurs de bureau Windows ne sont pas concernés du tout.

Le tout fait vraiment des milliards de périphériques concernés, sans exagérer. 🤪

Ce grâce à son créateur Linus Torvalds qui maintient toujours le code.

❓ Quel est le problème spécifique corrigé ici ?

👉 J’ai relevé une anomalie sur les PC portables de la marque LG, série Gram sous Linux, soulevant un problème kernel potentiel.

Le problème : Un process système qui utilise plus de ressources qu’attendu (et cause de la chauffe et consommation d’énergie inutile) lorsque le périphérique est en charge relié à un dock.

1) Découverte du bug

Fin 2022, je découvrais le problème et le fait que je n’étais pas seul : La communauté Ubuntu commençait à en parler. https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1987829
J’ai reproduit le problème sous Ubuntu et Fedora qui sont des distributions assez différentes, indiquant que le souci ne venait pas de l’OS mais plutôt de Linux.

2) Compréhension initiale du bug

Février 2023, le souci commençait à se préciser, on avait assez d’éléments pour penser que ça venait du kernel et que le souci n’était pas encore corrigé, même sur les dernières versions.
J’ai alors crée un compte sur kernel.org et ouvert cette issue pour essayer de prévenir les bonnes personnes : https://bugzilla.kernel.org/show_bug.cgi?id=217076

Je n’étais pas sûr de moi à ce moment là, car c’était la première fois, mais il faut croire que j’ai bien fait les choses.

3) Compréhension poussée et résolution du bug

Ce qui se passe ensuite me dépasse totalement, ça parle de Dev Kernel Linux ultra poussé… Certaines personnes font des hypothèses, les testent, comprennent précisément le souci, proposent un hotfix à tester. Et certains confirment la résolution du bug. Tout ça prend presque un an et demi.

4) Publication du correctif

Le code correctif est ensuite proposé et accepté dans le kernel pour que tout le monde en profite. C’est ce qui est précisément en cours désormais : https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9e3caa9dd51b23e232f095a98336a84f42e4a7f2

Et maintenant ?

Dans les deux prochaines semaines, le monde entier bénéficiera du correctif.
L’idée d’avoir pu impacter des milliards de périphériques donne le vertige ! 🥵

Ça a pris du temps, demandé des compétences extrêmement spécifiques, mais le résultat est là. 🍾

C’est beau l’open-source ! 😍