WordPress 6.8 est en route et promet de raffiner l’expérience utilisateur, tout en optimisant la performance, le design et la sécurité. Prévue pour le 15 avril 2025, cette nouvelle version devrait ravir les utilisateurs.
Il est parfois complexe d’aller à la pêche aux informations et de comprendre ce qui nous attend… Alors on a démêlé tout cela pour vous. Voici donc ce qui vous attend avec WordPress 6.8.
Table of Contents
Calendrier de sortie de WordPress 6.8
WordPress nous fournit toujours une roadmap détaillée mais celle-ci peut être un peu complexe à appréhender.
Voici donc les principales étapes avant la sortie officielle de WordPress 6.8 :
Date
Événement
4 mars 2025
Beta 1 : Début des tests intensifs et corrections de bugs
25 mars 2025
Release Candidate 1 : Première version quasi finale
14 avril 2025
Dry run et gel du code
15 avril 2025
Sortie officielle de WordPress 6.8 🎉
Quelles nouveautés pour WordPress 6.8 ?
Les développeurs de WordPress ont annoncé ces fonctionnalités. Si la plupart devrait voir le jour dans la 6.8, il est possible que certaines ne soient pas prêtes à temps. Voici cependant un résumé de ce que WordPress prévoit pour nous.
🔎 Amélioration du mode “Zoom Out”
WordPress 6.8 permet désormais d’éditer les compositions (patterns) en mode “Zoom Out”. Cela enrichit le workflow et devrait plaire à ceux ayant déjà adopté ce mode et convertir les plus réfractaires ! #67140
✍️ Sélecteur de polices d’écriture amélioré
WordPress 6.8 ajoute un sélecteur de police avec aperçu en direct sur le menu déroulant dans l’éditeur Gutenberg, faisant gagner du temps lors du choix des typographies. #67118
🧓 Affichage des styles pour les thèmes non FSE
Les thèmes classiques ou hybrides ayant adopté l’utilisation d’un fichier theme.json pourront désormais afficher un aperçu du style via l’éditeur de site. #66851
🌈 Bouton de réinitialisation des couleurs
Il sera possible de réinitialiser une couleur personnalisée en un seul clic. Ce petit changement fera économiser de nombreux clics aux éditeurs ! C’est à se demander comment on a pu ne pas y penser avant ! #67116
WordPress 6.8 ajoute une fonctionnalité basée sur le plugin Speculative Loading qui intégrera désormais le core WordPress. Il s’agit donc du préchargement spéculatif, une API qui communique avec les navigateurs web. Elle accélère le chargement des pages en anticipant les interactions des visiteurs. Pour l’heure, elle n’est supportée que par les navigateurs basés sur Chromium (Chrome, Edge, Brave, Opera). Firefox teste cela expérimentalement. Core WP #62503
Cette nouvelle technologie attise la curiosité et chez LRob, on espère pouvoir mesurer l’impact sur l’utilisation serveur et autres métriques.
🔎 Affichage des boucles de requêtes plus efficaces
Désormais, il sera possible de filtrer les contenus par année, paginer plus efficacement et structurer les requêtes avec plus de flexibilité.
Les boucles de requêtes présentaient des soucis de logique sur l’affichage des articles mis en avant dans l’éditeur. Cela sera enfin corrigé dans WordPress 6.8. #68570 et #66126
Il sera possible d’ignorer les sticky posts pour tout simplement afficher tous les articles. Et non pas seulement les sticky, ou seulement les non sticky. De quoi simplifier le layout des boucles de requêtes. Enfin ! #66221
Il sera aussi possible de définir une limite de “profondeur” (depth limit) pour les pages enfants (sous-catégories). #68620
👉 Amélioration de l’API d’interactivité introduite dans 6.7
On retrouvera au moins le “lightbox” du bloc galerie, et une fonction de recherche instantanée. Et la navigation pleine page serait améliorée (pas de référence d’issue fournie par WP.org, difficile de savoir concrètement de quoi il s’agit) avec des améliorations régionales (en fonction de la langue).
D’autres fonctionnalités liées sont en préparation.
🖥️ Affichage des données améliorées dans le back-office
WordPress 6.8 unifie le comportement des listes et grilles affichant par exemple les templates dans l’éditeur de sites. La discussion est si énorme qu’elle prendrait des heures à résumer. Pour celle-ci, il faudra attendre la sortie ! #67477
Sur les propriétés d’une page ou d’un post, il sera possible d’éditer plusieurs champs en une fois, économisant un grand nombre de clics. #65399
Une confirmation a été ajoutée lors du vidage des éléments de la corbeille de pages dans l’éditeur FSE. #67824
Les marges autour des boutons d’action ont été légèrement réduites pour éviter le gaspillage d’espace. #67032
L’affichage par grilles permet de choisir la densité d’affichage. #67170
Un badge peut être ajouté dans les grilles de vues (par exemple pour la synchronisation des templates). #68062
Les espacements sur les filtres dans l’affichage des pages de l’éditeur ont été réduits pour éviter le clipping. #65835
Enfin, il sera possible pour les thèmes FSE de changer plus facilement le template des pages depuis l’éditeur de sites. #66591
🧱 Correctifs et améliorations de Gutenberg
Plusieurs blocs manquaient de la gestion des marges et autres contrôles. Cela a été ajouté. #68450, #64425, #68323
L’ajout d’images de fond (par exemple pour les groupes) se retrouve désormais sous un bouton “+” pour uniformiser ce choix optionnel avec les autres choix optionnels. #68085
Enfin, petit détail mais pas des moindres, des chevrons de sélection des polices et des ombres permettant de tout supprimer seront disponibles là où ils manquaient pour ré-uniformiser l’éditeur. #67253
🔐 Sécurité renforcée avec bcrypt pour le hachage des mots de passe
Grande avancée côté sécurité : WordPress 6.8 adopte bcrypt pour le hachage des mots de passe, rendant le stockage et la protection des accès beaucoup plus robustes. Ce changement renforce également la gestion des clés de sécurité et des mots de passe d’application.
🚀 Optimisations supplémentaires pour des sites plus rapides
WordPress 6.8 optimise encore les performances avec :
Lazy load des métadonnées des articles et utilisateurs,
Amélioration du cache des requêtes (notamment dans WP_Query),
Optimisation du chargement des images d’en-tête et du tri aléatoire ORDER BY RAND().
🏆 Accessibilité : WordPress devient fait des bonds en avant
La liste complète des correctifs et améliorations est longue :
Révision de l’utilisation de target=”_blank” dans l’administration
Suppression des attributs title inutiles
Ajout de boutons de soumission sur les champs de formulaire dans le panneau Ajouter un média
Utilisation d’éléments sémantiques pour les faux liens (non-link links)
Ajout d’un message d’erreur en cas de mot de passe incorrect sur les articles protégés
Éditeur de code : le linter (HTMLHint) doit afficher une erreur si une case à cocher n’a pas d’étiquette associée
L’uploader de médias ne restreint pas les types de fichiers acceptés en fonction du contexte actuel
Thème Twenty Twenty : le sous-menu d’un menu horizontal doit pouvoir être fermé
Ajout de préfixes aux notifications d’administration (Avertissement, Erreur, Succès, Info)
Amélioration de l’accessibilité des notifications d’administration
Correction et amélioration du réagencement des metaboxes
Ajout d’un mécanisme pour des info-bulles accessibles dans le cœur de WordPress
Thème Twenty Twenty : fermeture du menu et de la recherche peut entraîner un saut de défilement
Lecture excessive de texte avec erreurs dans la bibliothèque de médias
La réinitialisation du mot de passe doit pré-remplir le nom d’utilisateur pour répondre aux normes WCAG 2.2
Validation des liens personnalisés dans le menu d’administration non accessible
Simplification des libellés add_new_item pour les types de publication par défaut
Mise à jour de la classe CSS screen-reader-text et de ses implémentations locales
Absence de bouton submit – mauvais pour l’accessibilité
Ajout d’un arrière-plan plus clair pour l’administration
Ajout de padding et de changements de couleur aux boutons et aux champs de saisie
Modification du poids des polices pour les paramètres et autres libellés similaires
Ajustement du fond des lignes alternées dans les tableaux des articles et des pages
Le bloc core/site-title ajoute aria-current à la page du blog même si ce n’est pas la page d’accueil
get_custom_logo n’applique pas toujours l’attribut aria-current correctement
Amélioration de la sémantique HTML dans les tableaux des Informations sur la santé du site
Suppression des attributs title des scripts de l’éditeur classique
WordPress 6.8 : Une version axée sur la stabilité et l’optimisation
WordPress 6.8 va grandement améliorer l’expérience administrateur. Et continuer de convertir de plus en plus en plus de monde à Gutenberg et au Full Site Editing (FSE). Que vous soyez développeur, créateur de contenu, propriétaire de site, ou même visiteur, cette version garantit un écosystème encore plus agréable.
🚀 Préparez-vous dès maintenant à WordPress 6.8 avec LRob
Chez LRob, les hébergement sont optimisés pour WordPress.
Sécurité, performances, outils de gestion et support, tout y est.
La version majeure 31.0.0 de Nextcloud est sortie ce 25 février 2025. Si les notes de version officielles sont cette fois-ci très courtes, les améliorations sont ne sont pas en reste !
Chez LRob, nous proposons des instances Nextcloud managées avec mises à jour incluses, sauvegardées quotidiennement, avec stockage SSD NVMe pour des performances maximales et intégration de Collabora Online pour un travail collaboratif complet ! ➡️ Découvrez nos offres d’hébergement Nextcloud !
Et l’alternative open-source aux géants du cloud ne déçoit pas ! Comme tous les 5 à 6 mois, Nextcloud continue d’innover pour offrir une expérience toujours plus agréable, rapide, fiable et sécurisée à ses utilisateurs.
Pour résumer le changelog impressionnant des 1991 changements de cette mise à jour, nous avons passé tout cela à la moulinette de l’IA, pour que vous n’ayez pas à le faire… ! Voici ce qu’il faut retenir.
Table of Contents
Des performances accrues et une meilleure gestion des bases de données
L’un des grands points forts de cette version est l’optimisation de la gestion des bases de données et des performances générales du système. Parmi les principales améliorations :
Optimisation de LDAP : La vérification des mots de passe LDAP a été revue pour réduire la charge CPU inutile ( server#35867).
Prise en charge des sockets UNIX pour occ db:convert-type : Une fonctionnalité très attendue pour faciliter les migrations de bases de données ( server#39242).
Corrections sur PostgreSQL : Amélioration de la gestion des permissions après la création d’une base de données ( server#38750).
Meilleure gestion du sharding : Transparence accrue sur la gestion des données réparties sur plusieurs serveurs ( server#46639).
LRob contribue à la résolution d’un bug
LRob est fier d’avoir contribué à la correction d’un bug critique affectant la commande occ db:convert-type, apparu avec l’ajout du support PrimaryReadReplicaConnection. Ce bug empêchait la conversion correcte des bases de données, un problème important pour les entreprises et administrateurs gérant des environnements Nextcloud divers et variés et ayant, comme LRob besoin de convertir des bases de données lors de migrations.
✅ Suite à l’intervention de LRob, le ticket a été relancé et la correction intégrée dans cette version. Voir le ticket GitHub #45257.
L’un de nos clients pourra ainsi passer de PostgreSQL à MariaDB en toute sécurité grâce à cette mise à jour.
Une amélioration de l’expérience utilisateur
Nextcloud 31 ne se contente pas d’améliorer les performances : cette version apporte aussi de nombreuses améliorations UX qui rendent l’utilisation plus intuitive et agréable.
1. Une interface modernisée
Migration progressive des pages vers Vue.js, pour un affichage plus fluide et réactif ( server#45652).
Correction des problèmes d’affichage des menus et du sélecteur de fichiers ( server#47203).
Alignement de l’interface avec le design Nextcloud 30 ( server#47248).
2. Une meilleure gestion du partage de fichiers
Possibilité de configurer la longueur des tokens de partage ( server#47265).
Amélioration des rappels pour les partages avec date d’expiration ( server#47412).
Une nouvelle commande pour mettre à jour les re-partages en cas de suppression d’un utilisateur ( server#43025).
3. Des optimisations pour les administrateurs
Ajout d’une commande occ user:welcome pour envoyer un email de bienvenue ( server#39611).
Prise en charge du stockage APCu sans échec si la configuration n’est pas disponible ( server#46151).
Options avancées pour la migration des fichiers chiffrés ( server#44555).
Une sécurité renforcée
Nextcloud 31 continue de renforcer la sécurité, un point crucial pour les entreprises et les utilisateurs soucieux de protéger leurs données.
WebAuthn : Ajout d’une vérification utilisateur pour les défis WebAuthn ( server#47253).
Gestion améliorée des tokens OAuth2 ( server#37761).
Vérifications et logs améliorés pour détecter les transactions SQL lentes et optimiser les performances ( server#47510).
Amélioration de la prise en charge des certificats SSL dans les environnements auto-hébergés ( server#48307).
Maintenez votre instance Nextcloud à jour en toute simplicité avec LRob
Nextcloud 31 apporte de nombreuses améliorations très utiles. Mais comme pour toute mise à jour, cela peut nécessiter des configurations et adaptations complexes. Chez LRob, nous prenons cela en charge pour vous ! Comme à chaque sortie majeure, nous prenons le temps de vérifier le bon fonctionnement de la version 31 avant de la déployer pour tous les clients dans les prochaines semaines. Sauf mention explicite, les mises à jour Nextcloud sont effectuées après 23h ou durant le week-end.
💡 Prêt à passer à Nextcloud 31 avec une instance sécurisée et optimisée ?Découvrez nos offres d’hébergement Nextcloud et bénéficiez d’un service fiable et performant avec un contrôle total sur vos données hébergées en Europe, et un support attentionné !
Dès le le 4 juin 2025, Let’s Encrypt ne vous enverra plus d’emails pour vous avertir de l’expiration de vos certificats SSL/TLS. Ce changement, qui peut sembler surprenant, est en réalité une excellente nouvelle pour les administrateurs système, les hébergeurs web et les propriétaires de sites. Dans cet article, nous allons voir pourquoi cette décision simplifie la gestion des certificats et améliore la sécurité.
Chez LRob, nos offres d’hébergement web intègrent déjà Let’s Encrypt et automatisent la gestion des certificats SSL, garantissant un HTTPS toujours fonctionnel sans intervention manuelle.
Let’s Encrypt : un acteur clé du SSL/TLS gratuit et automatique
Let’s Encrypt est une autorité de certification qui fournit gratuitement des certificats SSL/TLS. Il permet à des millions de sites d’afficher le fameux cadenas de sécurité dans les navigateurs et d’assurer une connexion chiffrée en HTTPS.
Jusqu’à présent, si vous utilisiez Let’s Encrypt, vous receviez automatiquement des emails pour vous avertir de l’expiration imminente de vos certificats. Mais cette fonctionnalité va disparaître.
Pourquoi Let’s Encrypt supprime les notifications d’expiration
Let’s Encrypt a annoncé que les notifications d’expiration seront désactivées à partir du 4 juin 2025.
Article de blog Let’s Encrypt
Voici les raisons principales :
1. L’automatisation des certificats SSL est devenue la norme
Il y a 10 ans, renouveler un certificat était souvent un processus manuel. Aujourd’hui, tout bon hébergeur web et les outils d’administration système proposent un renouvellement automatique, ce qui rend les emails d’expiration inutiles.
Chez LRob, tous les certificats Let’s Encrypt sont renouvelés automatiquement pour éviter toute interruption de service. Pour nos clients qui utilisent un certificat wildcard, le renouvellement reste automatisé tant que le site utilise nos serveurs DNS.
2. Des notifications souvent inutiles ou trompeuses
Les emails d’expiration avaient plusieurs inconvénients :
Certificats remplacés mais toujours notifiés : Si vous régénériez un certificat pour une raison X ou Y, vous pouviez recevoir une alerte pour un certificat qui n’était plus en usage.
Emails ignorés ou mal interprétés : Les alertes pouvaient semer la confusion chez les propriétaires d’hébergements qui ne comprenaient pas toujours de quoi il s’agissait.
3. Amélioration de la protection des données personnelles
Let’s Encrypt stockait des millions d’adresses email uniquement pour envoyer ces alertes. En supprimant cette fonctionnalité, l’organisation renforce la protection de la vie privée des utilisateurs.
4. Réduction des coûts et de la complexité
Gérer ces notifications représentait des dizaines de milliers de dollars de frais par an pour Let’s Encrypt. Ces ressources seront maintenant allouées à l’amélioration de l’infrastructure et de la fiabilité du service.
Comment s’assurer que votre certificat SSL reste actif ?
Vous êtes client LRob ? Bonne nouvelle : vous n’avez rien à faire.
Nos hébergements web gèrent le renouvellement automatique de vos certificats Let’s Encrypt et vous alertent en cas d’anomalie. De plus nous monitorons les domaines hébergés afin d’être alertés avant l’expiration en cas de non renouvellement. Vous n’avez plus à vous soucier des expirations.
De plus, nous utilisons une clé de chiffrement RSA de 4096 bits au lieu de 2048 par défaut, pour une meilleure sécurité des données échangées entre les visiteurs et vos sites internet.
Utiliser un service de monitoring SSL
Si vous gérez vos certificats en dehors de LRob, nous vous conseillons de mettre en place un monitoring SSL, comme :
Red Sift Certificates Lite (anciennement Hardenize) : Gratuit pour surveiller jusqu’à 250 certificats.
Uptime Kuma ou Cert Spotter : Outils permettant de surveiller l’état de vos certificats et de recevoir des alertes en cas d’expiration.
Conclusion : Une simplification bénéfique pour l’hébergement web
La fin des notifications d’expiration de Let’s Encrypt est une évolution logique : les certificats sont maintenant automatisés et les solutions de surveillance permettent de pallier tout oubli.
Avec nos offres d’hébergement web, nous garantissons un HTTPS toujours actif, sans tracas. Vous cherchez un hébergeur qui intègre Let’s Encrypt et gère tout pour vous ? Rejoignez-nous !
Un hébergement WordPress ultra-performant et sécurisé, sans compromis
Chez LRob, notre mission est claire : offrir un hébergement WordPress rapide et sûr, en minimisant l’impact des attaques tout en optimisant les performances serveur. Contrairement à des solutions standard qui se contentent de répondre aux menaces, nous allons plus loin en prévenant activement les serveur charges inutiles.
Car si certains hébergeurs n’implémentent pas ou pas assez de blocage des attaques ou n’offrent aucune transparence, LRob peut afficher fièrement ses mesures en place et les résultats obtenus.
Dans cet article, nous vous expliquons notre stratégie qui repose sur trois couches de sécurité conçues pour bloquer efficacement les attaquants et vous offrir un maximum de sécurité et de performances pour vos site web.
Les attaques sur WordPress : un fléau qui consomme vos ressources
Les sites WordPress sont la cible de nombreuses attaques automatisées. Ces attaques prennent deux formes principales :
Les attaques réelles, qui consomment énormément de ressources. Par exemple, les tentatives de connexion massives ou les requêtes ciblant XML-RPC (xmlrpc.php) sollicitent fortement le CPU car elles atteignent directement PHP et ne peuvent pas être mises en cache. De même, certaines requêtes POST peuvent être interprétées par PHP et causer une charge excessive.
Les requêtes parasites, qui génèrent des réponses inutiles comme des erreurs 301, 403 (pare-feu applicatif ou règles serveur) ou 404. Bien qu’elles ne soient pas toujours malveillantes, elles alourdissent les logs et réduisent l’efficacité du serveur.
Sans les protections adéquates, cela peut saturer les serveurs et ralentir vos sites. C’est l’une des causes de lenteurs que l’on observe chez de nombreux hébergeurs.
C’est pourquoi LRob se bat activement contre ce type d’attaques. Et Notre approche fait la différence : nous ne nous contentons pas d’atténuer l’impact des requêtes malveillantes, nous les éliminons avant qu’elles ne deviennent un problème.
Notre stratégie de protection en trois niveaux
1. Des règles de sécurité spécifiques à WordPress
Nous implémentons des règles de sécurité strictes adaptées aux spécificités de WordPress, comme celles fournies par le WordPress Toolkit de Plesk, mais aussi des configurations personnalisées pour réduire la surface d’attaque.
Par exemple, nous interdisons certaines requêtes dans certains répertoires clé de WordPress, nous bloquons les requêtes sur XML-RPC lorsque inutilisé, et référençons les tentatives de connexion échouées à WordPress.
Cela permet de repérer ou bloquer directement les accès non autorisés et les comportements anormaux propres au CMS.
2. ModSecurity : un pare-feu applicatif puissant
ModSecurity agit comme un filtre intelligent en bloquant les requêtes malveillantes avant qu’elles n’atteignent WordPress. Cette solution permet d’arrêter les attaques les plus courantes comme les injections SQL, le XSS ou les scans de vulnérabilités, ajoutant ainsi une protection significative à votre site, même lorsque celui-ci contient des failles de sécurité connues.
Cependant, bloquer une requête ne suffit pas éviter l’utilisation inutile de ressources serveur. C’est là qu’intervient fail2ban.
3. Fail2ban : bloquer les attaquants de manière définitive
Fail2ban analyse les logs des attaques des deux sécurités précédentes et bloque automatiquement les IP malveillantes en les empêchant de faire d’autres requêtes.
En clair :
Fail2ban répertorie les attaquants via leur IP
Si un attaquant réitère son attaque, fail2ban bannit l’IP attaquante.
Résultat : cette IP ne pourra plus envoyer de requêtes à votre site.
Vous gagnez ainsi drastiquement sur deux plans : performance et sécurité. Votre site est plus rapide à charger et beaucoup moins sujet aux attaques.
Résultat : un site plus rapide, plus sûr, et des ressources libérées
Avec cette stratégie, nous constatons une baisse drastique de l’utilisation CPU sur nos serveurs, tout en améliorant la disponibilité et la réactivité des sites de nos clients.
Quelques chiffres :
Jusqu’à 95% de l’utilisation CPU économisée en bloquant directement les attaquants.
Un serveur autrefois saturé peut tomber à 5% d’utilisation après mise en place des protections.
Une réduction de 95% des logs parasites et une meilleure lisibilité des analyses de trafic.
J’aimerais pouvoir vous donner des chiffres sur le gain de sécurité. Mais il faudrait pour cela qu’un seul site hébergé par LRob aie été piraté. Cela n’est encore jamais arrivé. Il serait trop prétentieux de prétendre que cela réduit de 100% le risque de piratage d’un site. Néanmoins, on peut être confiant en le fait que cela mène la vie dure aux attaquants et rend le piratage de votre site extrêmement plus difficile.
Pourquoi choisir LRob pour votre hébergement WordPress ?
Nous ne nous contentons pas d’offrir un simple hébergement, nous optimisons en permanence notre infrastructure pour offrir une expérience fluide et sécurisée à nos clients.
Avec des règles de sécurité spécifiques, ModSecurity et fail2ban, nous assurons :
✅ Une protection proactive contre les attaques
✅ Des performances optimales pour vos visiteurs
✅ Un serveur déchargé des requêtes inutiles
Ne laissez pas des bots ralentir votre site.
Optez pour un hébergement web pensé pour la sécurité et la performance avec LRob ! 🚀
Une nouvelle menace d’ampleur inédite secoue le web : 2.8 millions de périphériques réseau compromis sont actuellement exploités pour inonder Internet de requêtes malveillantes.
Chez LRob, en tant qu’hébergeur web, nous avons observé une augmentation spectaculaire des attaques ces derniers jours. Nous vous expliquerons comment nous les bloquons efficacement.
Ces attaques ne sont pas seulement une nuisance : elles peuvent gravement impacter la performance et la sécurité de vos sites web. Quel est le fonctionnement de l’attaque ? Quel est son impact sur vos sites web ? Comment vous protéger ? Réponses.
Détails de l’attaque cyber
Découverte de l’attaque de cybersécurité
Comme nous l’indique notamment Cyber Security News dans son article, une vaste attaque par brute-force (essai de tous les mots de passe) a commencé par cibler les connexions VPN et pare-feu en utilisant 2,8 millions d’adresses IP. Une sorte de bruteforce croisé à du DDoS (Distributed Denial of Service) géant.
Détectée pour la première fois en janvier 2025 par la fondation Shadowserver, cette campagne vise les dispositifs de sécurité en périphérie, comme les VPN, pare-feu et routeurs de fournisseurs tels que Palo Alto Networks, Ivanti et SonicWall.
Les cybercriminels utilisent des réseaux de proxy résidentiels et des appareils compromis, notamment des routeurs MikroTik, Huawei et Cisco, pour mener ces attaques. Plus de 1,1 million d’adresses IP impliquées proviennent du Brésil. Suivi de la Turquie, la Russie, l’Argentine, le Maroc, le Mexique et d’autres pays comme l’Irlande selon certaines observations.
L’ensemble forme un botnet de plus en plus gros, pouvant mener diverses attaques. Et nous confirmons que cela commence à se voir côté hébergement web avec des attaques grandissantes depuis quelques jours. Il se pourrait donc que de nombreux nouveaux périphériques soient compromis.
Réaction des organismes officiels de cybersécurité
Face à cette menace croissante, les agences de cybersécurité internationales (CISA, NCSC, etc.) recommandent aux fabricants d’améliorer la sécurité par défaut de leurs dispositifs et aux entreprises de renforcer la protection de leurs accès réseau. L’utilisation de l’authentification multifactorielle (MFA), la mise à jour régulière des systèmes et la segmentation du réseau sont essentielles pour réduire les risques. Shadowserver avertit que ces attaques devraient se poursuivre, touchant d’autres fournisseurs et régions.
Propagation aux hébergements web – Observations LRob
Chez LRob, nous avons observé une augmentation des requêtes illégitimes depuis le début de l’année 2025, puis un bond drastique depuis le 8 février.
Ce 11 février, c’est le record avec +500% d’attaquants bloqués par rapport à la moyenne habituelle.
Un confrère confirme une augmentation simultanée des attaques reçues sur ses machines. Je me rapproche également d’autres confrères hébergeurs pour voir si eux aussi constatent une augmentation des attaques.
En chiffres bruts, nous avons dépassé 10.000 attaquants bloqués le mardi 11 Février 2025, soit 5x la valeur moyenne.
Concernant la charge serveur l’utilisation CPU moyenne des serveurs a augmenté d’environ 6%, passant de 14 à 20%. Si cela nous laisse 80% de marge de manœuvre, c’est déjà suffisant pour que nous réagissions (voir plus bas).
Provenance des attaques
De notre côté, les attaques proviennent de partout dans le monde et nous n’avons pas fait de statistiques précises sur la provenance, car cela demande une logistique importante pour peu de plus-value. La priorité est de bloquer un maximum d’attaques.
De plus, le type d’origine des attaques est très varié, cela vient d’IP domestiques comme d’IP en datacenter. Ce qui laisse à penser que nous avons affaire à un énorme botnet.
Concernant l’origine géographique, avec des pincettes, nous pouvons dire à vue d’œil que les attaques semblent provenir d’un peu partout dans le monde, avec la Chine potentiellement en tête (rien d’inhabituel, donc…).
Mais on observe également des attaques provenant de Singapour, du Brésil, d’Inde, du Vietnam, du Kazakhstan, Espagne, Finlande, Japon, Corée, Hong Kong, Thaïlande, Canada, USA, Géorgie, France, Italie, Royaume Uni, Bangladesh, Roumanie, Philippines…
Bref, rien ne se démarque à vue d’œil, les attaques viennent de partout, comme d’habitude.
Corrélation n’est pas causalité – Quelques réserves
Il faut concéder qu’il est impossible de faire un lien certain entre l’attaque mondiale en cours et cette augmentation d’attaques sur les serveurs web et les sites WordPress LRob. En effet, malgré la confirmation d’un confrère, l’échantillon n’est pas suffisant pour conclure avec certitude.
Cependant la corrélation reste frappante et il ne semble pas délirant de penser que les deux sont liés. Pour aller plus loin, la consultation d’autres confrères pourra nous permettre de vérifier si les attaques sont généralisées ou pas.
Les administrateurs, agences web et possesseurs de sites WordPress doivent s’interroger : “mon hébergement WordPress est-il prêt à encaisser cette vague d’attaques ?“
Que ce soit pour l’attaque actuelle ou les suivantes, si votre hébergeur web ne bloque pas ces attaques, vous pourriez rapidement en subir les conséquences :
Lenteurs : des requêtes parasites ralentissent votre site
Inaccessibilité : une saturation totale des serveurs peut empêcher toute réponse de votre site
Intrusions : une attaque réussie peut compromettre vos données et celles de vos clients
Dégradation du SEO : si un seul des points précédents se produit, cela peut dégrader fortement votre référencement
Comment protéger vos hébergements WordPress ? Méthode LRob.
LRob pratique déjà le blocage automatique des attaquants directement au niveau des serveurs. Cela réduit drastiquement la charge serveur, améliore les performances et réduit dratiquement le risque par rapport aux hébergeurs classiques. C’est selon nous la meilleure solution, testée et éprouvée depuis des années.
Un pare-feu applicatif (WAF), et de nombreuses règles de sécurité spécifiques à WordPress sont appliquées : cela permet de conserver vos sites web rapides et protégés.
Si ces sécurités sont déclenchées, alors l’attaquant est totalement bloqué du serveur. Ses attaques et requêtes n’ont alors plus aucun effet.
En bonus, on signale l’attaque sur AbuseIPDB pour aider les rares hébergeurs consciencieux à travers le monde.
Cependant, nous avons malgré cela observé une légère augmentation de 6% de l’utilisation CPU de nos serveurs, et en nombre d’attaques brutes, cela représente comme on l’a vu +500%.
En vérifiant la cause première de cette augmentation d’utilisation CPU, il s’agissait surtout de requêtes 404 (URLs inexistantes) pour environ 5%, et 1% d’autres requêtes plus complexes.
Nous avons donc pris des mesures supplémentaires pour retrouver un niveau de charge habituel. En s’ajustant ainsi, nous pouvons continuer d’assurer la performance maximale aux sites hébergés, même en cas d’accentuation de l’attaque. Nous ne sommes pas invincibles (personne ne l’est), mais nous n’avons pas à rougir face aux autres hébergeurs, bien au contraire. Et nous avons d’autres tours dans notre sac si besoin.
Nouvelles mesures de réduction du gaspillage de ressources
Certaines IP malveillantes génèrent un flot de requêtes inutiles (erreurs 404, scrapping abusif, etc.), gaspillant des cycles d’horloge processeur sans représenter une menace directe. Et le gaspillage est insupportable.
Nous avons donc mis en place une règle stricte : Les IP déclenchant trop de 404 sont désormais automatiquement bannies.
Les résultats sont immédiats :
Plus de 500 attaquants bannis grâce à cette règle en 24h
Réduction significative de l’utilisation CPU
Performance constante pour les visiteurs légitimes
Bien-sûr, nous ne pouvons pas détailler toutes les nouvelles règles publiquement, mais si vous êtes administrateur de serveur, un conseil : utilisez top/htop (en espérant que chaque site possède son propre user et FPM) et vérifiez vos logs avec de bons “grep”, et enfin, créez des jail custom sur fail2ban… Également, whitelistez les moteurs de recherche comme Google et Bing car ceux-ci déclenchent de nombreuses 404 et il serait dommage de déréférencer vos sites hébergés.
Pourquoi tous les hébergeurs n’appliquent-ils pas ces sécurités ?
La détection fine des attaques et le blocage automatique des attaquants est une solution très efficace. Pourtant, tous les hébergeurs n’appliquent pas ce genre de sécurités. Pourquoi ?
Si l’adresse IP d’un utilisateur légitime déclenche la sécurité par accident, il perd l’accès à son site. On appelle cela un “faux positif”. Et vers qui va-t-il se tourner pour diagnostiquer l’origine du blocage et se faire débloquer ? Vers son hébergeur.
A ma connaissance, à de rares exceptions près, la plupart des hébergeurs n’ont pas envie d’utiliser leur temps pour cela. Parfois ils sont même difficilement joignables. En pratique, extrêmement peu d’hébergeurs semblent appliquer ce type de sécurités.
Ne pas appliquer ces sécurités a deux effets principaux :
Pour l’hébergeur : cela réduit drastiquement le nombre d’appels et de tickets reçus… Donc les coûts. Cependant, cela augmente drastiquement la charge serveur (l’utilisation inutile de ressources). Chacun fait donc son calcul… Payer des humains, ou payer des machines… Pour beaucoup, le choix semble se tourner vers les machines. Que ceux-là n’osent pas me parler d’éco-responsabilité.
Pour les clients : cela réduit dangereusement le niveau de sécurité final de vos sites web, laissant champ libre aux attaquants et pouvant causer des lenteurs.
Chez LRob, notre but n’est pas de pratiquer des prix planchers et de vous laisser vous faire attaquer et sans support. Nous n’avons pas peur de recevoir vos tickets, emails et appels. Nous restons à votre disposition et ajustons les sécurités en fonction de vos besoins spécifiques. Ainsi, vous êtes bien protégés, conseillés, et débloqués rapidement si besoin. Choisissez votre hébergement WordPress maintenant !
Au final, quel impact pour LRob ?
Nous n’avons pour l’heure subi aucune lenteur causée par ces attaques 🚀 (car nous sommes encore très loin d’une saturation serveur grâce à un taux de remplissage raisonné et une optimisation permanente).
Aucune attaque réussie n’a été détectée. Et toujours aucun site piraté à déplorer. 🔒
Par ailleurs nous avons retrouvé nos 6% de CPU gaspillés et amélioré encore le niveau de sécurité final.
Nous restons attentifs, car la sécurité à 100% n’existe pas et personne n’est invulnérable. Nous surveillons donc en permanence les nouvelles menaces et adaptons les systèmes de défense en temps réel. Pour que votre site reste performant et sécurisé, quelles que soient les évolutions du paysage cyber. 🚀
Optez pour un hébergement WordPress sécurisé et performant
Un hébergement optimisé ne se limite pas à proposer un espace disque et une bande passante. Il doit anticiper les menaces, protéger activement votre site et garantir une rapidité d’exécution. Votre hébergeur doit aussi vous conseiller au quotidien et vous fournir un vrai support de qualité.
Avec LRob, vous bénéficiez d’un environnement conçu spécialement pour WordPress, capable de détecter, bloquer et s’adapter aux attaques. Au passage, profitez d’un des du plus hauts niveaux de performances, d’un panel simple et intuitif avec le WordPress Toolkit, et d’un support attentionné !
Les choix technologiques et matériels de votre hébergeur impactent directement les performances de votre site web. Pourtant, la plupart des hébergeurs restent vagues sur leurs infrastructures et leurs performances réelles. En tant que client, vous ne savez souvent pas ce pour quoi vous payez.
Chez LRob, nous essayons de faire mieux. Beaucoup mieux. Nous avons une approche transparente : nous mesurons, comparons et optimisons chaque paramètre, chaque choix matériel, pour garantir une vitesse de chargement jusqu’à 10x plus rapide que la concurrence. Nous tentons ainsi de vous proposer les hébergements web spécialisés WordPress les plus rapides. Et comme nous sommes fiers des résultats, nous n’avons aucun mal à vous les dévoiler.
Dans cet article, nous dévoilons donc nos benchmarks CPU et IOPS (SSD NVMe) pour vous expliquer comment nous choisissons nos serveurs. Nous vous montrerons ce qui fait vraiment la différence en matière de performances web.
Table of Contents
Quels sont les critères d’un hébergeur web performant ?
Une infrastructure web comporte plusieurs éléments. Entre logiciels, matériel, choix d’infrastructure et politique de remplissage, de suivi, de lutte anti-robots… Tout cela va impacter la vitesse finale de votre site.
Si en tant que webmaster, vous avez très certainement votre rôle à jouer dans l’optimisation de votre site web (et LRob peut vous y aider), l’hébergeur joue un rôle central et auquel vous ne pouvez pas couper.
Décortiquons ce qui compose un serveur web, et l’impact sur les performances de chaque élément. Et voyons ce qu’il en est chez LRob.
Les composants logiciels
Les logiciels d’un serveur web ne sont pas si nombreux. Leur impact peut cependant être drastique sur les performances finales.
Voici donc un résumé des différents composants logiciels et de leur impact.
Serveur front (Apache, nginx, LiteSpeed…)
Il s’agit du serveur HTTP(S) en lui-même. Il communique avec l’extérieur directement et son support de nouvelles technologies comme HTTP/3 ou la compression Brotli peuvent améliorer la vitesse de chargement des visiteurs. Les serveurs nginx et LiteSpeed sont considérés comme les plus performants, là où Apache est le plus compatible.
Chez LRob, nous combinons le meilleur des deux mondes, avec Apache en “back” et nginx en “front”, via une astuce technique assez courante appelée “reverse proxy”. Cela permet de maximiser les performances et la compatibilité en même temps, tout en ajoutant le support d’HTTP/3 et la compression Brotli et la mise en cache des fichiers, grâce à nginx.
Configuration serveur front : Au delà du support ou non des nouvelles normes HTTP comme HTTP/3, deux critères principaux se démarquent : le nombre maximal de clients connectés en simultané, durée de vie d’une connexion. Cela détermine directement le nombre de visiteurs maximal supportés. D’autres critères comme le cache de fichiers nginx peuvent rentrer en jeu.
LRob optimise intelligemment ces limites de sorte qu’elles aient la valeur maximale supportée par le matériel, sans saturer les ressources CPU ou RAM. La configuration permet également le cache de fichiers nginx en plus du cache système. Les valeurs peuvent être augmentées à la demande en fonction des cas spécifiques.
Serveur de base de données (MySQL, MariaDB)
La base de données est appelée à chaque visite de page sur le site. L’utilisation d’une version plus récente de MySQL ou MariaDB ainsi que de configurations optimisées amélioreront les performances. MariaDB est généralement considéré comme le plus libre et le plus performant. Les deux sont globalement inter-compatibles.
Actuellement, les serveurs LRob utilisent MariaDB 10.11 et MariaDB 11.4.
Configuration du serveur de base de données : MySQL et MariaDB comportent de nombreux réglages, comme la taille maximale d’une requête ou la taille du cache en RAM. Aucun hébergeur ne communique sur cela. Pourtant, de bons réglages généreux en RAM peuvent décupler les performances de la base de données.
Chez LRob, le buffer innodb est de 32Go minimum, ce qui permet d’inclure la quasi totalité des bases de données en RAM serveur pour des performances maximales.
Versions de PHP
Chaque nouvelle version de PHP est plus rapide que la précédente depuis quelques années. Si votre site et hébergeur sont compatibles, alors il faut toujours opter pour la version la plus récente pour des performances maximales.
Le handler ou “connecteur” PHP fait le lien entre le serveur front et PHP. Celui-ci peut avoir un impact drastique sur les performances. FPM et LSPHP sont les deux plus performants.
LRob utilise FPM avec une instance dédiée par site plutôt qu’une instance générale sur le serveur.
Configuration du handler PHP : Le handler PHP déterminera d’une part les limites de PHP en lui-même (par exemple la durée maximale d’exécution d’un script, ou la quantité de RAM maximale utilisable par un script), mais également le nombre de processus (threads) PHP simultanées qui peuvent tourner, qui détermine finalement le nombre de visiteurs maximal que vous pouvez servir en un temps donné – critère qui dépend aussi de la vitesse finale de votre site-.
Chez LRob, les limites PHP dépendent de votre offre d’hébergement. Elles sont indiquées en toute transparence et sont dimensionnées en cohérence avec le dimensionnement de votre offre. A noter qu’un thread PHP-FPM sur un serveur puissant pourra servir davantage de pages par seconde que sur un serveur peu performant. Ainsi, même avec l’offre initiale LRob (Starter) qui offre seulement 2 FPM, vous pouvez, avec un site bien optimisé, servir plusieurs milliers de pages par minute (plus de 7500 pages/minute).
Support de Cache RAM
Support de cache RAM (Redis, memcached) : Si votre site et votre hébergeur sont compatibles, cela peut décupler les performances de votre site en stockant vos pages et requêtes en RAM serveur.
LRob fournit un cache Redis en standard sur tous ses hébergements.
Composants hardware (matériels)
Le matériel derrière les serveurs web fait une différence majeure sur la vitesse de chargement finale. Plusieurs composants interagissent.
Le CPU
Le processeur des serveurs va directement déterminer la puissance de calcul disponible.
On peut résumer cela en 2 parties : La puissance “single thread”, la puissance “multi-thread”. Autrement dit, la quantité de travail réalisable sur une tâche seule qui s’exécute sur un seul cœur de processeur, et la quantité de travail totale réalisable sur tous les cœurs de processeur en même temps.
Grossièrement, la puissance “single thread” détermine la vitesse de votre site lorsqu’il n’y a qu’un seul visiteur, tandis que la puissance “multi-thread” détermine le nombre de visiteurs maximal que vous pouvez accueillir. A noter que lorsque vous utilisez toute la puissance “multi-thread”, vous réduisez plus ou moins la puissance “single-thread” en fonction du type de CPU utilisé, comme on le verra dans les benchmarks suivants.
En 2025, LRob choisit des processeurs 12 à 16 cores (24 et 32 threads) chez AMD qui propose les meilleures performances brutes selon nos diverses mesures.
La RAM
La RAM stocke les programmes serveur et les calculs du CPU. Plus le serveur dispose de RAM, plus il pourra contenir de cache (MySQL, Redis, nginx, fichiers) et plus il pourra faire tourner de processus PHP. Là encore, cela affecte le nombre de visiteurs simultanés maximum et les performances obtenues.
En 2025, LRob choisit des serveurs avec 128Go de RAM en standard, de quoi ne jamais être à court et profiter de mises en cache très généreuses pour éviter tout ralentissement.
L’IO du stockage
La capacité de stockage n’est pas un critère de rapidité sur un serveur web. On mesure plutôt les vitesses d’IO, c’est à dire d’input-output disque.
Toute lecture ou écriture de fichiers n’étant pas en RAM serveur utilisera de l’IO, que ce soit une requête MySQL ou la lecture des fichiers PHP et multimédia de votre site. Cela peut avoir un impact monumental sur la vitesse d’un site, surtout en ce qui concerne MySQL qui est généralement le plus sensible aux nombre d’opérations aléatoires chaque seconde (en particulier pour l’écriture, qui ne peut pas être mise en cache RAM).
Le disque dur classique est le plus lent, suivi des SSD en SATA, suivi des SSD NVMe qui sont les plus rapides. Dans le cas de serveurs virtualisés, les disques, quelle que soit leur forme, peuvent être déportés dans un SAN. Dans le cas d’un SAN, le stockage n’est alors plus local, pouvant entraîner une réduction des débits et une augmentation de la latence d’accès.
En 2025, LRob choisit exclusivement des serveurs avec SSD NVMe en RAID local (le plus rapide disponible) pour ne jamais attendre les accès disque !
Choix d’architecture informatique
Deux types de serveurs existent chez vos hébergeurs :
Les serveurs dédiés
LRob utilise uniquement des serveurs dédiés.
Les serveurs virtualisés
Un serveur dédié est une machine physique “normale” qui accueille des services.
Un serveur virtualisé, est un sous-serveur crée à partir d’une machine plus grosse. On parle de “VPS” (virtual private server) ou de “VM” (virtual machine), comportant chacun son propre système d’exploitation. Cela donne une versatilité supérieure à l’hébergeur, mais coûte plus cher en RAM, en espace disque, et une baisse de performances peut avoir lieu en raison de la virtualisation et du nombre de systèmes à faire tourner.
Ensuite, on peut déployer les serveurs de différentes manières :
Serveur LAMP (Linux Apache MySQL PHP) classique : Tout est sur la même machine (dédiée ou virtualisée)
LRob utilise uniquement des serveurs LAMP classiques et locaux sur serveurs dédiés.
Cluster : On sépare chaque applicatif sur une machine différente (dédiées ou virtualisées)
La seconde méthode est plus versatile et peut permettre de supporter de plus gros trafics totaux et peut permettre des économies d’échelle sur les gros volumes avec potentiellement une redondance de service. Mais en contrepartie, complexifie l’architecture et elle peut avoir un coût important en performances. Car comme chaque machine est séparée, cela crée une latence due au réseau et aux différents protocoles utilisés, à chaque accès fichier, à chaque requête MySQL, à chaque exécution de PHP. De plus, les matériels utilisés sont généralement des processeurs avec de nombreux cœurs (32 et plus) mais une faible performance par cœur.
Utilisés à outrance, les clusters n’ont selon LRob de réelle nécessite qu’à partir de dizaines de milliers de visites par minute, par exemple pour les réseaux sociaux ou les sites de services d’état. Pour le commun des mortels qui possède un ou plusieurs sites web, les clusters auront pour principal effet de bien souvent réduire les performance.
D’autant plus que comme vous le verrez en toute fin d’article avec un test de charge sur le site “Copines de bons plans”, on peut déjà faire plus de 12.000 visites par minute sur 2 process FPM chez LRob… Et bien plus sur les offres supérieures, pour peu que votre site soit très bien optimisé
Note : Bien que l’infrastructure LRob soit basée sur des serveurs dédiés, les offres que vous commandez sur le portail LRob sont bel et bien des offres mutualisées. Du mutualisé certes très performant, plus performant que ce que vous trouverez en VPS ou même sur serveur dédié à bas coût, mais techniquement ce sont bien des offres mutualisée, c’est à dire que plusieurs sites et utilisateurs sont sur la même machine physique.
Remplissage et blocage d’attaques : gestion de la charge serveur
La charge serveur, c’est l’utilisation moyenne de ressources des machines. Le but étant d’avoir une charge moyenne la plus faible possible, avec une réserve de ressources la plus haute possible. Cela permet que les serveurs supportent les pics de trafic, les pics de charge. Par exemple lorsque l’un de vos articles rencontre un fort succès sur les réseaux, ou qu’on parle de vous à la TV ou la radio, on cherche à tout prix à éviter la saturation serveur.
On devine bien souvent aux performances fluctuantes que les hébergeurs ont des serveurs plein à craquer, pour maximiser leur rentabilité. De plus, ils ne bloquent pas forcément efficacement les attaques de robots pirates, qui sur les sites à faible trafic peuvent représenter jusqu’à 95% de la charge. Imaginez, 95% des ressources de votre hébergement occupé par des robots… N’imaginez pas, c’est réellement ce qu’il peut se passer sans protection.
Et si la plupart des hébergeurs ne bloquent pas les robots, c’est à mon avis par choix stratégique : D’une part, cela incite les clients à passer sur serveur dédié ou offre supérieure (pour cause de lenteurs), et d’autre part, bloquer les attaques génère parfois des faux positifs, c’est à dire des clients qui se bloquent eux-même et feront donc une demande de support, que la plupart des hébergeurs n’ont pas envie de gérer.
En pratique, un serveur trop chargé comme on en voit souvent cause des lenteurs constantes ou occasionnelles sur votre site.
Chez LRob, on tente d’offrir les performances maximales à tout moment. Et pour cela, on applique une politique stricte :
On se fixe l’objectif de ne pas dépasser les 25% de charge moyenne et 50% en pic. Si cela se produit : On diminue la charge à la source (blocage d’attaques ? optimisation d’un site ?) ou on migre les sites les plus lourds et/ou populaires vers une nouvelle machine.
Blocage des attaques à différents niveaux, pour économiser jusqu’à 95% des ressources utiles, tout en protégeant vos sites web des attaques.
Limites intelligentes des process FPM, de sorte qu’aucun site ne sature les serveurs
Contact systématique des propriétaires de sites lents ou très populaires pour proposer des solutions d’optimisation des sites et ainsi réduire la charge serveur
Monitoring 24/7 des performances serveur et intervention directe en cas d’anomalie
Performances matérielles : Le gap technologique
On l’a vu, le choix du matériel peut joue un rôle drastique sur les performances. Aujourd’hui, nous allons nous focaliser sur les deux éléments essentiels pour traduire les performances d’un site web : La puissance de calcul CPU, et les performances en lecture/écriture disque (IO).
Puissance de calcul (CPU)
Nous avons mesuré un panel assez varié de serveurs afin d’avoir une idée représentative de ce que l’on peut obtenir en fonction du type de serveur choisi.
Le test du jour : Geekbench 6.4, permet de se faire une bonne idée de la puissance de calcul des machines.
Cliquez ici pour en savoir plus sur les “cores” et les “threads”.
Les “cœurs CPU” ou en anglais “CPU cores” permettent chacun d’obtenir une puissance de calcul unitaire pour un programme qui ne serait capable d’utiliser qu’un seul core. Les processeurs modernes ont plusieurs cores. Lorsque l’on utilise tous les cores en même temps, les performances par core baissent (en raison d’autres facteurs limitants, comme la consommation électrique et les températures, la vitesse de la RAM, ou la vitesse des caches internes des CPU).
Pour savoir si une application est capable d’utiliser un ou plusieurs cores, on parle d’application “monothread” ou “multithread”. Certaines applications sont entre les deux.
MySQL est multithread.
Apache et nginx sont un mix single-multithread : chaque thread correspond à un chargement de fichier ou une session HTTP.
PHP est aussi un mix single-multithread : chaque thread correspond à l’exécution d’une page PHP (si plusieurs scripts sont appelés, ils resteront enfermés dans un thread). Autrement dit, un visiteur seul ne peut utiliser qu’un core CPU à la fois.
On comprend que pour les performances maximales, il faut au minimum 2 cores, sinon tous ces programmes devront se partager un seul core de CPU. Et si vous attendez de la visite, vous avez intérêt à avoir bien plus, et à choisir des cores performants !
Voici donc les machines qui passent à la moulinette du Benchmark aujourd’hui :
VM 2 cores Intel Xeon chez PulseHeberg
VM 2 cores Intel Xeon chez Hetzner
VM 2 cores ARM chez Hetzner
VM 4 cores AMD Epyc chez Hetzner
Serveur dédié AMD Ryzen 9 3900 12 cores 24 threads chez Hetzner (serveur en production)
Les performances Single Thread, c’est à dire la puissance brute d’un seul core de processeur. Cela correspond aux performances lorsqu’une seule tâche a lieu (qui détermine la meilleure vitesse de chargement d’une seule page web lorsque le serveur est au repos).
Les performances Multi Thread, c’est à dire la puissance totale supportée. Cela impacte le nombre de visiteurs simultanés maximum.
Les performances par core en Multi Thread, c’est à dire les performances que vous pouvez espérer lorsque le serveur tourne à pleine charge. Cela est obtenu en divisant le résultat des performances Multi Thread par le nombre de cores CPU.
Les données brutes, avec en gras, les serveurs web mutualisés LRob :
Benchmark Geekbench 6.4 sur différents types de serveurs chez Hetzner et PulseHeberg
On peut tirer pas mal de conclusions.
Les performances single thread
Pour rappel, les performances en single thread vont directement affecter la vitesse perçue de votre site web. C’est le plus critique et souvent le plus négligé, car les hébergeurs classiques ont souvent tendance à choisir de très gros processeurs, avec de très nombreux cores, mais peu de performance single thread. Ainsi, ils peuvent accueillir de nombreux sites, mais individuellement, chaque site sera plus lent.
Et la différence peut être majeure, car nos mesures montrent que la vitesse va quasiment du simple au quadruple (x3.841) !
Benchmark serveurs single Thread GeekBench 6.4
Le moins performant étant le single thread sur VPS Intel chez Hetzner, le plus performant étant le single Thread sur VPS AMD R9 9900X chez PulseHeberg. Ce dernier est cependant un OVNI dans le monde des VPS, offrant des performances défiant l’entendement (et malheureusement victime de son succès depuis sa sortie, avec des stocks très limités). Nous n’en tiendrons donc pas spécialement compte pour le moment, mais cela nous donne simplement des perspectives pour l’avenir.
Petite mention pour Pulseheberg qui a le mérite d’indiquer clairement sur son site que les hôtes de virtualisation utilisent des Intel Xeon E5-2680v4 (14 cores 28 threads, 2.4-3.3Ghz).
Les VPS en processeur ARM ont de beaux restes et passent devant nos VM Intel. Ils ne battent cependant pas AMD et ses fameux Epyc, mais il faut se rappeler qu’ARM propose un gain significatif en termes de consommation, ce qui n’est pas anodin pour un datacenter.
On voit d’ailleurs que les CPU Epyc sont quasiment 2x plus performants que les CPU Intel chez Hetzner, avec à l’arrondi, x1.99 d’amélioration.
En comparant le VPS le plus lent et les serveurs dédiés LRob, on voit qu’on est à x2.33 et x3.03 de gain de performances single thread pour respectivement les Ryzen 3900 et 5950x.
En partant du meilleur CPU disponible en virtualisé (AMD Epyc chez Hetzner) et en arrivant sur les dédiés LRob, on fait encore respectivement x1.17 et x1.52 de performances. A noter que le serveur avec un Ryzen 3900 étant en production lors du benchmark, ses performances mesurées sont inférieures aux performances réelles.
Performances en multi thread
En multi, on a deux manières d’appréhender les résultats : d’une part, les performances brutes, et d’autre part voir à quel point le gain est proportionnel au nombre de cores. Avec cette dernière approche, on peut avoir une idée de la puissance et de la saturation de l’hôte des VM. Car nous ne sommes jamais seuls dessus.
Benchmark multi thread Geekbench 6.4
L’approche par “ratio”
Pour les VM 2 cores, où un score parfait serait un x2 en multi : chez PulseHeberg sur la VM 2 cores, on ne fait que x1.54 par rapport à son score single. Là où Hetzner nous fait du x1.8 sur sa VM 2 cores Intel. On peut imaginer que Hetzner a des CPU plus véloces sur ses hôtes ou un taux de remplissage moins important. De même que sur ARM avec x1.79, ce qui s’explique également par le nombre de cores importants des hôtes de virtualisation ARM.
En VM 4 cores, où un score parfait serait x4, Hetzner nous fait un respectable x3.36 sur la VM Epyc. Les CPU Epyc montant à 64 cores et plus tout en conservant une fréquence confortable, cela est très cohérent avec les attentes.
Côté dédié sur les Ryzen sélectionnés par LRob, on a du x5.3 les performances single, que ce soit sur le 3900 ou 5950x, où on s’attendrait à x12 ou x16.
Pour être exact, le 12 cores 24 threads Ryzen 3900 nous sort pile x5.3. Le 16 cores 32 threads Ryzen 5950x nous fait un x5.28. Alors pourquoi ça ne scale pas plus ? Car la fréquence CPU est fortement dynamique sur ces modèles. Ainsi, à faible charge, lorsque seulement quelques coeurs sont utilisés, on bénéficie d’une performance bien supérieure. Autrement dit, on obtient le meilleur résultat sur ces CPU en s’assurant de ne pas avoir une charge trop élevée.
En version desktop pour contrôle du 5950x (il s’avère que j’ai le même à la maison !), avec fréquence optimisée à la main, fixée à 4.4Ghz, on part d’un score single plus faible, mais en multi on fait finalement du x6.84. Résultat sensiblement supérieur au serveur, mais avec une consommation électrique également bien supérieure qui ne serait pas viable en datacenter.
Et pour la VM OVNI, la 8 cores sur Ryzen 9 9900X de PulseHeberg, celle-ci ne nous fait qu’un petit x3.89.. Mais à remettre en perspective, car les performances brutes restent exceptionnelles pour un 8 cores, dépassant le Ryzen 3900 (12 cores) et approchant les performances du Ryzen 5950x. De belles perspectives pour l’avenir.
Performances brutes
Voyons désormais la charge totale supportée par ces diverses machines.
Comparons la meilleure machine Intel dual core à nos dédiés : Le Ryzen 3900 en prod fait 6.89x le score. Le Ryzen 5950x, x8.86 le score.
Pour info, j’ai déjà vu des machines du type de ces 2 cores VM Intel héberger 50 sites sans trop de problème. Ce qui signifie qu’avec 7x les performances on pourrait héberger 350 sites. Cependant, on a fait le choix de s’arrêter autour de 200 à 250.
Face au plus véloce Epyc 4 cores : Le Ryzen 3900 en prod fait 1.86x le score. Le Ryzen 5950x fait 2.39x le score.
Performances par core
Sur les CPU de nos dédiés, les performances single core sont bien supérieures à la quasi totalité des serveurs, mais chutent en multi par rapport à ARM ou Epyc.
C’est un choix : En ne remplissant pas trop de tels serveurs, c’est ainsi que l’on obtient des performances drastiquement supérieures dans la vie de tous les jours, tout en ne s’écroulant pas totalement lors des forts pics de charges. Le but étant de faire en sorte que même les pics de charge soient sous les 50% d’utilisation totale.
Benchmark performances par core Geekbench 6.4
Donc oui, on chute en performances par core… Mais d’un autre côté, on a un bien plus grand nombre de cores ! Moralité : Pour conserver les performances maximales, il faut faire en sorte de ne jamais arriver dans ce “worst case scenario” (et c’est ce que l’on fait chez LRob !).
Performances IO (lecture/écriture)
La vitesse d’IO est la vitesse de lecture et écriture sur le disque de votre serveur. Cela a un impact pour de nombreux éléments, mais MySQL (et MariaDB) est l’élément qui bénéficie certainement le plus d’un excellent IO. Et qui dit de meilleures performances MySQL, dit un site plus rapide, un processeur qui n’attend pas pour que les opérations disque se complètent, et finalement, des performances optimales.
Pour cette partie on a simplifié les tests pour des raisons pratiques en réduisant le nombre de machines testées à celles qui sont les plus pertinentes.
On utilise le benchmark Linux “fio”. La commande de benchmark utilisée nous produit 75% de lecture et 25% d’écriture, le tout en fichiers aléatoires de 4K :
Comme beaucoup, PulseHeberg utilise probablement des SSD SATA classiques pour ses VM Intel, ce qui se traduit par le plus faible score ici. En revanche, sur les offres “Performance Cloud”, ils ont manifestement sélectionné de bons disques NVMe, prenant la tête de ce benchmark.
Côté ARM et Hetzner, on est probablement en SSD NVMe ou en SATA avec carte contrôleur RAID. Les débits sont corrects mais sans plus. De plus, si un SAN est utilisé, alors ce débit peut varier au fil de la journée.
Sur serveur dédié avec RAID de SSD NVMe local, on obtient de très solides performances. La différence entre nos deux machines est de l’ordre de la marge d’erreur, probablement due au fait que le serveur à base de Ryzen 3900 soit en prod.
En écriture (le plus critique pour MySQL), on est 8.1x plus rapides que la machine la plus lente, et 2.76x plus rapides que la VM ARM d’Hetzner (qui fait déjà un score respectable pour un VPS).
En comparaison avec la plupart des offres de VPS que vous observez, la moyenne doit se situer entre ces deux-ci, avec des serveurs LRob autour de 5x plus rapides que la norme trouvable sur les VPS.
En pratique, cela se traduit par un serveur MySQL qui exécute les tâches rapidement et n’est jamais saturé, et par conséquent, des sites toujours les plus réactifs possibles. Dans l’absolu, nous n’avons jamais observé de saturation de l’I/O disque sur une telle configuration en utilisation normale.
Comment LRob choisit-il ses serveurs ?
Bien-sûr, le critère N°1 est la performance.
Les serveurs virtuels ayant des performances trop aléatoires sont hors de question pour la production web.
Pour répondre à nos exigences, les serveurs dédiés avec SSD NVMe et 128Go de RAM sont un pré-requis indiscutable.
Concernant les CPU, on choisit ceux qui ont les meilleures performances single core, tout en offrant de solides performances en multi.
Le partenaire principal choisi pour les serveurs LRob à ce jour est l’indétrônable Hetzner qui brille par son éco-responsabilité et la qualité de son support avec une équipe dans le datacenter en 24/7.
Pourquoi ne pas choisir des processeurs Epyc ?
Cette question est légitime. Avec un Epyc 32 cores ou plus, on obtiendrait une capacité totale bien supérieure. Mais ce serait un mauvais choix stratégique pour 3 raisons :
D’une part, en charge modérée, nous obtenons de meilleures performances finales pour chacun des sites hébergés, en utilisant des Ryzen. En single core, notre 5950x est jusqu’à 1.52x plus performant qu’un Epyc.
D’autre part, il y a le coût : les machines Epyc valent bien très cher, prenant donc davantage de temps à être amorties.
Enfin, cela augmente le risque inutilement : rentabiliser une machine Epyc voudrait dire mettre énormément de sites dessus. Or, LRob pour la fiabilité et l’évolutivité, nous pensons qu’il vaut mieux avoir un peu plus de serveurs de taille moyenne que moins de gros serveurs. Au final on accueille déjà bien assez de sites sur Ryzen sans aucun ralentissement.
Pour le moment, ce n’est pas encore d’actualité, mais on garde bien-sûr un oeil sur les sorties de CPU et sur ce que les hébergeurs proposent.
Qu’en est-il du réseau ?
La consommation réseau est souvent surestimée, ou bien les lenteurs lui sont injustement attribuées. Un site lent ne signifie pas un réseau lent, les lenteurs proviennent plutôt d’un serveur lent, qui peine à générer les pages et/ou d’un site mal optimisé.
La moyenne d’utilisation réseau d’un serveur mutualisé dépasse rarement les 50Mbit/s, avec une moyenne autour de 10Mbit/s (merci aux webmasters de bien optimiser leurs sites !).
Or, tous les serveurs sont gigabit, donc 1000Mbit/s disponibles. On a de la marge… !
Au final, ce sont davantage les sauvegardes et les migrations, qui bénéficient de ces débits importants.
Quelles sont les performances chez LRob
En pratique, que donnent les performances de LRob par rapport aux autres hébergeurs ?
Sans pouvoir citer les hébergeurs source (légalement on peut être accusé de dénigrement), on peut cependant vous dire que LRob fait mieux que la quasi totalité des hébergeurs testés.
Nous avons migré des centaines de sites vers l’infrastructure LRob. Il est arrivé une seule fois que l’on observe pas de gain. Ce fut un événement historique et agaçant. Pour tous les autres cas, nous avons observé des sites qui chargent 2 à 10x plus rapidement, avec même des sites chargeant plus de 20x voire 30x plus vite après mise en place d’un cache ou réglage de celui-ci. Et le tout avec des vitesses stables au fil du temps.
Nous avons désormais une belle collection de graphiques avant/après migration dont voici un extrait :
Le site https://dreams-night.fr/ tournait à plus de 3.4s de chargement. Il s’agit d’un site SPIP. Après migration, il passe à 0.18s. Soit près de 20x plus rapide (18.88x). Le graphe n’arrive même pas à le montrer précisément, il faut alors lire “Response” en comparaison à “Avg. Response” (la réponse moyenne).
Le site https://raiddesdentelles.com/ subissait des pics de lenteurs dépassant les 5 secondes… Il est plus de 3x plus rapide après migration chez LRob, avant même l’activation d’un cache. La moyenne de temps de chargement passe à 1.2s.
A ce sjour, le site https://raiddesdentelles.com/ chez LRob a un cache Redis actif. La vitesse de chargement hors cache est toujours à 1s environ, avec un petit pic lors du renouvellement automatique du cache et un gros pic en cas de cron. En cas de fort trafic, cela reste sous les 0.1s désormais. La moyenne est à 0.2s. C’est 15 à 30x plus rapide qu’avant migration, en fonction de comment l’on compte…
Le site https://copinesdebonsplans.fr/ peinait à rester sous les 200ms de réponse moyenne. 200ms étant le seuil critique pour être favorisé par les moteurs de recherche. Après migration, il tombe à 200ms. Après la désactivation de plugins inutiles, il tombe sous les 150ms. Mais attendez de voir l’optimisation du cache…
Après optimisation du cache WP Rocket, le site https://copinesdebonsplans.fr/ descend à 76ms de moyenne. Un tel site peut, sur l’offre minimale d’entrée LRob (Starter), servir plus que les 7500 pages par minute annoncées par l’offre. Nous avons mesuré 12711 pages par minute via un test de charge.Voir le test de charge complet
root@srv01 ~ # ab -c 200 -n 10000 https://copinesdebonsplans.fr/ This is ApacheBench, Version 2.3 <$Revision: 1913912 $> Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/ Licensed to The Apache Software Foundation, http://www.apache.org/
Server Software: nginx Server Hostname: copinesdebonsplans.fr Server Port: 443 SSL/TLS Protocol: TLSv1.3,TLS_AES_256_GCM_SHA384,4096,256 Server Temp Key: X25519 253 bits TLS Server Name: copinesdebonsplans.fr
Document Path: / Document Length: 114955 bytes
Concurrency Level: 200 Time taken for tests: 47.842 seconds Complete requests: 10000 Failed requests: 0 Total transferred: 1153600000 bytes HTML transferred: 1149550000 bytes Requests per second: 209.02 #/sec Time per request: 956.846 ms Time per request: 4.784 [ms] (mean, across all concurrent requests) Transfer rate: 23547.42 [Kbytes/sec] received
Connection Times (ms) min mean[+/-sd] median max Connect: 4 881 110.1 897 1005 Processing: 36 65 86.2 53 975 Waiting: 26 55 85.1 43 958 Total: 90 946 79.3 950 1183
Percentage of the requests served within a certain time (ms) 50% 950 66% 962 75% 970 80% 977 90% 1004 95% 1017 98% 1040 99% 1061 100% 1183 (longest request)
Au final, comment être sûr de choisir l’hébergeur le plus rapide ?
Un bon moyen est de choisir l’hébergeur capable de transparence, comme nous le faisons ici.
Nous conseillons de prendre du recul sur les idées pré-conçues, sur le marketing et de regarder les mesures, les données réelles (matériel, architecture), voire encore mieux, d’effectuer vos propres mesures.
Chez LRob, nous faisons tout ce que nous pouvons pour que chacun puisse profiter des ressources maximales pour son site, à tout moment.
Au delà des choix matériels, la politique interne joue un rôle élémentaire également :
Une bonne gestion du taux de remplissage et un blocage efficace des attaques font des miracles. Aussi, en cas de pic, nous vérifions son origine et corrigeons si nécessaire avec le propriétaire de chaque site. Oui, nous prenons la peine de les contacter un par un. Et vous savez quoi ? Ça marche ! Car chacun est toujours heureux d’accélérer son site.
Au final, nous faisons en sorte de tourner autour de 20% de charge moyenne sur les CPU et 50% en pic, ce qui laisse une marge importante pour absorber les pics d’activité sans ralentissement.
Au lieu de trop remplir chaque serveur, nous considérons que le serveur ci-dessous est presque plein, nécessitant le déploiement d’une nouvelle machine pour les futurs clients :
Charge serveur typique d’un serveur LRob en production
Si vous trouvez que cette politique transparente est idéale et souhaitez en bénéficier pour vos sites internet, réservez dès maintenant votre hébergement LRob ! Et soyez parmi les premiers à profiter d’un hébergement sur un Ryzen 9 5950X avec SSD NVMe local !
📌 Éclairer les parcours pro dans les métiers de la sécurité. 📌 Et pour ma partie, parler cybersécurité en autodidacte.
Mais aussi :
Le quotidien d’une militaire dans l’armée de l’air.
Celui d’une agente de sécurité.
Les formations, les réalités du terrain… et les clichés (militaires, geeks… vrais ou faux ?).
Une vidéo enrichissante et accessible, réalisée par Olecio & MERCI BOBBY ! Merci à eux pour leur accueil et à Naïm Aouaichia pour la mise en relation.
J’espère avoir bien représenté notre discipline tout en restant clair pour le grand public. À vous de me dire !
L’essentiel de l’intervention LRob
“Tous les services en ligne sont attaqués tout le temps.”
Sébastien : “Robin, toi tu travailles dans la défense et sécurité, plus précisément dans la cybersécurité. On peut tout de suite voir les menaces ou fantasmes autour du hacking et autres, mais en vrai quel est ton métier ?”
Robin : “Certains des fantasmes sont vrais ! Il y a énormément de métiers en cybersécurité. Le mien, c’est l’hébergement web. Et je travaille donc surtout en défense, cybersécurité, donc j’applique toutes les meilleures pratiques pour m’assurer que les systèmes sont sécurisés. J’ai rejoint un programme de reporting des attaquants (AbuseIPDB) et je report à peu près 1000 attaquants par jour.
Sébastien : “Quel est le but de ces gens qui attaquent 1000 fois par jour des sites… ?”
Robin : “En fait… Tous les services hébergés en ligne sont attaqués tout le temps. Les attaques ciblées sont rares, ce sont plutôt des robots qui attaquent tout. Donc si tu as une adresse email, ou même un serveur email sans adresse, les pirates vont essayer tous les mots de passe sur toutes les adresses possibles. Si tu as un site internet, les pirates vont tenter de s’y connecter (ou infiltrer), de même pour un serveur de fichiers… Bref, tous les services en ligne sont attaqués tout le temps.”
Sébastien : “Du coup, quels sont les risques ? Car tu dis que tu te défends contre, donc souvent, tu gagnes j’imagine, mais les fois où on perd, quel est le risque ?”
Robin : “Le but c’est de ne pas perdre, justement ! Les buts sont souvent financiers… Ils cherchent à contrôler des sites internet pour rediriger vers d’autres sites frauduleux; envoyer des emails de fishing (arnaques, faux emails)… Si ta boîte mail est piratée, ils se fichent généralement de son contenu : les pirates vont envoyer massivement du spam, du fishing, et tu deviens un vecteur d’attaques. Il y a des menaces constantes sur tout ce qui est hébergé en ligne, il y a des attaques permanentes, c’est un fait. Donc l’enjeu de la cybersécurité, c’est d’être prêt de se protéger de ces attaques, de savoir les bloquer. Si demain tu as un site internet, tu peux choisir de travailler avec moi et de le mettre sur mes serveurs, sur l’infrastructure LRob. Mon rôle est de sécuriser l’infrastructure le plus possible et de te fournir les outils pour sécuriser encore davantage ton site internet en lui-même.”
La vidéo complète originale
Vous souhaitez un hébergement sécurisé et rapide avec un support spécialisé WordPress ?
Votre hébergeur favori est heureux de vous annoncer que PHP 8.4 est désormais entièrement pris en charge sur vos hébergements web spécialisés WordPress.
Cette version apporte des améliorations notables au langage, en renforçant la performance, la flexibilité et la lisibilité du code. Voici un aperçu des principales nouveautés qui vous attendent.
Votre hébergeur LRob supporte PHP 8.4
Le support natif de Plesk est arrivé ce 21 Janvier. Cela aura pris 2 mois à Plesk, ce qui est plus long que d’habitude.
L’ajout sur les serveurs LRob et donc disponible pour vos hébergements vient d’être fait ce 24 Janvier.
Cependant nous aimons rester très à jour, et nous ferons donc la mise à jour vers PHP 8.4 progressivement sur les prochaines semaines.
Clients hébergement seul
Si votre site est hébergé chez LRob sans webmastering, tout est prêt pour que vous puissiez passer à PHP 8.4 en quelques clics ! Connectez-vous à votre panneau d’administration Plesk, puis sélectionnez PHP 8.4 dans vos réglages PHP.
Notes importantes :
Lors du passage à PHP 8.4, vous devez réinitialiser la valeur “error_reporting” dans les réglages PHP de sorte que la valeur “E_STRICT” n’apparaisse plus (car celle-ci n’est plus supportée par PHP 8.4).
Après tout changement de version de PHP, pensez à consulter vos logs pour vérifier qu’il n’y a pas d’erreur.
En cas de doute, n’hésitez pas à contacter votre support.
Si vous n’effectuez pas la mise à jour de votre version de PHP, l’upgrade généralisé de tous les sites compatibles vers PHP 8.4 aura lieu au mois d’août 2025.
Quoi de neuf dans PHP 8.4 ?
Des performances encore meilleures pour votre site WordPress
PHP 8.4 a été optimisé pour rendre votre site encore plus rapide. Des ajustements sous le capot permettent de mieux gérer les requêtes et d’accélérer le chargement des pages. Avec cette version, votre site peut être plus fluide et offrir une meilleure expérience utilisateur.
Plus de sécurité et de stabilité
Avec PHP 8.4, vous bénéficiez d’une version renforcée contre les failles de sécurité, tout en étant plus fiable. Cela signifie moins de risques de bugs ou d’erreurs inattendues, surtout si vous utilisez des extensions ou des thèmes bien entretenus.
Compatibilité améliorée
PHP 8.4 inclut des changements qui rendent la gestion de certaines fonctionnalités plus efficace. Pour les utilisateurs WordPress, cela peut se traduire par une meilleure compatibilité avec les extensions modernes et les nouveaux thèmes, tout en simplifiant les mises à jour à l’avenir.
Préparer votre site pour l’avenir
Passer à PHP 8.4, c’est aussi assurer que votre site WordPress est prêt pour les nouveautés à venir. Les développeurs de thèmes et d’extensions adaptent déjà leurs outils pour tirer parti des dernières versions de PHP. En choisissant cette version, vous vous assurez d’utiliser une technologie à jour et soutenue sur le long terme.
Conclusion
En résumé, PHP 8.4 est une mise à jour essentielle qui améliore les performances, la sécurité et la compatibilité de votre site WordPress. Migrer vers cette version vous permettra d’exploiter au mieux votre hébergement web et d’offrir une expérience optimale à vos visiteurs.
Passez à PHP 8.4 dès aujourd’hui ! 🚀 Chez LRob, nous sommes là pour vous accompagner à chaque étape.
En tant qu’hébergeur spécialiste WordPress et webmaster spécialiste WordPress, j’interviens régulièrement sur des sites multilingues avec traduction automatique. Pour cela, j’utilise généralement TranslatePress Developer edition, avec l’API DeepL pour opérer cette traduction. Le problème ? Tout traduire d’un coup n’est pas possible nativement. Alors il a fallu trouver une solution. Découvrez cette solution et gagnez des heures !
Problème : La traduction du site complet en une fois n’est pas possible.
Avec TranslatePress, la traduction du contenu de vos pages et articles et surtout de leurs URLs (disponible uniquement en version payante) n’intervient qu’une fois que quelqu’un a visité la page.
Or on voudrait que toutes les URLs soient à jour, pour éviter qu’elles ne changent pour Google et génèrent des redirections 301, voire pire, des erreurs 404.
Sur les petits sites, on peut visiter chaque page et article dans chaque langue.
Pour un site qui a des centaines de pages et articles, tout visiter à la main prendrait des heures.
Alors comment faire ?
Solution : Visiter tout le sitemap automatiquement !
La solution est la suivante : Créer un script qui visite toutes les pages de votre site, en s’appuyant sur son SiteMap.
Votre site n’a pas de SiteMap ? Cliquez ici pour plus de détails.
Un SiteMap est une page, généralement au format XML, que vous pouvez transmettre aux moteurs de recherche (typiquement la Google Search Console) pour lui faciliter le référencement de toutes les pages de votre site. Cela est plutôt indispensable avec les standards actuels.
Si vous n’avez pas encore de SiteMap, cela peut s’ajouter facilement grâce par exemple au plugin WordPress RankMath SEO.
Ensuite vous devez avoir un terminal supportant BASH. Sous Linux et Mac, c’est natif. Sous Windows, il est possible que le powershell supporte BASH, mais alternativement, je vous conseillerais plutôt d’installer WSL. Si vous avez accès SSH à un serveur Linux, cela fonctionne évidemment parfaitement.
Le script
Pour gagner du temps, je me suis aidé de ChatGPT pour faire le script suivant. Celui-ci va récursivement visiter toutes les URLs de votre sitemap.xml via curl.
Vous pouvez appeler ce script par exemple “sitemap_visitor.sh”, le rendre exécutable (chmod +x sitemap_visitor.sh), puis l’exécuter avec votre sitemap.
Les deux arguments à indiquer sont :
L’URL de votre site
La durée d’attente entre chaque requête (vous pouvez mettre 0 si vous avez confiance en votre serveur, et en votre consommation d’API de traduction)
#!/bin/bash
sitemap_url="$1"
delay="$2"
declare -A visited_sitemaps # Declare an associative array to track visited sitemaps
# Function to visit all URLs in a sitemap
visit_sitemap_urls() {
local current_sitemap="$1"
# Check if the sitemap has already been visited
if [[ ${visited_sitemaps["$current_sitemap"]} ]]; then
echo "Skipping already visited sitemap: $current_sitemap"
return
fi
# Mark the current sitemap as visited
visited_sitemaps["$current_sitemap"]=1
# Fetch the sitemap
echo "Fetching sitemap from: $current_sitemap"
sitemap_content=$(curl -s -L "$current_sitemap") # Added -L to follow redirects
if [[ -z "$sitemap_content" ]]; then
echo "Failed to fetch sitemap. Skipping."
return
fi
# Extract URLs from the sitemap using grep and sed
urls=$(echo "$sitemap_content" | grep -oP '(?<=<loc>).*?(?=</loc>)')
if [[ -z "$urls" ]]; then
echo "No URLs found in the sitemap. Skipping."
return
fi
echo "Found $(echo "$urls" | wc -l) URLs in the sitemap."
# Visit each URL
while read -r url; do
echo "Visiting: $url"
response_code=$(curl -o /dev/null -s -w "%{http_code}" -L "$url") # Added -L here too
if [[ "$response_code" == "200" ]]; then
echo "Successfully visited: $url"
else
echo "Failed to visit $url: HTTP $response_code"
fi
# Respectful crawling: wait between requests
sleep "$delay"
# Check if the URL is another sitemap
if [[ "$url" == *.xml ]]; then
echo "Found nested sitemap: $url"
visit_sitemap_urls "$url"
fi
done <<< "$urls"
}
visit_sitemap_urls "$sitemap_url"
Vous avez maintenant traduit votre site WordPress en entier !
J’espère que vous aurez gagné des heures grâce à cette astuce !
Pour un site d’une centaine de pages, et 5 langues additionnelles, cela m’a coûté un peu moins de 20€ d’API DeepL (+4.99€ d’abonnement). Votre expérience peut varier, alors pensez bien à définir des plafonds, que ce soit dans TranslatePress ou DeepL.
PS : Cette solution permet également de mettre en cache l’intégralité de votre site après un vidage de celui-ci. 😜
Déjà client LRob et vous souhaitez traduire votre site ?
Les équipes de WordFence (un plugin de sécurité WordPress) nous ont remonté une faille de sécurité CVE-2024-12365, de criticité CVSS 8.5/10.
Qu’est-ce que W3 Total Cache ?
W3 Total Cache est un plugin de cache sérieux, performant et hautement personnalisable, que nous recommandons chaudement. Utilisé par plus d’un million de sites, il se distingue par sa fiabilité, ses nombreux paramétrages et le support du cache Redis.
Quel est le risque de cette faille ?
Le plugin W3 Total Cache pour WordPress présente une vulnérabilité d’accès non autorisé aux données en raison de l’absence de vérification des capacités dans la fonction is_w3tc_admin_page dans toutes les versions jusqu’à, et y compris, la version 2.8.1. Cette vulnérabilité permet à des attaquants authentifiés, disposant d’un accès au niveau Abonné ou supérieur, d’obtenir la valeur nonce du plugin et d’exécuter des actions non autorisées. Cela peut entraîner :
Divulgation d’informations : Les attaquants peuvent accéder à des données sensibles.
Consommation des limites du plan de service : Une surcharge des ressources peut entraîner des interruptions de service et des coûts accrus.
Requêtes web vers des emplacements arbitraires : Les attaquants peuvent inciter l’application web à effectuer des requêtes vers des services internes, y compris la récupération de métadonnées d’instance dans des environnements basés sur le cloud.
Ces actions exploitent la vulnérabilité pour compromettre la confidentialité, les ressources et les services internes des applications concernées. En somme, cela peut permettre le piratage d’un site web.
Quelle est l’ampleur de l’impact ?
Plus de 1 millions de sites touchés, dont quelques dizaines de sites hébergés chez LRob.
Quelles sont les versions touchées ?
Toutes les versions inférieures ou égales à 2.8.1 sont touchées. La première version patchée est la 2.8.2.
Comment LRob a géré le souci ?
90% des sites impactés sont en mise à jour automatiques faites directement par le serveur web, ce qui signifie que les sites été sécurisés automatiquement sous 24h après la mise à disposition du patch.
La faille ayant été révélée le 15 Janvier, nous en avons été alertés le jour même dans l’après-midi et avons fait la mise à jour manuellement pour les sites en mise à jour manuelle le 17 Janvier au matin.
Cela n’a donc eu aucune incidence négative chez LRob.
Pour bénéficier de cette attention privilégiée pour votre site WordPress, hébergez votre site chez LRob !
Si j’ai commencé à entreprendre en 2010, c’est en Septembre 2023 que j’ai décidé de me consacrer pleinement à mon entreprise du web, axée sur l’hébergement, la maintenance et la création spécialisée explicitement sur WordPress. L’année 2024 est donc la première année complète pour le “LRob” que vous connaissez aujourd’hui. Alors, qu’en est-il du bilan ? Spoiler : Les résultats sont très encourageants !
Les nouveautés et améliorations de 2024
2024 fut source de nombreuses améliorations de services chez LRob.
Voici quelques événements marquants :
Ouverture du Portail LRob pour commander directement vos abonnements !
L’activité d’hébergeur WordPress décolle ! Vous avez été nombreux à recommander LRob, et les nouveaux revendeurs et les agences web bien motivées font bien-sûr exploser les chiffres !
Sites hébergés
En 2024 nous avons fait un bond de 89 à 169 domaines hébergés. Soit une augmentation de +90% (presque x2) !
En comptant les sous-domaines, ce sont au total 217 sites qui sont hébergés.
Cela prend également en compte le seul et unique client perdu cette année.
Revendeurs
En 2024, nous avons accueilli 8 revendeurs, soit +400% d’augmentation !
Activité Webmaster 2024
LRob, c’est bien plus qu’un hébergeur : ce sont aussi des actes de webmastering, des créations, refontes, interventions diverses directement sur vos sites. Pour répondre à toutes les situations ! Cela représente plus de la moitié du CA.
10 sites externes réparés post-piratage
6 refontes web
2 créations de sites
Chiffres techniques 2024
Voici quelques données qui intéresseront les plus geek d’entre vous.
Backups : 20To
Upload : Environ 60To/an
Utilisation CPU moyenne : 15%
131 000 tentatives de hack bloquées et dénoncées via AbuseIPDB en 3 mois, soit 43 700 par mois ! On devrait atteindre plus de 500 000 en 2025.
Fréquentation site LRob 2024
La fréquentation du site a fait un bond de +400% (x5), tous les compteurs sont au vert.
Cela peut être attribué aux articles d’actualité et aux posts LinkedIn.
Finances & compta 2024
Chiffre d’affaires
Le CA 2024 est supérieur à 55 000€ (dont près de 10 000€ via le portail LRob pour sa première année)
En 2023, première année incomplète, le CA s’élevait à près de 15 000€, ce qui restait correct pour un lancement sur quelques mois d’activité seulement.
Taxes et Impôts
Le total URSSAF et Impôts est proche de 14 000€.
Frais professionnels
Ces frais non déductibles du CA en auto-entrepreneur.
Les frais couvrent les serveurs, les outils logiciels et télécommunication.
Montant : environ 5 500€.
Bénéfice net
Salaire après impôts et frais :
Pour vivre il m’est resté cette année : 35 600€ (2 970€/mois)
Si ce chiffre est bon pour une première année, il faut rappeler que cela a nécessité des semaines avec bien plus que 35h de travail.
Objectifs, prévisions , nouveautés pour 2025
Objectifs
Plusieurs objectifs et lignes directrices sont fixées :
Progressivement faire pencher la balance pour rendre l’hébergement majoritaire sur les créations/refontes en 2025.
Continuer de fournir une haute qualité de service et de satisfaire nos clients heureux !
Faire le même chiffre ou mieux
Réduire sensiblement le nombre d’heures de travail hebdomadaire.
Prévisions
Le CA devrait augmenter d’au moins +25%, faisant passer les frais pro à plus de 8000€ annuels.
L’embauche ou le changement de forme juridique pourrait arriver entre 2026 et 2027.
Un nouveau serveur mutualisé devrait voir le jour dans la première moitié d’année.
Les backups devraient atteindre 30 à 40To.
Nouveautés à venir (ou déjà en place)
A partir de ce 14 Janvier, un nouveau numéro de téléphone (0221 827 827) pour le support ! En arrière-plan c’est un standard complet en VOIP, qui permet l’arrivée future de collaborateurs, la gestion de messages enregistrés, d’horaires d’ouverture etc. Bien plus versatile pour mieux vous répondre en toute circonstance.
Pour le reste, on va consolider les offres et faire un maximum de bruit, prêcher la bonne parole pour tenter d’héberger la terre entière !
Conclusions
Mon niveau de vie se voit légèrement augmenté par rapport à mon dernier CDI, ce qui pour une première année complète est une grande réussite.
La croissance est claire, nette et sans appel. L’entreprise est viable.
Si l’activité hébergeur augmente drastiquement, elle reste minoritaire par rapport aux créa/refontes et interventions ponctuelles, j’aimerais inverser cette tendance.
Aussi, je dépasse amplement les 35h de travail pour le moment et j’aimerais tenter de réduire le nombre d’heures.
Des collaborations fantastiques ont vu le jour cette année. Accompagner vos projets est un honneur et un bonheur !
Merci à tous, et j’ai hâte de continuer le bon travail avec vous pour 2025 !
Je vous souhaite une belle année avec toute la réussite que vous méritez !
7 jours pour profiter de -50% à vie sur une sélection d’hébergements !
-50% à vie sur des certains hébergements web annuels
Propulsez votre site plus vite que jamais, avec la sécurité maximale et le support compétent dont vous avez toujours rêvé. Le tout avec une éco-responsabilité exemplaire !
Après un an sans faille, Symfony a dévoilé ce 6 novembre 2024 sur son blog huit vulnérabilités d’un coup. Elles affectent différentes versions du framework Symfony. Voici un résumé de ces failles critiques, leurs impacts potentiels, ainsi que les solutions mises en place par Symfony. De quoi comprendre les implications de ces vulnérabilités pour sécuriser vos applications.
Sommaire
Introduction
Même les frameworks les plus réputés comme Symfony ne sont jamais à l’abri de failles de sécurité. Quelle que soit la solution applicative retenue, la vigilance est de mise. Des sécurités comme un pare-feu applicatif ModSecurity ainsi que le blocage automatique des attaquants (fail2ban), combiné à une bonne politique de sauvegarde externalisée, sont indispensables.
Sur les hébergements web sécurisés LRob, nos serveurs Linux aident à votre sécurité applicative grâce à ModSecurity combiné à fail2ban qui bloquent activement les tentatives d’exploitation des failles; des sauvegardes externalisées complètes sont faites chaque jour avec une rétention d’un an. Choisir LRob comme hébergeur, c’est profiter d’une solution d’hébergement simple et sécurisée tout en ajoutant un sysadmin rigoureux, disponible et passionné à votre équipe !
Failles de sécurité Symfony (novembre 2024)
CVE-2024-51736 : Détournement d’exécution de commande sur Windows avec la classe Process
Description Cette faille permet un détournement d’exécution sur les systèmes Windows lorsque le fichier exécutable cmd.exe se trouve dans le répertoire de travail actuel. La classe Process pourrait alors exécuter ce fichier, ouvrant la voie à des détournements malveillants.
Résolution Symfony a corrigé ce problème en forçant la classe Process à utiliser le chemin absolu vers cmd.exe.
Description La méthode Security::login de Symfony ne prenait pas en compte le user_checker personnalisé, ce qui pouvait permettre des connexions non désirées.
Résolution Le correctif implémente désormais un appel au user_checker configuré.
Description En manipulant une chaîne de requête spécifique, des utilisateurs peuvent changer l’environnement ou le mode de débogage du noyau lorsqu’une directive PHP register_argc_argv est activée.
Résolution Le composant SymfonyRuntime ignore désormais les valeurs d’argv pour les environnements non CLI.
Description Avec NoPrivateNetworkHttpClient, certaines informations internes pouvaient encore être exposées, permettant ainsi une énumération d’adresses IP et de ports.
Résolution Le client NoPrivateNetworkHttpClient applique désormais un filtrage des IP bloquées dès le début de la résolution des hôtes.
Description Une validation utilisant une expression régulière pouvait être contournée en introduisant un caractère \n en fin d’entrée, ce qui entraînait une réponse incorrecte de la part du Validator.
Résolution Symfony utilise désormais le modificateur regex D pour garantir une validation de toute l’entrée.
Description En exploitant des caractères spéciaux dans une URL, un attaquant pouvait détourner une redirection basée sur la classe Request pour envoyer les utilisateurs vers un autre domaine.
Résolution La méthode Request::create vérifie désormais que les URI ne contiennent pas de caractères invalides.
Description Dans un environnement sandbox, un attaquant pouvait appeler la méthode __toString() d’un objet, même si cette méthode n’était pas autorisée par la politique de sécurité, ouvrant la porte à un contournement des restrictions du sandbox.
Résolution Le mode sandbox vérifie désormais systématiquement l’appel à __toString() sur tous les objets.
Description Dans un environnement sandbox, des objets ressemblant à des tableaux pouvaient exposer des attributs sans contrôle de sécurité. Cela permettait à un attaquant d’accéder à des propriétés potentiellement sensibles.
Résolution Le mode sandbox contrôle désormais les propriétés des objets de type Array et l’appel à __isset() après vérification de sécurité.
Ces huit failles montrent que même les frameworks les plus robustes comme Symfony ne sont pas à l’abri de vulnérabilités de sécurité. Heureusement, l’équipe Symfony a réagi rapidement pour fournir des correctifs. Et comme il se doit, les failles n’ont été rendues publiques qu’après leur correctif. Si vous utilisez Symfony, assurez-vous de mettre à jour dès que possible pour protéger vos applications et vos utilisateurs.
N’oubliez jamais qu’aucune solution logicielle n’est exempte de failles de sécurité. Votre vigilance doit être continue et les mise à jour régulières restent la meilleure ligne de défense face aux failles de sécurité et aux cybermenaces.
Chez LRob, nos serveurs offrent une sécurité optimale :
Pas de faille Windows : Nos serveurs étant sous Linux, ils ne sont pas affectés par les failles spécifiques à Windows.
Mise à jour applicatif serveur : Les logiciels serveur sont mis à jour quotidiennement et monitorés en 24/7.
Pare-feu ModSecurity : En filtrant activement les requêtes malveillantes, notre pare-feu protège vos applications.
Sauvegardes externalisées : Nous disposons de sauvegardes externalisées quotidiennes pour faciliter la récupération de données en cas d’incident, et vous pouvez aussi réaliser vos propres sauvegardes vers le FTP de votre choix (par exemple via un VPS Storage Cloud de PulseHeberg) via Plesk.
Par défaut, Plesk utilise NGINX en Reverse proxy d’Apache. Mais cette configuration par défaut est-elle optimale ? Quel est l’impact sur les performances ? Pour répondre à ces questions, j’ai effectué des tests de charge sur un VPS Hetzner (8 cœurs AMD Epyc) pour mesurer l’impact de l’activation d’NGINX comme reverse proxy sur les performances globales.
Sommaire
Contexte et Configuration
Dans le cadre de ce benchmark, j’ai comparé les performances du serveur en activant et en désactivant NGINX. J’ai également testé l’activation du cache de NGINX (et cela change tout !).
Les tests de charge ont été réalisés avec ApacheBench (ab) en envoyant localement 5000 requêtes avec une concurrence de 200 requêtes simultanées. Ce pour que le test dure suffisamment longtemps et que cela limite la marge d’erreur. Il est à noter que le site de test est très léger et performant par rapport à la moyenne, avec seulement 50 à 80ms de TTFB (temps de réponse).
Voici les configurations principales :
Serveur : VPS Hetzner 8 cœurs (AMD Epyc)
Serveur Web : Plesk 18.0.65 avec Apache + NGINX comme reverse proxy
Site de test : LRob.fr un site WordPress FSE, thème Twenty Twenty-Four avec cache Breeze
Commandes de test : ab -n 5000 -c 200 https://www.lrob.fr/
Configurations NGINX
Configuration NGINX par défaut (Plesk 18.0.65)Configuration NGINX personnalisée
Avec la configuration par défaut (NGINX activé), le serveur fonctionne correctement, mais un bottleneck du CPU a été constaté. L’utilisation CPU globale (tous les cœurs) ne dépasse pas les 85 % lors du test de charge, avec un process NGINX qui est bloqué également autour de 85%.
Sans NGINX, Apache gère directement les requêtes. Les résultats montrent une amélioration de +33% des performances.
Mais la surprise est lorsque le cache NGINX est activé et gère directement les fichiers statiques. On observe +66% de gains de performances ! Et ce n’est pas tout : on observé également une réduction d’utilisation des cœurs CPU à 30%, laissant une importante marge de CPU disponible pour d’autres usages essentiels comme PHP-FPM ou MariaDB/MySQL. NGINX est cependant limité à 99% d’utilisation CPU (donc un cœur) : Peut-être est-il possible d’étendre son utilisation à plusieurs cœurs CPU et de décupler encore les résultats. Lors du test, j’avais encore 5 à 6 cœurs CPU disponibles, de quoi potentiellement multiplier ce résultat par 2 ou 3. Cela mérite d’être étudié ultérieurement.
Autres considérations concernant NGINX et Plesk
Plesk favorise l’utilisation d’NGINX avec plusieurs avantages qui peuvent justifier son activation :
Génération de certificats améliorée : Plesk permet par exemple de générer un certificat pour le webmail seulement, uniquement lorsque NGINX est en place.
Sécurité : Des fonctions comme OCSP Stapling sont dispo en 1 clic, uniquement avec NGINX
D’autres avantages m’échappent peut-être. L’inconvénient est bien-sûr que vous avez alors deux applicatifs web qui augmentent légèrement la complexité de l’installation.
Conclusion
L’utilisation de NGINX comme reverse proxy sous Plesk peut être extrêmement puissante pour des sites statiques, ou lorsque combiné à un bon système de cache (voir comparatif des cache pour WordPress). Mais selon mon test, il est indispensable de modifier les réglages NGINX pour obtenir un gain de performances plutôt qu’une réduction en comparaison à Apache seul.
Par ailleurs, les résultats peuvent varier fortement en fonction de vos applicatifs finaux (vos sites) et de leur cache. Utilisez si besoin ma méthodologie du test pour faire vos propres mesures et comparer. A ce sujet, vos retours m’intéressent : partagez vos résultats en commentaires !
Les mises à jour de WordPress, qu’elles soient manuelles ou automatiques, suscitent toujours des interrogations, voire des craintes chez les webmasters. Ces mises à jour sont nécessaires pour la sécurité et l’évolutivité de votre site, mais elles comportent aussi des risques. Alors faut-il activer les mises à jour automatiques WordPress ? Explorons les enjeux.
Sommaire
Mises à jour manuelles
Quel que soit votre mode de mise à jour (manuelle ou automatique), les risques existent.
Globalement, peu importe si la mise à jour est automatique ou manuelle, vous rencontrerez parfois des soucis à traiter, tôt ou tard.
Quels sont les risques des mises à jour de WordPress ?
Du simple bug à l’inaccessibilité du site, voici les problèmes les plus fréquents :
Intervention nécessaire : Parfois, une mise à jour nécessite une intervention manuelle pour ajuster certains paramètres ou configurations.
Un plugin ou un thème présente un bug : Une mise à jour peut introduire un dysfonctionnement, surtout si le plugin ou le thème n’est plus maintenu par ses développeurs.
Incompatibilité de versions : Un plugin ou un « addon » dépend d’un autre plugin et peut ne pas être mis à jour aussi fréquemment, créant des conflits.
Comment réduire le risque
Pour éviter ces risques et désagréments, un processus de staging est nécessaire : cela consiste à essayer toute mise à jour dans un environnement de test avant de l’appliquer en production. Cependant, cette pratique nécessite du temps et des ressources conséquents, ce qui n’est pas envisageable pour les sites les plus modestes.
Mises à jour automatiques
Quels sont les avantages des mises à jour automatiques WordPress ?
Passer aux mises à jour automatiques offre un gain de temps et de sécurité.
Cela se fait en quelques clics depuis votre panneau de contrôle Plesk. Vous avez la possibilité de désactiver la mise à jour automatique de tout plugin qui poserait souci.
1. Gain de sécurité
En activant les mises à jour automatiques, votre site est protégé contre les dernières failles de sécurité identifiées dès leur correction. Cela permet de limiter les risques de piratage et de maintenir votre site en sécurité sans intervention manuelle systématique.
2. Économie de temps et d’énergie
Les mises à jour automatiques réduisent la nécessité d’une intervention fréquente. Au lieu de vérifier manuellement les nouvelles versions de plugins ou de WordPress, vous économisez du temps précieux qui peut être réinvesti dans des tâches à plus forte valeur ajoutée.
3. Des bugs plus mineurs
Grâce à une mise à jour régulière, les bugs rencontrés seront globalement plus mineurs, tout simplement car les changements sont plus mineurs. De plus, le diagnostic sera plus simple : si un plugin pose problème, vous trouverez rapidement parmi les quelques scripts récemment modifiés, lequel pose problème, tandis que si tous les plugins ont reçu une mise à jour, vous devrez tous les tester un par un.
Pré-requis des mises à jour automatiques
En mise à jour automatique, il il y a des pré-requis encore plus importants qu’en MAJ manuelle.
1. Sauvegardes automatisées et externalisées
Les sauvegardes sont indispensables dans certains cas. Il est donc important d’avoir des sauvegardes régulières, externalisées, avec une rétention longue. Ces sauvegardes doivent être sélectivement et facilement restaurables.
Sur les hébergements web LRob, nous effectuons une sauvegarde hébergeur remontant jusqu’à 1 an en arrière.
2. Monitoring du site
Vous devez monitorer la bonne réponse de vos sites et faire une vérification manuelle de temps en temps.
Vous devez réagir rapidement si besoin, pour éviter qu’un souci ne dure sur votre site. Et vous devez avoir les bons outils pour diagnostiquer (accès aux logs, phpMyAdmin, explorateur de fichiers, désactivation des plugins depuis le panel hébergeur – tout cela est disponible sur les hébergements web LRob). Votre support LRob peut vous aider à diagnostiquer et résoudre votre souci, en s’impliquant dans la recherche et le diagnostic WordPress.
Que faire en cas de problème suite à une mise à jour WordPress ?
Si une mise à jour cause un problème, il faut réagir vite et bien :
Consultez les logs : Les journaux du serveur peuvent indiquer très rapidement la source du problème.
Désactivez le plugin fautif : Si vous pouvez vous en passer, désactivez le plugin concerné.
Adaptez les réglages : Parfois, une simple modification de réglage suffit pour résoudre l’incident.
Support des développeurs : Contactez le support du plugin ou du thème concerné pour remonter le problème et obtenir de l’aide.
Restaurez une sauvegarde : Si le problème est critique et n’a pas de solution immédiate, alors une restauration de sauvegarde est peut-être nécessaire solution. Dans ce cas, il peut être judicieux de suspendre temporairement les mises à jour (automatiques) jusqu’à ce que la solution soit trouvée. Si vous n’avez pas de sauvegarde de votre côté, votre support LRob peut restaurer sa sauvegarde hébergeur.
Contactez votre support LRob : Nous gérons de nombreux sites, il est fort probable que nous ayons déjà passé des heures à résoudre un souci similaire ou que notre expérience nous permettant de trouver votre solution très rapidement. Nous sommes toujours heureux de vous aider à gagner du temps !
En résumé : mise à jour manuelle ou automatique ?
Mise à jour manuelle
En MAJ manuelle, vous retardez l’apparition des problèmes que vous devrez résoudre tôt ou tard, tout en vous exposant à davantage de failles de sécurité.
Ce choix peut convenir aux sites très complexes, soumis à de potentiels bugs et nécessitant un suivi plus extensif.
Mise à jour automatique
En MAJ auto vous risquez un bug temporaire, vous devez prendre en charge les (rares) problèmes dès leur apparition.
L’exception : les sites complexes
L’exception étant les gros sites complexes, tels que des WooCommerce avec du dev custom, où dans ce cas, il vaut mieux faire un staging et tester chaque mise à jour (maxi tous les 3 mois, ou lorsqu’une faille de sécurité connue apparaît), moyennant un forfait de maintenance approprié.
Avec un service d’hébergement professionnel, tel que celui proposé par LRob, vous pouvez bénéficier d’un support technique et de sauvegardes prolongées, jusqu’à un an en arrière, pour sécuriser votre site face aux imprévus.
Conclusion
Globalement, la mise à jour automatique devrait selon nous être votre choix par défaut car la sécurité prime sur la fonctionnalité. Si vous êtes “agile”, alors cela ne devrait pas poser de souci. Car mieux vaut avoir un bug à résoudre qu’un site piraté et toutes ses conséquences à traiter. Les petites et moyennes structures tireront souvent plus de bénéfices des mises à jour automatiques, tandis que les sites plus complexes requièrent une gestion de maintenance spécifique et approfondie.
Si vous êtes prêt à adopter les mises à jour automatiques, assurez-vous d’avoir des sauvegardes et une stratégie de monitoring en place pour gérer efficacement les rares incidents qui pourraient survenir.
👉 Pour une gestion simplifiée de votre site WordPress, découvrez les offres d’hébergement LRob et bénéficiez de notre expertise pour éviter ou résoudre les soucis techniques et garder votre site en ligne, sécurisé et performant.
Découvrez WPMasterToolKit : le plugin indispensable pour vous simplifier la vie et alléger vos sites WordPress.
Ce plugin made-in France, développé par le talentueux Ludwig YOU de Webdeclic, regroupe une multitude de fonctionnalités essentielles de WordPress, que vous pouvez chacune activer en un clic. Le tout en une seule extension : de quoi simplifier votre gestion tout en accélérant votre site ! 🚀
Un plugin vraiment différent
WPMasterToolKit est simple et flexible. Avec déjà plus de 83 fonctionnalités gratuites activables, ce plugin vous permet de remplacer d’innombrables extensions par une seule.
Ce qui rend WPMasterToolKit unique, outre le fait d’être français, c’est sa capacité à activer uniquement les fonctionnalités dont vous avez besoin, sans alourdir inutilement votre site. Là où d’autres extensions sont monolithiques, chargeant des scripts inutiles même lorsque vous ne les utilisez pas, WPMasterToolKit est conçu pour être léger et efficace.
Si une fonctionnalité est désactivée, le programme associé ne se charge pas du tout. Ainsi, vous allégez l’utilisation de ressources de votre site et améliorez ses performances, en ne chargeant que les fonctionnalités dont vous avez réellement besoin.
D’autres fonctionnalités sont sur le feu, et quelques unes sont disponibles en premium pour pérenniser le projet.
Le développeur, Ludwig YOU, est très à l’écoute des suggestions et améliore activement son plugin. Avec notamment l’ajout récent d’un onglet permettant de voir d’un coup d’œil les fonctionnalités actives.
Fonctionnalités phares de WPMasterToolKit
WPMasterToolkit : Modules actifs sur le site LRob.fr
Voici quelques-unes de mes fonctionnalités préférées jusqu’à présent :
1. Cacher la version de WordPress
Cacher la version de WordPress affichée dans le code source est une excellente mesure de sécurité. Cela réduit les chances que votre site soit ciblé par des attaques automatisées visant des versions spécifiques de WordPress.
2. Limitation des révisions
La gestion des révisions de contenu est un point souvent négligé qui peut rapidement surcharger la base de données. WPMasterToolKit permet de limiter le nombre de révisions par article, ce qui aide à garder la base de données propre et performante.
3. Désactiver le support des emojis
Les emojis sont utiles pour certains sites, mais la plupart des navigateurs modernes supportent déjà nativement ces symboles. Désactiver leur prise en charge au niveau de WordPress permet d’alléger le chargement des pages.
4. Désactiver les balises Really Simple Discovery (RSD)
En désactivant le chargement des balises RSD (et des scripts comme Dashicons pour les visiteurs non connectés), vous pouvez réduire le temps de chargement de vos pages publiques, particulièrement si votre site n’utilise pas de services tiers qui nécessitent ces éléments.
5. Désactiver jQuery Migrate
Si votre site utilise des versions récentes de jQuery, le script jQuery Migrate devient inutile et peut être désactivé pour améliorer la vitesse de chargement des pages.
D’autres fonctionnalités intéressantes
Outre ces fonctionnalités favorites, WPMasterToolKit propose également une panoplie d’outils qui facilitent la gestion quotidienne de votre site. Parmi les plus populaires, vous trouverez :
Auto-publication des articles manqués : publie automatiquement les articles qui ont raté leur date de planification.
Gestion du SMTP : Se connecte à un serveur SMTP tiers pour relayer plus fiablement vos emails.
Désactivation des API REST pour les utilisateurs non authentifiés : améliore la sécurité en limitant l’accès aux données via l’API REST.
Ban d’emails : bloque la création de comptes utilisateurs avec des adresses email temporaires ou non autorisées.
Mode Maintenance : affiche une page de maintenance personnalisée pendant vos travaux sans gêner les administrateurs.
Redirection des 404 vers la page d’accueil : améliore l’expérience utilisateur en redirigeant les pages inexistantes vers la page d’accueil.
Et bien d’autres encore… L’idéal reste d’explorer et de tester par vous-même ! Qui sait, vous pourriez remplacer des dizaines de plugins !
Une boîte à outils WordPress essentielle qui gagnera à être connue
Avec ses multiples fonctionnalités personnalisables, vous avez tout sous la main pour mieux personnaliser et contrôler votre site, améliorer ses performances et renforcer sa sécurité.
Le plugin, encore récent compte à l’heure où j’écris ces lignes +500 installations active. Pour moi, ce plugin est un véritable game changer et je suis convaincu qu’il dépassera le millier bien avant la fin de l’année, et que sa popularité explosera ensuite.
Trouver le meilleur plugin de cache n’est pas évident. Il faut le tester, mesurer les performances, connaître son support à long terme…
Alors quel est le cache le plus rapide ? Quel est le meilleur plugin de cache ? Lesquels sont pratiques et complets, lesquels sont performants ? A-t-on besoin de payer pour un bon plugin de cache ?
Aujourd’hui, on tente de répondre à ces questions avec des mesures indépendantes et les plus objectives possibles. Le test est un peu “meta” car il porte sur essai sur lrob.fr, une vitrine/blog réalisée avec FSE (full site editing). Un site standard et léger.
Sommaire
Introduction
L’objectif d’un plugin de cache : tomber sous 200ms de temps de réponse ou “TTFB” (Time To First Byte, 200ms est le temps maximum préconisé par Google PageSpeed Insights).
Mais tous les cache ne se valent pas, comme le rappelle Yoan De Macedo dans son article de blog. Certains sont plus performants et d’autres dégradent même parfois les performances. Alors pour vraiment choisir le meilleur cache, il reste nécessaire d’en tester plusieurs sur son propre site et de mesurer précisément les résultats. En raison de la variabilité du temps de réponse, il est important de faire des tests sur une certaine durée et de moyenner les résultats. Cela peut cependant être fastidieux, alors vous pouvez choisir de vous baser sur ce test comparatif pour commencer à y voir plus clair.
On rappelle aussi que le cache ne fait pas tout. Le cache permet d’alléger les ressources serveur, mais votre site doit être optimisé à la base. Sinon cela s’appelle un “cache-misère”. Privilégiez donc les plugins et thèmes légers et bien optimisés pour éviter les mauvaises surprises. Le cache sera alors la cerise sur le gâteau.
Plugins testés
Je me suis basé sur un “top” des plugins de cache ainsi que sur mon expérience des plugins réellement rencontrés chez les différents clients hébergés pour établir cette liste des plugins à tester :
Ce test réalisé par LRob n’est aucunement sponsorisé par un quelconque plugin de cache. Il a vocation à être le plus objectif possible. Cependant, ce test n’est que le reflet de lui-même et de notre avis qui ne saurait être parfaitement objectif et n’a donc pas vocation à produire des vérités générales. LRob est un hébergeur web indépendant spécialiste de WordPress.
Détails du site web
Le test est réalisé sur https://www.lrob.fr/. La fonction WP-Cron est désactivée et est exécutée directement par le serveur toutes les 4 minutes. Le site tourne sous PHP 8.3.12 en FPM dédié derrière Apache 2, avec MariaDB 11.4. Redis server est également disponible sur le serveur hôte (version 5:6.0.16).
Thème
Le site est réalisé avec FSE et le thème Twenty Twenty-Four
Plugins
Le site comporte 17 plugins actifs au moment du test (sans compter le plugin de cache testé) :
Voir la liste des plugins
Comment Blacklist Updater
Complianz | GDPR/CCPA Cookie Consent
Connect Matomo
Easy WP SMTP
hCaptcha for WP
Insert PHP Code Snippet
Optimize Database after Deleting Revisions
Rank Math SEO
Regenerate Thumbnails
Simple Local Avatars
Site Reviews
Social Sharing Block
TranslatePress – Developer
TranslatePress – Multilingual
Update URLs
WPForms Lite
WPMasterToolKit
Mesures et détails
La mesure du temps de réponse est effectuée avec Uptime Kuma sur un serveur chez PulseHeberg en Suisse (Lausanne), qui fournit cette moyenne. Le serveur en production est situé en Allemagne chez Hetzner à Falkenstein.
Chaque plugin est testé successivement, avec une mesure toutes les 20 secondes pendant 5 minutes ou plus (parfois je suis allé me faire un café entre temps), soit minimum 15 mesures pour obtenir une moyenne cohérente.
Entre chaque test, les valeurs enregistrées d’Uptime Kuma sont effacées après une première mesure une fois que le cache est mis en place; le dossier de cache est supprimé et il a été vérifié que le .htaccess et wp-config.php sont bien exempts de toute trace du précédent plugin.
Limites du protocole
Le test est fait sur un serveur en production, générant une variabilité des résultats légèrement supérieure à celle observée sur un serveur sans activité. Cependant, l’utilisation serveur est très modérée au moment du test et la variabilité est compensée par une série de plus de 15 mesures à chaque fois qui permet de moyenner les résultats. Le but n’est pas d’avoir la valeur à la milliseconde près, mais d’obtenir un ordre de grandeur.
Par ailleurs, le test est fait sur un site spécifique et ne peut pas être extrapolé à l’ensemble des sites : chaque site est différent et régira différemment à certains plugins (en particulier les boutiques). Mais si votre site est fait avec le thème Twenty Twenty-Four ou un autre thème FSE (Full Site Editing), alors il y a fort à parier que vos résultats soient similaires.
Tests et Benchmarks
Baseline – Test contrôle : Réponse sans plugin de cache
Sans aucun plugin de cache, le site répond en moyenne en 379ms avec une faible variabilité. Cette valeur est relativement faible de base, puisque les sites faits avec des builders peuvent facilement prendre 2 à 4x ce temps de réponse.
Temps de réponse sans cache
Voyons comment s’en sortent les différents plugins de cache pour améliorer ce temps de réponse.
Autoptimize
Autoptimize Réglages 1Autoptimize Réglages 2Temps de réponse Autoptimize : 379ms
Réponse moyenne : 379ms
Le temps de réponse est identique au site sans cache. Et pour cause, la fonction de cache de Autoptimize n’est en fait disponible qu’avec le plugin payant. Autrement dit, vous n’accélérerez pas votre site en version gratuite avec ce plugin. Dommage.
Cependant, comme le précise le développeur Simon JANVIER, Autoptimize, en version gratuite, est davantage utile pour la concaténation et minification intelligente des scripts. Sur ce point, il peut alléger votre site, mais cela n’améliorera pas le TTFB (temps de réponse) de votre site.
Breeze
Contrairement à ce que je pensais initialement, Breeze n’est pas réservé à Cloudways ou à Varnish, il fonctionne également sur un système classique. Je l’ajoute donc à ce test et je remercie Michael GOUT d’avoir porté ce plugin à mon attention.
Réglages Breeze 1Réglages Breeze 2
Temps de réponse Breeze : 98ms
Réponse moyenne : 98ms
Le résultat est bluffant : on tombe sous les 100ms avec une très bonne stabilité des temps de réponse ! Je découvre ce plugin et j’en tombe de ma chaise !
J’émets une petite réserve sur la compatibilité du plugin avec tous les sites en raison des commentaires sur wordpress.org. A la lecture de ces commentaires, il semble que son utilisation pourrait poser quelques soucis avec les sites les plus dynamiques ou complexes, comme les e-commerce WooCommerce.
Pour le reste, il semble être un excellent choix à ne surtout pas manquer.
Cachify
Cachify propose par défaut une mise en cache en base de données et supporte également un cache par fichiers et par Redis. Nous avons testé le cache par défaut et Redis. En dehors de cela, très peu de réglages nous sont disponibles.
Réglages Cachify “Database”Temps de réponse Cachify “Database” : 257msRéglages Cachify “Redis”Temps de réponse Cachify “Redis” : 263ms
Réponse moyenne : 260ms
Les résultats sont similaires entre le cache “Database” et Redis, on est dans la marge d’erreur. Les résultats semblent cependant plus stables avec Redis. Le résultat dépasse dans tous les cas les 200ms escomptées, ce qui est donc décevant. Ce plugin ne peut pas vraiment être recommandé.
LiteSpeed Cache
LiteSpeed Cache a beaucoup fait parler de lui récemment pour ses failles de sécurité. Le plugin prétend correspondre également à un serveur Apache. Alors comment s’en sort-il en pratique ?
Un résultat décevant pour LiteSpeed cache sur notre configuration de test, puisque le site est dans la marge d’erreur du temps de réponse original du site, sans cache.
Et pour cause, comme le relève Louis Chance, LiteSpeed, comme son nom l’indique, n’apporte aucun cache sur un serveur Apache ! Il faut forcément un serveur LiteSpeed disponible. Impossible de recommander ce plugin si vous tournez sous Apache, étant donné les performances obtenues et les multiples failles de sécurité récentes.
W3 Total Cache
W3 Total Cache offre un assistant de configuration et de nombreux réglages. C’est le plugin gratuit le plus complet que je connaisse. Il supporte différents types de cache dont Redis. Ici, la minification a été activée, ce qui peut augmenter légèrement le temps de réponse mesuré mais offre de meilleures performances pour les visiteurs à la connexion plus lente (mobiles, ADSL, etc.).
Réglages W3 Total Cache 1Réglages W3 Total Cache 2Réglages W3 Total Cache 3Réglages W3 Total Cache 4Réglages Minifcation W3 Total CacheTemps de réponse W3 Total Cache : 159ms
Réponse moyenne : 159ms
Enfin un résultat sous les 200ms ! Avec Redis, donc en évitant des milliers de fichiers de cache. Et un grand contrôle sur les réglages et des options comme le Lazy Load des images, et la désactivation de certains scripts optionnels de WordPress. Sa configuration versatile permettra de s’adapter plus précisément à chaque site : vous pourrez mesurer les performances obtenues avec différents réglages et choisir les plus pertinents pour votre site spécifique.
Par ailleurs, les autres types de cache disponibles sont également performants, bien que non testés aujourd’hui, les résultats sont assez similaires quel que soit le type de cache choisi.
Ce plugin n’a jamais déçu selon notre expérience est donc tout à fait recommandable. (C’est même le choix de LRob.fr)
WP Fastest Cache
Ce plugin offre des options intéressantes en version gratuite. Certaines options offertes gratuitement avec W3 Total Cache manquent cependant à l’appel.
Mais le plus important aujourd’hui : ce plugin porte-t-il bien son nom, en étant réellement le plus rapide ?
Ce plugin porte assez bien son nom, c’est effectivement l’un des plus rapide testés ! Sur notre test, Breeze arrive cependant en tête.
Chez LRob, nous avons vu plusieurs blogs divers et variés obtenir de très bons résultats avec ce plugin. Il n’a jamais déçu, et nous le recommandons sans hésiter.
WP-Optimize
WP-Optimize n’offre que très peu de réglages de cache. Car en réalité, sa fonction première semble plutôt être le nettoyage de la base de données. Alors comment s’en sort-il en cache ?
Réglages WP-OptimizeTemps de réponse WP-Optimize : 152ms
La variabilité du temps de réponse est trop élevée à notre goût avec des réponses oscillant entre 132 et 180ms.
Néanmoins, la moyenne reste très bonne avec 152ms. Une bonne surprise.
Nous ne sommes pas du tout rassurés par cette variabilité et ne recommandons donc pas ce plugin en tant que cache. D’autant plus que nous avons déjà observé des sites plus lents avec ce plugin que sans… A utiliser donc avec précaution en tant que cache.
Solid Performance
En bonus, je vous propose de tester un nouveau plugin de cache, Solid Performance, qui semble prometteur. (merci à Julien ROUSSEL pour la recommandation).
Réglages Solid PerformanceTemps de réponse Solid Performance : 155ms
Réponse moyenne : 155ms
Si celui-ci ne fournit strictement aucun réglage, son temps de réponse mesuré figure parmi les meilleurs de ce test. De quoi potentiellement satisfaire ceux qui n’ont pas envie de faire le moindre réglage. Le plugin étant jeune, il n’a pas encore été éprouvé, néanmoins un plugin de cache se change facilement si besoin dans la plupart des cas, il n’y a donc pas trop de risque à l’essayer si le cœur vous en dit !
Résumé des résultats et conclusion
Plugin
Réponse moyenne (ms)
Pourcentage (lower is better)
Baseline (pas de cache)
379
100%
Autoptimize
379
100%
Breeze 🥇
98
25.8%
Cachify Database
257
67.8%
Cachify Redis
263
69.4%
LiteSpeed
376
99.2%
W3 Total Cache Redis 🥉
159
41.9%
WP Fastest Cache 🥈
123
32.4%
WP-Optimize
152
40.1%
Solid Performance
155
40.9%
Nous pouvons sans hésiter recommander Breeze, WP Fastest Cache et W3 Total Cache qui sont tous les trois excellents. Ils proposent de très bon temps de réponse avec suffisamment de réglages, même en version gratuite. A noter toutefois que Breeze pourrait poser quelques soucis sur certains sites. Aussi, W3 est toutefois un peu plus complet en gratuit que WP Fastest Cache, raison pour laquelle il a été choisi pour LRob.fr, mais Breeze pourrait potentiellement le remplacer à terme, car il fournit presque autant de fonctionnalités tout en étant plus simple d’utilisation.
En résumé, selon notre test :
Choisissez Breeze pour la performance max, plutôt pour les sites vitrine
Choisissez W3 Total Cache pour le plus haut niveau de personnalisation ou si votre hôte supporte Redis (c’est le cas des hébergements LRob)
Choisissez WP Fastest Cache pour d’excellentes performances sans configuration
Mention pour WP-Optimize qui malgré son manque de réglages et sa grande variabilité de temps de réponse montre un temps de réponse moyen tout à fait correct. Mention également pour Solid Performance qui, nouvel arrivant, porte bien son nom et semble prometteur sans pour autant révolutionner quoi que ce soit, en l’état, dû à son manque de réglages. Cachify montre des réglages et des performances inférieures aux autres plugins. Nous ne pouvons pas nous prononcer sur LiteSpeed dans notre configuration Apache (si ce n’est que son intérêt est donc très limité dans ce type de configuration). Autoptimize enfin, n’apporte aucune amélioration sur les temps de chargement et est donc totalement inutile à cet effet, selon nos mesures, mais pourrait être utilisé en conjonction avec un plugin de cache pour réduire le nombre de fichiers.
Vu les bons résultats obtenus avec ces plugins gratuits, il ne semble donc pas indispensable de payer pour un plugin de cache si vous n’avez pas besoin des fonctions additionnelles proposées. Nous pourrions cependant tester les versions payantes dans un futur article, si cela vous intéresse.
On rappelle bien-sûr qu’un hébergement performant est indispensable pour obtenir les meilleurs temps de réponse. Pour cela, les hébergements LRob sont là pour vous servir (dans tous les sens du terme) !
Comme tous les 6 mois, Nextcloud vient de sortir sa nouvelle version majeure. Les notes de mises à jour officielles sont assez limitées et personne n’a envie de lire le changelog complet… Avec 2.363 changements cumulés sur Nextcloud 30.0.0 et 30.0.1.
Correctifs, nouveautés, améliorations, mises à jour de dépendances, etc. Tout cela est assez complexe à analyser et résumer. Heureusement, ChatGPT peut nous résumer et mettre tout ça en forme (plus de 2.400 lignes de texte et 172.879 caractères).
Alors pour gagner des heures dans votre vie, voici le résumé ChatGPT de ce qu’il faut retenir des changelogs Nextcloud 30 :
Mises à jour du système et de la base de données :
PHP 8.0 n’est plus supporté, tandis que PHP 8.1 est obsolète mais toujours utilisable.
Le support pour MariaDB 10.3 et 10.5 et PostgreSQL 9.4 ont été retirés.
Améliorations de la configuration :
De nouveaux paramètres dans le fichier de configuration ont été introduits, et certains sont dépréciés :
L’option blacklisted_files est remplacée par forbidden_filenames.
De nouvelles options comme forbidden_filename_basenames et forbidden_filename_extensions permettent de mieux contrôler les noms de fichiers et extensions bloqués.
Amélioration de la gestion des images WebP dans la configuration des serveurs web.
Gestion des fichiers et des dossiers :
Les utilisateurs peuvent désormais voir l’emplacement d’origine des fichiers supprimés dans la corbeille, et certains attributs de fichiers/dossiers sont hérités pour préserver l’état de partage.
Amélioration des aperçus de fichiers : les aperçus pour les PDF utilisent désormais le nouveau fournisseur ImaginaryPDF.
Performances et optimisation :
Plusieurs améliorations de performance, notamment le chargement différé de certaines fonctionnalités comme la génération des métadonnées, et une meilleure gestion des tâches cron pour réduire la charge du serveur.
Amélioration du tri et des fonctions de glisser-déposer dans la gestion des fichiers, avec un meilleur support pour les fichiers cachés.
Sécurité et gestion des utilisateurs :
Introduction d’une API de traitement des tâches pour gérer plus efficacement les tâches en arrière-plan.
Nouvelles fonctionnalités de sécurité, comme un contrôle plus strict des CSRF, une meilleure gestion des mots de passe pour les partages de fichiers, et un nettoyage automatique des mots de passe d’applications inutilisés.
Améliorations pour LDAP, avec une meilleure synchronisation des utilisateurs et groupes, et un journalisation améliorée des connexions LDAP.
Interface utilisateur et personnalisation :
Améliorations de l’interface utilisateur, avec une séparation des couleurs primaires et de fond pour un menu d’en-tête plus propre, et des améliorations dans les couleurs de l’interface.
Introduction de Vue.js pour plusieurs dialogues, remplaçant les anciens composants de jQuery UI pour une meilleure expérience utilisateur.
Mises à jour du tableau de bord avec des améliorations de la mise en page et des API pour plus de personnalisation.
Collaboration et partage améliorés :
Nouvelles options pour les demandes de fichiers, permettant de solliciter des fichiers de la part d’autres utilisateurs plus facilement.
Améliorations diverses des capacités de partage, incluant une gestion améliorée des dates d’expiration pour les partages publics et des options de protection par mot de passe.
Corrections de bogues et divers :
Corrections liées à la gestion des sessions, à la gestion des erreurs, et à l’intégration LDAP.
Améliorations dans la gestion de certains types de fichiers, la synchronisation des calendriers, et les notifications utilisateurs.
Ces changements mettent l’accent sur la performance, la sécurité, et l’amélioration de l’expérience utilisateur, tant dans les paramètres d’administration que dans la gestion quotidienne des fichiers.
Mise à jour pour les clients Nextcloud chez LRob
La version 30 de Nextcloud entre en phase de test de notre côté pour prévoir le déploiement plus large à tous les clients.
Le conflit entre Matt Mullenweg, fondateur de WordPress et WP Engine continue de secouer la communauté WordPress. Le dernier développement dans cette affaire concerne un plugin majeur de l’écosystème : Advanced Custom Fields (ACF). Depuis le 12 octobre 2024, ACF a été entièrement remplacé sur le répertoire officiel de WordPress.org par Secure Custom Fields (SCF), un fork mis en place par l’équipe de sécurité de WordPress.
Ce conflit autour d’ACF est l’une des nombreuses étapes dans la tension croissante entre Matt Mullenweg et WP Engine. La relation entre ces deux acteurs majeurs de l’écosystème WordPress a dégénéré en raison de divergences sur la gestion de la marque WordPress, la gouvernance du projet, et certaines pratiques commerciales de WP Engine. Ces tensions se sont intensifiées lorsque Mullenweg a critiqué ouvertement WP Engine, l’accusant de nuire à l’écosystème en désactivant certaines fonctionnalités cruciales (comme l’historique des révisions), et de brouiller les cartes avec l’utilisation de la marque “WP”.
Ce conflit pose des questions sur la gouvernance de WordPress et la gestion de l’open source dans un environnement où les intérêts commerciaux sont en jeu.
Un changement officiellement motivé par la sécurité
Dans un billet publié le 12 octobre 2024, Matt Mullenweg a annoncé la création de Secure Custom Fields en tant que fork d’ACF pour répondre à une faille de sécurité critique découverte dans le plugin d’origine.
Secure Custom Fields remplace ainsi totalement ACF sur WordPress.org et tous les sites qui utilisaient ACF via ce dépôt passeront automatiquement à SCF lors de la mise à jour.
On ne peut pas s’empêcher de penser que les tensions entre les deux entreprises n’y sont pas pour rien dans cette décision. Mais nous ne sommes cependant pas à la place de Matt Mullenweg, qui, intelligent et au service du projet WordPress, a probablement de bonnes raisons de faire ce choix.
La réaction de l’équipe ACF
Face à ce changement, l’équipe ACF a exprimé sa déception et son inquiétude dans un article publié sur leur blog officiel. Ils dénoncent une décision qu’ils jugent unilatérale et qui, selon eux, va à l’encontre des principes de l’open source. Depuis leur intégration à WP Engine, ils ont continuellement travaillé sur le développement d’ACF avec plus de 200 000 lignes de code et de nombreuses améliorations, tant sur le plan fonctionnel que sécuritaire.
Voici ce qu’ils déclarent dans leur billet :
« Nous sommes consternés par les actions de Matt Mullenweg, qui a unilatéralement et sans notre consentement pris le contrôle du plugin Advanced Custom Fields, un outil que nous développons activement pour la communauté WordPress depuis 2011. »
L’équipe ACF indique que les utilisateurs d’ACF Pro ou ceux hébergés sur WP Engine et Flywheel ne sont pas concernés par ce changement et continueront de recevoir les mises à jour directement via WP Engine. En revanche, ceux utilisant la version gratuite d’ACF sur d’autres hébergements doivent télécharger manuellement la version 6.3.8 d’ACF depuis leur site pour continuer à bénéficier des mises à jour de leur côté.
ACF indique comment continuer d’utiliser sa propre version du plugin en cas d’utilisation de la version gratuite d’ACF chez un hébergeur autre qu’eux-même (WP Engine).
Il joue enfin la carte de la fidélité sur son site avec un encart spécial sur l’accueil :
Encart sur la page d’accueil d’ACF
« Vous faites confiance à ACF depuis plus de dix ans. Les experts qui maintiennent ACF continueront à soutenir et à améliorer les fonctionnalités que nos utilisateurs apprécient et en lesquelles ils ont confiance. »
Néanmoins ces plugins sont moins essentiels qu’ACF et peuvent être remplacés par Update URLs et Query Monitor pour ne citer qu’eux.
Impact pour les utilisateurs
Différences entre ACF et SCF
Pour l’heure, les deux plugins gratuits sont fonctionnellement identiques car le “fork” est très récent. Il faudra donc suivre leurs évolutions respectives afin d’observer si l’un d’eux se démarque par sa stabilité, sécurité, ou ses fonctionnalités.
On peut envisager qu’ACF finisse par être intégré au core WordPress. Restons patients, l’avenir nous le dira.
Version payante d’ACF
Pour la version payante d’ACF et les clients WP Engine, il n’y a aucun changement à prévoir.
Version gratuite d’ACF
Si vous utilisez la version gratuite d’ACF sur la vraie version originale de WordPress.org, chez un hébergeur indépendant comme LRob :
Lors de mise à jour de vos plugins, ACF sera transformé en SCF, puis maintenu par la communauté WordPress
Si vous utilisez d’autres plugins de WP Engine, songez à leur trouver un remplaçant si ces derniers ne voient pas leur accès à WordPress.org restauré.
Conclusion
Bien que ce conflit puisse soulever des inquiétudes, il faut se rappeler que Matt Mullenweg a toujours eu pour objectif de maintenir l’intégrité et la sécurité de l’écosystème WordPress. Secure Custom Fields a été introduit dans cet esprit et malgré les critiques, Mullenweg reste une figure respectée dans la communauté.
En attendant que la situation s’éclaircisse davantage, restons prudents sur nos avis et à restons attentifs aux mises à jour et aux news à ce sujet.
Voir une IP blacklistée fait partie de la vie d’hébergeur, le quotidien pour les plus gros ou les plus permissifs. Néanmoins, c’est une première pour LRob en 10 ans d’existence !
Les plus positifs d’entre vous diront que c’est la rançon de la gloire… Forcément, plus le volume augmente, plus le risque de voir une activité non autorisée sur un site augmente. Les plus critiques feront un scandale. Quoi qu’il en soit, chez LRob, on fait le choix de la transparence. Alors on répond à toutes vos interrogations.
Que s’est-il passé et quelles solutions mettons-nous en œuvre ? Réponses.
Découverte du blacklisting sur AbuseIPDB
Dimanche 13 Octobre, j’ai été alerté par mon client Météo Centre que son site était bloqué par l’antivirus MalwareBytes en version payante (merci à eux pour cette alerte).
Face à cette anomalie, l’urgence est sonnée pour LRob. Que l’on soit Dimanche ou le jour de Noël : j’ai immédiatement vérifié son site qui n’avait aucun souci, puis investigué auprès de MalwareBytes. La cause du blocage a été donnée en 1h seulement (bravo au support MalwareBytes) : l’IPv4 du serveur hébergeant ce site est blacklistée sur AbuseIPDB pour requêtes malveillantes. Mais manifestement, le souci provient d’un autre site.
Coup de cœur pour AbuseIPDB
Toutes les blacklists ne se valent pas (CF : SPFBL), néanmoins, AbuseIPDB est un vrai projet bien fait et sérieux.
Dans cette mauvaise nouvelle, la découverte de cette blacklist communautaire été un coup de cœur : non-seulement celle-ci m’avait permis de détecter une anomalie sur mon serveur, mais il était facile de contribuer. C’est pourquoi LRob a immédiatement rejoint AbuseIPDB pour contribuer à reporter les IP attaquantes et aider la communauté mondiale des sysadmins en retour.
Mais le plus important était cependant de stopper la source des requêtes malveillantes. Alors d’où venaient-elles ?
Une cause inattendue
Bien-sûr, j’ai immédiatement cherché la cause de ces requêtes émanant d’un de mes serveurs. Si c’est un client, cela n’est pas toléré. Si c’est un site piraté, celui-ci devait être coupé et réparé immédiatement… Si c’est une intrusion serveur, c’est gravissime. J’ai donc entamé les recherches et ce que j’ai trouvé à la fois anodin et inhabituel.
Mais récemment, un nouveau site réparé m’a joué un mauvais tour : une récidive. Un site réparé s’est à nouveau fait pirater, ce qui ne m’était encore jamais arrivé sur mes hébergements.
Cela entrant dans la garantie de 90 jours, j’ai donc réparé à nouveau ce site sans aucun frais. Mais les attaques, bien que moins fréquentes, continuaient d’arriver sur AbuseIPDB.
Au bout de 3 jours de recherches de logs infructueuses au cours des journées et soirées, j’ai finalement analysé l’ensemble du trafic réseau sur le serveur (un travail de titan), jusqu’à remonter un des processus (programmes) anormaux lancés en tant que l’utilisateur système de ce site. Eurêka ! Je tiens là la cause originelle du problème.
Comment est-ce possible ?
Je le sais désormais, dès son arrivée, ce site contenait en fait des programmes (pas juste des scripts PHP mais bel et bien des programmes) malveillants, qui ont réussi à s’exécuter dès l’importation du site. Cela signifie que même une fois supprimés, et même avec le site désactivé, les programmes malveillants continuaient de tourner. Les hackers ont donc pu utiliser cela comme vecteur d’attaque même après la réparation du site. Ils ont également pu réécrire des fichiers malveillants, générant la récidive visible.
Comme ces programmes ne tournaient pas directement via le serveur web habituel, mais indépendamment, il était impossible de détecter leur activité via les logs du serveur web, rendant la détection plus difficile (raison pour laquelle aura fallu en dernier recours analyser le trafic réseau, ce qui est inhabituel). D’autant plus que ce type de programme n’est même pas sensé pouvoir s’exécuter et pour cause : la fonction “PHP exec()” qui permet de les lancer est sensée être désactivée… Mais elle ne l’était pas pour ce client en raison d’une configuration spécifique (corrigée depuis). J’avais déjà vu ce souci sur d’autres serveurs et si ça n’avait pas été le mien, j’aurais pensé à regarder directement les process lancés et j’aurais trouvé le souci en 30 minutes… Mais ici, comme cela n’était pas sensé arriver, ça m’a pris 3 jours. Les joies du métier !
La solution immédiate
Tous les process (programmes en cours d’exécution) douteux ont bien-sûr été sauvegardés pour investigation, puis stoppés. Un checkup complet du site a été refait et une vérification manuelle 3x par jour a été mise en place pour s’assurer qu’aucune récidive n’avait lieu.
Situation actuelle
A l’heure où j’écris ces lignes, plus aucune attaque n’est reportée sur AbuseIPDB, mais la blacklist n’a pas encore été levée.
Delisting
La demande de delisting a été effectuée le jour même de la découverte du souci, et peut prendre entre 7 et 10 jours à être levée. C’est lent, et ce serait là le seul défaut d’AbuseIPDB. L’impact de ce blacklisting est heureusement assez faible en attendant cette levée.
Aucun autre site touché
Grâce à l’excellente isolation des sites web appliquée sur mes hébergements, le site piraté était cantonné à lui-même et n’a pas pu avoir d’impact sur les autres sites hébergés.
Des solutions supplémentaires à long terme
L’impact de ce blacklisting est très minime et pour preuve : seul Météo Centre m’a remonté ce souci, car ce site est probablement le plus populaire que j’héberge, ce qui leur permet de rapidement être notifiés de ce type d’informations. Merci encore à eux et à MalwareBytes pour leur réactivité dans la remontée d’informations pertinentes.
Néanmoins, il est possible un jour que certains clients souhaitent la possibilité d’éviter totalement que leur site ne soit hébergé sur une IP blacklistée à cause d’un tiers site web. Pour cela, la solution est l’adresse IP dédiée.
C’est pourquoi prochainement, je vais lancer l’option IP dédiée disponible pour tous les hébergements web LRob.
Cela nécessite quelques préparatifs car l’ajout de multiples IP sur un serveur dédié n’est pas anodin. De plus il faut que j’estime et définisse le prix de l’option. Lorsque l’option sera lancée, chaque client LRob pourra bénéficier d’une IPv4 et IPv6 dédiée s’il le souhaite.
Avec un peu d’imagination, cela pourrait également permettre des migrations de serveur sans changement d’IP, grâce aux “IP Failover” (plus coûteuses mais plus flexibles, elles peuvent être transportées d’un serveur à un autre, tant que le fournisseur de serveur reste inchangé). Cela devrait plaire à mes revendeurs n’ayant pas la main sur la zone DNS de tous leurs clients… !
L’importance de la transparence
Un service où il n’y a jamais aucune anomalie n’existe pas en ce monde. Bien-sûr, j’aurais pu cacher ce souci mineur et un seul client l’aurait remarqué. Mais chez LRob, on fait le choix montrer notre engagement à gérer toute anomalies avec rigueur et dévotion.
La transparence est la base de la confiance. Et je vous remercie pour votre confiance.
Remplacer un wiki par WordPress : une solution plus simple pour la documentation
Chez LRob, la gestion de la documentation est essentielle, mais elle était jusqu’à récemment assurée par MediaWiki. Bien que cet outil soit efficace pour des projets collaboratifs, il devient lourd et compliqué à gérer quand on est seul à rédiger et maintenir la documentation.
C’est en travaillant sur un site WordPress aux nombreuses pages utilisées comme des catégories que l’idée m’est venue : pourquoi ne pas utiliser WordPress pour gérer la documentation, sans plugin supplémentaire ?
Pourquoi passer à WordPress ?
WordPress, qui fait tourner www.lrob.fr, offre déjà toutes les fonctionnalités de base nécessaires pour organiser la documentation, sans avoir à installer de plugin supplémentaire. Voici quelques avantages natifs qui m’ont poussé à faire la transition :
Hiérarchie des pages : Créer des pages et des sous-pages, comme dans un wiki, est très simple grâce à la structure native de WordPress.
Bloc Gutenberg pour l’arborescence : Il existe un bloc permettant d’afficher l’arborescence des sous-pages d’une page parente, facilitant la navigation dans la documentation.
Pour compléter cette configuration, j’ai utilisé RankMath SEO, déjà présent sur lrob.fr, qui m’a aidé à intégrer deux fonctionnalités clés pour un site de documentation :
Breadcrumbs : Un fil d’Ariane pour améliorer la navigation et le référencement.
Sommaire automatique : Un index des titres et sous-titres, idéal pour des pages bien structurées comme dans un wiki.
En prime, le wiki pourra être traduit automatiquement en anglais grâce à TranslatePress et l’API DeepL qui fait des miracles.
La transition vers WordPress
Le 17 Octobre au soir, j’ai donc transféré la documentation sur WordPress. L’éditeur de blocs Gutenberg a rendu le processus facile, en conservant les titres, listes, et liens lors du copier-coller depuis MediaWiki. Ensuite, j’ai mis en place des redirections 301 du wiki vers les nouvelles pages de documentation sur WordPress, puis j’ai désactivé l’ancien wiki.
Ce matin, j’ai profité de cette migration pour réorganiser et améliorer une partie de la documentation, avec une mise en page plus claire et plus moderne, tout en ajoutant des liens internes pour une meilleure navigation.
Un résultat plus simple et efficace
Le passage à WordPress simplifie la gestion de la documentation. Non seulement cela m’a permis d’éliminer les lourdeurs de maintenance de MediaWiki, mais c’est aussi une solution plus flexible et facile à utiliser pour moi, tout en offrant un contenu plus accessible à mes clients.
Grâce à RankMath SEO, la documentation est mieux structurée et plus optimisée pour le SEO, ce qui devrait améliorer sa visibilité en ligne.
Depuis longtemps, je cherchais un moyen d’exploiter efficacement les données de hacking bloquées par mes serveurs. Et en tant qu’hébergeur spécialiste WordPress, croyez bien que je déjoue des centaines voire des milliers de tentatives de piratages chaque jour (et je répare régulièrement des sites WordPress piratés qui proviennent d’autres hébergeurs). Les tentatives d’intrusion sont permanentes, mais grâce à des systèmes de sécurité tels que Fail2ban, les attaques sont stoppées automatiquement avant de causer des dommages. Cependant, au-delà de la simple protection de mes systèmes et clients, je souhaitais aller plus loin : partager ces informations et rendre l’internet plus sécurisé pour tous.
Déjà plus de 2000 IP malveillantes reportées en seulement 48 heures !
C’est dans cette optique que LRob a commencé à contribuer au reporting des attaquants via AbuseIPDB, une plateforme qui permet à chacun de signaler des IP malveillantes. En seulement 48 heures, plus de 2000 IP ont déjà été signalées, ce qui montre à quel point cette initiative peut avoir un impact significatif.
Pourquoi reporter les IP malveillantes ?
Les hackers attaquent tout, tout le temps. Que vous soyez une petite entreprise, un particulier ou une grande organisation, vous êtes une cible. Toutefois, même si ces attaques sont incessantes, les ressources des cybercriminels sont limitées. En les identifiant, nous avons une chance de mieux les combattre et de limiter leurs capacités d’action.
Il y a deux principales raisons pour lesquelles reporter les IP malveillantes est crucial :
Identifier et bloquer les attaquants : En reportant ces IP, vous contribuez à la création d’une base de données accessible à tous, facilitant ainsi le blocage de menaces potentielles avant qu’elles n’atteignent d’autres infrastructures.
Informer les hôtes légitimes : Certains hôtes légitimes peuvent être infectés ou détournés à leur insu, servant alors de relais pour des attaques. En signalant ces IP, vous leur donnez une chance de réagir et de corriger la situation.
Le partage d’informations via des plateformes telles qu’AbuseIPDB permet de rendre le web plus sûr, non seulement pour vous, mais aussi pour toute la communauté.
Une API simple pour un reporting efficace
L’une des grandes forces d’AbuseIPDB est sa simplicité d’utilisation. Via une API accessible à tous, il devient très facile de contribuer au signalement des IP malveillantes. En validant votre identité, vous pouvez même augmenter la limite des signalements à 5000 IP par jour, ce qui permet de couvrir un plus large spectre d’attaques.
J’ai donc décidé de mettre en place un système pour automatiser ces reports, et ainsi faire profiter la communauté de mes données de hacks bloqués. Une bannière est désormais visible en bas de mon site LRob.fr, renvoyant directement vers mon profil AbuseIPDB, où chacun peut voir les IP que j’ai signalées (voir mon profil ici).
Automatisation du reporting avec Plesk et Fail2ban
Pour ceux qui, comme LRob, utilisent Plesk pour gérer leurs serveurs, j’ai développé un script permettant de reporter automatiquement les IP malveillantes via l’API d’AbuseIPDB en utilisant les jails de Fail2ban.
Ce script est librement disponible sur GitHub et peut être utilisé par tout sysadmin souhaitant automatiser ce processus. Il suffit de configurer votre clé API et vous êtes prêt à commencer !
Nous avons tous un rôle à jouer pour construire un internet plus sain et sécurisé. Chaque IP signalée est une attaque potentielle en moins pour nos infrastructures, une menace en moins pour les entreprises et les particuliers. Grâce aux efforts conjugués des contributeurs et des plateformes comme AbuseIPDB, nous pouvons réduire l’impact des cyberattaques et rendre le web plus sûr pour tous. 🌐
Alors, que vous soyez un sysadmin expérimenté ou un utilisateur individuel souhaitant contribuer, je vous encourage à rejoindre cette initiative. Ensemble, nous pouvons faire une vraie différence et rendre le web plus sécurisé. 👊
Et si vous cherchez simplement un hébergeur sécurisé et spécialiste de WordPress, je vous invite à découvrir mes offres :
Il est temps de dénoncer une organisation – SPFBL.net – qui, bien qu’elle prétende lutter contre le spam, semble en réalité adopter des pratiques contraires à cet objectif. Au lieu de remplir son rôle, ce prestataire semble profiter de sa position pour mener des pratiques absolument scandaleuses et inacceptables.
Toutes les RBL ne sont pas gérées de manière éthique. L’exemple du jour est celui de SPFBL.net, une RBL brésilienne née en 2015(source MXToolbox), qui est de plus en plus mise en lumière pour ses pratiques largement contestables.
Info : Qu’est-ce qu’une RBL ?
Une RBL (Real-time Blackhole List) est une liste d’adresses IP suspectées d’envoyer du spam ou d’autres contenus malveillants. Les serveurs de messagerie s’appuient sur ces listes pour bloquer ou filtrer les e-mails potentiellement dangereux.
Dans cet article, nous allons décortiquer cette situation et expliquer pourquoi les pratiques de cette entreprise sont non seulement douteuses, mais potentiellement nuisibles à l’ensemble de l’écosystème internet si des administrateurs décident d’utiliser cette RBL. Nous verrons également comment combattre ces pratiques.
L’avis des utilisateurs et fournisseurs de services confrontés à la blacklist SPFBL
Commençons par montrer l’avis général ressortant de cette blacklist. Une rapide recherche sur les moteurs de recherche montre que les forums (en anglais) sont remplis de personnes criant au scandale et à l’arnaque au sujet de SPFBL.net.
Pour avoir contacté leur support (je vous détaille cela ensuite), je serais plutôt de leur avis… Jugez par vous-même.
“I contacted the operator of this spfbl.net and he threatened me with getting my IP’s blocked throughout the internet, how can something like this be allowed to happen.”
“We got flagged because we don’t have a contact email in our whois record (we have privacy turned on for it). Given that google.com also has that, I conclude that these guys are just a scam who want to be paid to have your domain unrestricted.”
Le cas LRob : une blacklist manifestement injustifiée
Le serveur d’infrastructure LRob est un exemple parfait d’un système configuré et géré avec soin depuis plusieurs années. En tant qu’administrateur système de ce serveur, je peux affirmer avec certitude qu’aucun spam n’a jamais été envoyé depuis cette machine. De plus, tous les paramètres essentiels sont correctement mis en place : Hostname, rDNS, MX, SPF, DKIM, et DMARC.
Malgré ces mesures exemplaires de conformité, l’IPv6 du serveur s’est retrouvée sur la liste noire de SPFBL.net.
A domain is considered non-compliant when the WHOIS search result for that domain does not contain the email address of the domain owner. Update the registration data and remove privacy protection for this domain in WHOIS and wait one hour for the cached result of this WHOIS query to expire.
This IP was flagged due to misconfiguration of the e-mail service or the suspicion that there is no MTA at it.
For the delist key can be sent, select the e-mail address responsible for this IP:
add a PayPal user’s email for 2.00 USD.
The rDNS must be registered under your own domain. We do not accept rDNS with third-party domains.
Résumé des échanges avec le support de SPFBL.net
J’ai bien-sûr contacté la RBL pour vérifier si j’avais bien compris leur politique et s’il était possible de discuter en bonne intelligence. Résultat : oui, j’avais bien compris, et non, il ne me semble pas possible de discuter en bonne intelligence avec eux en l’état.
Voici un résumé ChatGPT des échanges par mail :
Demande initiale (Robin) : Robin, administrateur système, a contacté SPFBL pour demander de l’aide concernant la suppression de son adresse IPv6 de leur liste noire DNS. Il souhaitait obtenir des précisions sur les raisons de l’inscription et des conseils pour corriger d’éventuelles mauvaises configurations, suspectant un lien avec la protection de la confidentialité WHOIS.
Réponse (Leandro) : Leandro, de SPFBL, a répondu en demandant à Robin de retirer temporairement la protection de la confidentialité WHOIS afin de pouvoir retirer l’IP via leur outil de suppression en ligne.
Préoccupations (Robin) : Robin a exprimé des inquiétudes quant à l’exigence de retirer la protection de la confidentialité WHOIS, invoquant les réglementations du RGPD. Il a remis en question la nécessité d’exposer des données personnelles, soulignant qu’aucun rapport d’abus n’avait été émis sur son domaine.
Explication (Leandro) : Leandro a expliqué que leur système utilisait les données du propriétaire du domaine pour prédire le spam et associer des domaines sous le même titulaire. Il n’a pas fourni d’autres justifications pour cette politique.
Objection (Robin) : Robin a contesté l’utilité des informations WHOIS pour évaluer le comportement d’une IP, qualifiant la politique de SPFBL de contre-productive. Il a réitéré que son IP ne présentait aucun risque et a demandé sa suppression de la liste noire.
Options (Leandro) : Leandro a proposé deux options pour la suppression : retirer temporairement la protection WHOIS ou payer des frais.
Réponse ferme (Robin) : Robin a fermement rejeté les deux options, qualifiant cette pratique de malhonnête et assimilable à une escroquerie. Il a souligné que son IP était conforme et a menacé de prendre des mesures légales si le problème n’était pas résolu.
Réponse finale (Leandro) : Leandro a rejeté les menaces légales de Robin, affirmant que SPFBL respecte les lois américaines et l’invitant à poursuivre toute action légale qu’il jugerait appropriée.
Dernier avertissement (Robin) : Robin a rappelé que l’internet est un système global et qu’aucune localisation ne justifie de nuire à des entreprises légitimes à travers des pratiques éthiques douteuses. Il a confirmé son intention de prendre les mesures nécessaires, en précisant que ses contacts identifieraient les autorités locales compétentes si nécessaire.
Ces échanges ont eu lieu entre le 8 et le 9 septembre 2024.
Par ailleurs, je dispose d’un log qui montre qu’ils ont tenté d’envoyer un mail à une adresse inexistante pour test, pouvant vérifier par eux-même la bonne configuration du serveur qui a donc rejeté ce mail :
Oct 9 14:55:13 ds postfix/smtpd[899530]: connect from matrix.spfbl.net[54.233.253.229]
Oct 9 14:55:14 ds postfix/smtpd[899530]: NOQUEUE: reject: RCPT from matrix.spfbl.net[54.233.253.229]: 550 5.1.1 <inexistent-feature-check-192715907d9@lrob.net>: Recipient address rejected: User unknown in virtual mailbox table; from=<admin@spfbl.net> to=<inexistent-feature-check-192715907d9@lrob.net> proto=ESMTP helo=<matrix.spfbl.net>
Oct 9 14:55:14 ds postfix/smtpd[899530]: disconnect from matrix.spfbl.net[54.233.253.229] ehlo=1 mail=1 rcpt=0/1 quit=1 commands=3/4
Oct 9 14:55:14 ds psa-pc-remote[2023328]: Message aborted.
Le cas SPFBL.net : une pratique abusive
Le cas de SPFBL.net met en lumière des pratiques alarmantes qui vont à l’encontre de la protection des données et des standards éthiques que de nombreuses autres RBL respectent.
En particulier, cette RBL blacklist des IP selon des critères abusifs, puis impose des conditions très problématiques pour le délistage d’adresses IP.
Décortiquons les “règles pour un délistage gratuit” selon la politique affichée sur leur site le 9 Septembre 2024, qui nous informe également sur les raisons possibles au blacklistage initial :
Only IP with rDNS pointing to the same mail server IP will be accepted, with FCrDNS validation;
❌ Ce critère est certes standard, mais cette vérification devrait être effectuée par le serveur destinataire de l’e-mail, pas par une RBL, qui ici n’apporte aucune valeur ajoutée.
The rDNS must be in the domain of the MTA administrator, so third-party domains such as the generic rDNS of the data-center or ISP will not be accepted, and its TLD cannot be free and must have a public and accessible WHOIS without privacy obfuscation;
❌ L’administrateur peut très bien infogérer les mails d’un tiers, comme dans mon cas où le MTA est “lrob.net” et l’administration est faite via “lrob.fr”. Cela ne devrait pas justifier un blocage. ❌ Bloquer les rDNS génériques peut être une bonne pratique, mais cela relève du serveur destinataire, pas d’une RBL. ❌ Exiger un WHOIS public contrevient au RGPD en Europe. Le droit d’envoyer des mails ne devrait pas dépendre de la visibilité des informations personnelles dans le WHOIS.
The postmaster account must be configured for the domain registered on the rDNS and the account must be active and responding;
❌ Les rDNS sont souvent des sous-domaines techniques, comme “ds.lrob.net”. Avoir une adresse e-mail du type “postmaster (at) ds.lrob.net” n’a aucun sens. Le postmaster peut être contacté via d’autres canaux plus appropriés, comme un formulaire de contact ou une adresse principale.
If you are using an IPv6 with SLAAC flag, you must keep port 25 opened to proof the existence of an active SMTP service and
❌ Bien que le serveur doive effectivement écouter sur le port 25 pour assurer le bon fonctionnement du SMTP, c’est encore une fois au serveur destinataire de vérifier cela, pas à une blacklist de le contrôler.
Reputation of IP should be below 25% of negative points per total send volume
✅ Ce critère est cohérent avec le principe même d’une RBL, qui évalue la réputation d’une adresse IP en fonction de son comportement réel.
Voyons aussi les conditions payantes :
Only static IPs with configured mail server reverse, even if FCrDNS is invalid;
❌ Sous prétexte de payer, on permettrait d’avoir un rDNS invalide, ce qui est contraire aux normes de configuration des e-mails. C’est un contournement des bonnes pratiques, qui pourrait permettre l’envoi de courriers mal configurés.
A PayPal account is required for the email address of this account to be assigned to the IP, as responsible for the abuse;
❌ Forcer l’utilisation de PayPal pour attribuer une adresse IP à un compte est une restriction injustifiée. Cela limite les options des utilisateurs et n’a aucune raison légitime dans un cadre technique.
The PayPal user must agree to have their email address shown publicly on this platform as responsible for the abuses of that IP and
❌ Exposer publiquement l’adresse email associée au compte PayPal est une atteinte à la vie privée et peut entraîner des risques de harcèlement ou d’abus. Cela va clairement à l’encontre des principes de confidentialité.
Reputation of IP should be below 25% of negative points per total send volume.
✅ Ce critère est acceptable et s’aligne avec le principe d’évaluation de la réputation d’une adresse IP sur la base de son comportement effectif, comme attendu d’une RBL.
En somme, cette blacklist me semble tenter de réinventer la roue avec des règles de blocage qui ne font strictement aucun sens d’un point de vue technique.
Quand aux conditions de délisting, même dans sa version payante, les conditions restent abusives. De mon point de vue, cela devrait déjà, à ce stade, avoir dissuadé tout sysadmin d’utiliser cette RBL.
Le but semble bien-sûr être de faire du profit sur le dos des utilisateurs tout en récupérant des données personnelles.
Résumé des problèmes de SPFBL.net
Plusieurs problèmes majeur remettent en question le bienfondé de leurs pratiques et leur impact négatif sur les entreprises légitimes.
Voici les principaux points à retenir :
Exposition des données privées WHOIS SPFBL.net exige que les administrateurs retirent la protection de leur WHOIS pour être retirés de leur liste noire. Cela signifie que des informations personnelles et sensibles, comme l’adresse email du propriétaire du domaine, doivent être publiquement accessibles pour que l’adresse IP ne soit plus blacklistée. En Europe, cette demande est en totale contradiction avec le RGPD (Règlement Général sur la Protection des Données), qui garantit la protection des données privées des utilisateurs. Les informations contenus dans le WHOIS sont privées par défaut depuis plusieurs années. Cette exigence exposerait les administrateurs système et les entreprises à des risques d’abus ou de spams ciblés, ce qui est contraire aux bonnes pratiques en matière de sécurité et de confidentialité.
Paiement pour la délistage En plus de la suppression de la protection WHOIS, SPFBL.net propose également une alternative : payer 2 dollars pour retirer une adresse IP de la liste noire. Cette pratique est perçue par beaucoup comme une forme de chantage. Exiger un paiement pour rétablir la légitimité d’une adresse IP, alors qu’il n’y a aucune preuve d’activité suspecte ou malveillante, remet en question la transparence de leurs opérations. Cette approche pousse probablement de nombreuses entreprises légitimes à payer simplement pour éviter les désagréments causés par le blacklistage.
Un modèle de détection inefficace Regrouper les domaines en fonction des informations WHOIS ignore les réalités du web moderne, où de nombreuses entreprises légitimes utilisent des infrastructures partagées, hébergées par des fournisseurs comme Google ou OVH. En conséquence, des adresses IP pourraient être injustement blacklisted simplement parce qu’elles partagent un propriétaire de domaine avec d’autres utilisateurs, sans considération pour leur comportement réel.
Un impact potentiel très grave
Les conséquences de ces pratiques sont nombreuses et graves pour l’écosystème internet :
Impact sur les entreprises : Lorsqu’une adresse IP est bloquée à tort, cela peut affecter la capacité d’une entreprise à communiquer par e-mail avec ses clients, partenaires ou prestataires. Les erreurs de détection ou les exigences abusives peuvent ainsi perturber le bon fonctionnement d’une entreprise.
Chantage et extorsion : Demander de l’argent pour supprimer une adresse IP d’une liste noire sans preuve d’activité malveillante s’apparente à de l’extorsion. Cette approche nuit gravement à la confiance entre les fournisseurs de services internet et leurs clients.
Violation de la confidentialité : En demandant la suppression de la protection WHOIS, SPFBL.net viole les principes fondamentaux de la protection des données personnelles, particulièrement en Europe, où le RGPD (Règlement Général sur la Protection des Données) protège les informations privées des utilisateurs. En exposant ces données, SPFBL.net expose les administrateurs système et les entreprises à des risques d’abus.
Que faire en tant que fournisseur de services sur internet ?
1. Cessez d’utiliser cette RBL immédiatement
Nous devons tous enjoindre nos relations chez les grands fournisseurs de services à ne surtout PAS utiliser cette RBL.
Il est absolument indispensable que les fournisseurs de services internet cessent d’utiliser SPFBL.net et d’autres RBL qui ne respectent pas les standards éthiques. Une autre RBL de ce type est également UCEPROTECT qui blacklist des blocks d’IP complets et demande ensuite de l’argent à chacun des usagers des IP pour les débloquer.
L’utilisation d’une RBL douteuse peut entraîner des conséquences néfastes pour les utilisateurs finaux, les entreprises et l’ensemble de l’écosystème numérique.
Il existe de nombreuses alternatives respectables qui se concentrent sur la détection des activités malveillantes en se basant sur des comportements réels, et non sur des informations privées ou des regroupements arbitraires de domaines. Les administrateurs système doivent rester vigilants et choisir des solutions qui respectent la vie privée et qui suivent des pratiques équitables et transparentes.
2. Ne cédez pas
Si comme moi vous êtes victime de cette RBL et estimez que ces pratiques sont abusives, ne cédez surtout pas aux prérequis scandaleux de cette RBL. Au contraire, battez-vous à mes côtés.
3. Dénoncez ces pratiques aux autorités compétentes
Faites jouer vos relations pour que cela remonte aux CSIRT français (Computer Security Incident Response Team), à l’ANSSI mais également à la CNIL pour non respect de la RGPD. Si vous avez des contacts au niveau européen, relayez l’info. Si vous êtes en dehors de France ou d’Europe, contactez les organismes à votre portée, et n’hésitez pas à vous appuyer sur cet article pour expliquer le problème.
Si vous n’avez pas de contact mais que vous comprenez l’enjeu, relayez également l’info à des personnes du domaine de l’hébergement et du sysadmin web.
Conclusion
L’affaire SPFBL.net est un exemple flagrant des dangers des pratiques douteuses de certaines RBL.
On comprend que celui qui se prétend combattre les “méchants” n’est pas toujours “gentil” lui-même.
Pour protéger l’intégrité de l’internet et le respect des utilisateurs, il est impératif que les fournisseurs de services internet cessent d’utiliser cette RBL et privilégient les solutions plus respectueuses disponibles.
Confrères sysadmin : ne cédez surtout pas aux prérequis grotesques de cette RBL.
LRob ne cèdera pas, cet article marque d’ailleurs le début d’une lutte qui ne s’arrêtra qu’une fois que la communauté aura eu gain de cause. Cela est possible, en contactant les bonnes personnes. Et vous pouvez aider à ce combat.
Si vous êtes confronté aux pratiques abusives de SPFBL.net, rejoignez-nous pour dénoncer ces actions et protéger l’intégrité de l’écosystème internet. Contactez les autorités compétentes, partagez cette information dans vos réseaux professionnels, et refusez de céder à ces pratiques déloyales.
Le monde de WordPress, qui alimente plus de 40 % des sites web dans le monde, est en pleine ébullition. Au centre du conflit se trouvent deux acteurs majeurs de l’écosystème : Matt Mullenweg, fondateur de WordPress et CEO d’Automattic, et WP Engine, une des principales entreprises d’hébergement pour WordPress.
Cet affrontement, qui a pris des proportions juridiques, soulève des questions cruciales sur le contrôle de la marque WordPress, l’open source, et la gouvernance de l’un des projets les plus influents du web. Voici une analyse détaillée de cette affaire et des enjeux qu’elle représente.
Contexte : WordPress et WP Engine
WordPress et Automattic : une relation complexe
WordPress, lancé en 2003 par Matt Mullenweg et Mike Little, est un logiciel open source permettant de créer et gérer des sites web. Il est gratuit et bénéficie du soutien d’une large communauté de développeurs qui contribuent à son amélioration continue. Cependant, la gouvernance du projet repose en grande partie sur Automattic, la société fondée par Mullenweg. Automattic gère notamment WordPress.com et d’autres produits populaires comme WooCommerce et Jetpack.
Bien que WordPress soit open source, Automattic détient une licence exclusive pour l’utilisation de la marque WordPress, ce qui donne à l’entreprise un rôle central dans l’écosystème. Cela inclut la protection de la marque contre des utilisations perçues comme abusives ou trompeuses.
WP Engine : un gros acteur de l’hébergement WordPress
De son côté, WP Engine est l’un des plus grands services d’hébergement spécialisés dans WordPress. L’entreprise propose des solutions d’hébergement optimisées pour WordPress, facilitant la gestion des sites web pour des millions d’utilisateurs. Elle a connu une croissance rapide, attirant des investisseurs de premier plan comme Silver Lake.
Cependant, WP Engine n’est pas directement affilié à Automattic ni à la WordPress Foundation, bien que son nom et son modèle économique soient étroitement liés à WordPress.
Le Début du Conflit : Mullenweg vs WP Engine
En septembre 2024, Matt Mullenweg a publié un billet de blog dans lequel il critiquait ouvertement WP Engine, qualifiant l’entreprise de “cancer pour WordPress”. Il reprochait à WP Engine de désactiver par défaut la fonctionnalité d’historique des révisions des articles, une pratique qui, selon lui, compromettait la protection des données des utilisateurs.
Mullenweg a également dénoncé l’utilisation par WP Engine de la marque “WP”, estimant que cela créait une confusion chez les utilisateurs, leur faisant croire que WP Engine faisait partie de WordPress ou avait un lien officiel avec la WordPress Foundation.
La Réaction de WP Engine
Face à ces accusations, WP Engine a répliqué en envoyant une lettre de cessation et de désistement à Mullenweg et à Automattic, exigeant qu’ils retirent leurs déclarations. WP Engine a défendu son utilisation de la marque “WP”, affirmant que cela relevait de l’usage loyal du nom, conformément à la loi sur les marques. La société a également accusé Mullenweg d’avoir menacé d’adopter une “approche nucléaire” contre WP Engine à moins qu’elle n’accepte de payer une redevance substantielle pour l’utilisation de la marque WordPress.
L’escalade juridique : cessez-le-feu et contre-attaques
En réponse à la lettre de WP Engine, Automattic a émis sa propre lettre de cessation et de désistement, affirmant que WP Engine violait les règles d’utilisation des marques WordPress et WooCommerce.
Le conflit a atteint un nouveau sommet lorsque Mullenweg a pris la décision radicale de bannir WP Engine des ressources de WordPress.org. Ce ban a bloqué les sites hébergés sur WP Engine de l’accès aux mises à jour des plugins et des thèmes, exposant de nombreux sites à des risques de sécurité. Cette mesure a été largement critiquée au sein de la communauté WordPress, car elle a laissé de petites entreprises et des sites indépendants sans solution viable.
WP Engine a dénoncé cette décision, accusant Mullenweg d’abus de pouvoir et de mettre en danger l’ensemble de l’écosystème WordPress.
Matt Mullenweg, CEO of Automattic, has misused his control of WordPress to interfere with WP Engine customers’ access to https://t.co/ZpKb9q4jPh, asserting that he did so because WP Engine filed litigation against https://t.co/erlNmkIol2. This simply is not true. Our Cease &…
L’interruption des services WP Engine a eu un impact majeur sur de nombreux utilisateurs. Bien que les plugins et thèmes WordPress soient sous licence open source, les hébergeurs comme WP Engine doivent gérer des infrastructures pour que leurs clients puissent les utiliser. Le ban temporaire a révélé la fragilité de certaines dépendances techniques et a mis en lumière l’importance d’une gestion équilibrée des ressources open source.
Mullenweg a toutefois affirmé que le conflit était strictement lié à des questions de marques et non à la gestion globale de WordPress. Le ban a été levé temporairement à la fin du mois de septembre, mais l’incident a semé des doutes dans la communauté.
Automattic trop dominant ?
De plus en plus de voix s’élèvent pour questionner la position dominante d’Automattic dans la gestion de WordPress. John O’Nolan, fondateur du CMS open source Ghost, a critiqué la centralisation excessive autour de Matt Mullenweg, affirmant que “40 % du web ne devrait pas être contrôlé par une seule personne”.
De son côté, David Heinemeier Hansson, créateur de Ruby on Rails, a accusé Automattic de trahir les principes de l’open source en demandant à WP Engine de reverser 8 % de ses revenus. Pour lui, cette pratique pourrait avoir des répercussions bien au-delà de WordPress, menaçant l’ensemble de la communauté open source.
Les implications juridiques et commerciales
Le 3 octobre 2024, WP Engine a décidé de passer à l’offensive en déposant une plainte contre Automattic et Mullenweg pour abus de pouvoir et pratiques anticoncurrentielles. WP Engine accuse Automattic de ne pas avoir respecté ses engagements envers l’open source et de nuire aux intérêts des développeurs et des utilisateurs.
Cette affaire est encore en cours, mais elle pourrait avoir des répercussions profondes sur la manière dont les marques et projets open source comme WordPress sont gérés à l’avenir.
Un message spécial à la connexion sur WordPress.org
Lors du login aux forums de WordPress.org, une nouvelle case à cocher est apparue :
✅ I am not affiliated with WP Engine in any way, financially or otherwise.
Message inhabituel qui m’a poussé à rechercher cela et à découvrir cette affaire.
Questions soulevées pour WordPress
Cela touche essentiellement deux grandes entreprises américaines qui font une exploitation commerciale de WordPress (dans des modèles à mon avis trop modifiés de la version originale de WordPress). Version originale de WP qui est vraiment libre et que vous pouvez héberger où vous le souhaitez (et on l’espère, vous choisirez un hébergement LRob).
Les hébergeurs indépendants tels que LRob, sommes pour l’heure totalement à l’abri de ce conflit. Pas de sonnette d’alarme pour nous, même si l’on reste vigilants.
Ce conflit souligne en tout cas les tensions possibles lors d’une gestion de projet open source à grande échelle. Alors que WordPress reste une technologie essentielle pour des millions de sites, ce débat autour de la propriété des marques, de la gouvernance et de l’éthique de l’open source, soulève des questions.
En particulier : Jusqu’où l’open source peut-il rester libre quand il est étroitement lié à des intérêts commerciaux massifs ?
Une quadruple faille de sécurité critique vient d’être découverte dans CUPS pour l’ensemble des systèmes GNU/Linux. Cet article sera mis à jour avec les nouvelles informations, pour vous offrir un résumé simple et efficace de ce qu’il faut savoir et des mesures à prendre.
MAJ 29/09/2024 : Ces failles concernent bien uniquement CUPS, donc très peu de serveurs sont touchés, à moins que vous n’ayez des imprimantes en datacenter… ! Cet article a donc été réécrit en conséquence.
Une faille critique : qu’est-ce qu’on sait ?
Le chercheur en sécurité Simone Margaritelli, a découvert cet ensemble de failles début septembre.
Cela concerne CUPS, le service d’impression de Linux. Le chercheur met en lumière une possible exécution de code à distance (Remote Code Execution, ou RCE) sans authentification. Cela signifie que des attaquants pourraient potentiellement exécuter des commandes sur des machines distantes sans avoir à s’identifier, ce qui rend la faille particulièrement dangereuse. Le score CVSS attribué à ces failles est situé entre 8.3 et 9.0/10 (après avoir été évalué à 9.9).
Le 26 Septembre, Naïm Aouaichia, ingénieur cybersécurité nous alertait en indiquant avant tout le monde que cela pourrait concerner CUPS :
“Certaines rumeurs évoquent que cette faille serait liée à des vulnérabilités dans CUPS, le service d’impression. Oui, vos imprimantes sont peut-être au centre de tout ça. À confirmer.
D’après certaines hypothèses, le problème pourrait être lié à un buffer overflow ou à une race condition.”
Cela ne concerne donc pas les serveurs dédiés sous firewall et/ou avec un service d’impression non lancé. Pour les administrateurs locaux utilisant CUPS, restez bien attentifs.
Un problème qui date
Cette vulnérabilité a la peau dure, puisqu’elle a été présente dans les systèmes GNU/Linux pendant plus d’une décennie. Elle affecte toutes les distributions Linux, y compris Debian, Ubuntu, RedHat et autres.
Malgré l’importance de cette faille, il n’existe pour l’instant aucune correction disponible. Les développeurs continuent de débattre pour savoir quels aspects de la faille affectent réellement la sécurité, ce qui retarde la mise en place d’un correctif.
Processus de divulgation
Le chercheur Margaritelli, à l’origine de cette découverte, a travaillé sans relâche pendant trois semaines pour alerter la communauté open source et aider à la coordination des efforts de correction. Cependant, il a rencontré de nombreuses résistances de la part des développeurs, certains étant réticents à accepter l’existence de cette faille dans leur code. Cela souligne les défis auxquels est confrontée la gestion des vulnérabilités dans le monde open source.
Certains l’accusent de vouloir augmenter sa cote de popularité. Mais il faut se rendre à l’évidence : Le chercheur a bel et bien découvert une grosse faille que tout le monde ignorait depuis plus de 10 ans.
Canonical (Ubuntu) et RedHat ont confirmé la gravité de la situation et travaillent activement à une solution. La divulgation complète des détails techniques de la faille est prévue le 6 octobre, ce qui augmente la pression pour qu’un correctif soit publié rapidement.
La roadmap est la suivante :
30 Septembre : Divulgation initiale à la mailing list de sécurité “Openwall”
6 Octobre : Révélation publique avec tous les éléments de la vulnérabilité
Pourquoi c’est compliqué de corriger la faille ?
Margaritelli a indiqué dès le début qu’il faudrait probablement au moins trois à six identifiants CVE (Common Vulnerabilities and Exposures) pour couvrir tous les aspects du problème. Cela signifie qu’il y a plusieurs vecteurs d’attaque potentiels, chacun nécessitant une analyse et une résolution spécifiques.
Quels sont les risques pour vous ?
De ce que l’on sait désormais, il faut absolument éviter d’exposer vos services IPP sur internet (port 631 à bloquer au niveau des firewalls).
Bien que cette faille soit critique, elle n’est pas si facilement exploitable. Elle nécessite un haut niveau d’expertise technique, ce qui signifie que, pour l’instant, seuls des attaquants très qualifiés pourraient s’en servir. Les détails de la faille ne sont sont pas encore publics, limitant donc son impact. Mais cela ne doit pas vous rendre complaisant. Il faut rester vigilant, car une fois la divulgation complète effectuée, les tentatives d’exploitation vont se multiplier.
Que faire en attendant ?
Dans l’attente d’un correctif officiel, voici les bonnes pratiques à adopter pour limiter les risques :
Surveillez les annonces officielles : Restez informé des mises à jour de sécurité publiées par votre distribution Linux. Ces annonces vous indiqueront quand un correctif est disponible.
Renforcez la configuration de vos firewalls : Assurez-vous que vos serveurs ne sont pas exposés inutilement à Internet. Restreignez les accès aux ports essentiels et surtout, n’exposer pas le port 631 !
Limitez l’exposition des services : Réduisez au minimum le nombre de services qui écoutent publiquement en coupant les services inutiles ou en les faisant écouter sur 127.0.0.1.
Préparez-vous pour un déploiement rapide : Dès qu’un correctif est publié, soyez prêt à l’installer immédiatement pour protéger vos machines.
Cette faille RCE est sans doute une des plus graves découvertes dans l’écosystème GNU/Linux depuis longtemps. Cependant, il est important de ne pas céder à la panique. Aucun système n’est exempt de failles et Linux reste le système d’exploitation le plus fiable et sécurisé. Il faut se rappeler que la plupart des serveurs n’ont pas de service CUPS en route, mais si c’est le cas, alors faites particulièrement attention. En adoptant les mesures de sécurité recommandées et en restant à l’écoute des annonces officielles, vous pouvez minimiser les risques. Le monde open source, réagit généralement rapidement et saura certainement surmonter cette épreuve efficacement, malgré les divergences internes inhérentes au travail collaboratif.
Gardez un œil sur les correctifs à venir et assurez-vous que vos systèmes sont prêts à les recevoir. La sécurité informatique est un défi permanent, mais en restant proactif, vous vous assurez que vos serveurs et vos clients WordPress restent protégés.
Chez LRob, on suit ça de très près, et si les serveurs ne sont pas affectés, je vous garantis qu’on corrigera quand même cette faille mondiale à l’instant où le patch sera disponible.
Enfin, on rappelle à ceux qui vont arguer que “Linux n’est pas sécurisé” un petit comparatif Linux VS Microsoft.
Comparatif des failles de sécurité Linux VS Microsoft sur 1 anComparatif des failles de sécurité Linux VS Microsoft sur 11 ans
En vérité : la sécurité à 100% n’existe jamais, quiconque prétend le contraire est un menteur ou un ignorant ! Laissez donc le dogmatisme de côté. Personne n’est épargné par les failles, il s’agit donc de faire au mieux et de rester vigilant pour rendre les intrusions les plus difficiles possibles.
Imaginez le drame : seulement 1 chance sur 10 que vos demandes vous parviennent !
Les formulaires de contact sont indispensables pour acquérir des clients. Pourtant, un certain nombre de ces formulaires sont mal configurés et échouent à faire parvenir les demandes des prospects…
De plus, les formulaires sont sensés être faits pour vous faire gagner du temps… Et quelques astuces peuvent vous y aider… Par exemple en ne recevant pas de spam ou en pouvant répondre plus rapidement.
Aujourd’hui, LRob vous fait gagner du temps et des prospects !
1. Ne mettez pas l’adresse email du client en expéditeur (From)
L’erreur la plus fréquente lors de la configuration des formulaires de contact est de considérer le client comme l’expéditeur du mail.
Il peut sembler logique de mettre son adresse email dans le champ “From”, mais cela provoque un problème majeur : le mail spoofing, ou usurpation d’identité.
En procédant ainsi, votre site web se fait passer pour l’adresse email de votre client (par exemple : john.doe@microsoft.com). Si le domaine de votre client est bien sécurisé (ce qui est souvent le cas), il refusera que votre serveur envoie un email en son nom. Le message sera donc bloqué silencieusement par votre fournisseur email, ou considéré comme du spam… 9 chances sur 10 que vous soyez considéré comme un spammeur.
La solution est très simple : l’expéditeur du mail doit toujours être une adresse liée à votre propre domaine. Par exemple, utilisez une adresse telle que : site@votredomaine.fr. Cela garantit que les emails envoyés à partir de votre formulaire ne seront pas rejetés ou classés comme spam.
2. Protégez vos formulaires avec un Captcha
N’oubliez pas d’ajouter un Captcha pour éviter les spams.
Le Captcha n’est pas là juste pour embêter le monde : c’est une solution simple et efficace pour filtrer les robots et préserver la qualité des messages reçus.
Sans cette protection, vous allez recevoir des dizaines voire des centaines de messages non sollicités par jour, ce qui vous fera perdre du temps à trier, en plus de manquer les vraies demandes.
Pour respecter la vie privée de vos usagers, je conseille hCaptcha.
3. Configurez SMTP sur votre site
Votre site web devrait avoir une adresse mail dédiée avec un vrai login SMTP pour vos envois. Pour rappel, SMTP est le protocole standard d’envoi email.
Si vos mails sont chez Gmail ou Microsoft, cela va être plus compliqué à appliquer car vous payez à chaque boîte mail et SMTP est désactivé par défaut… Mais s’ils sont chez votre hébergeur favori alors aucun souci !
Les envois par défaut via la fonction php mail() sont parfois désactivés pour éviter les envois involontaires de mails et ainsi préserver la réputation des serveurs (bloqué par défaut chez LRob, autorisé au cas par cas).
Cela assure que l’envoi se fasse depuis un vrai serveur email plutôt que depuis le serveur du site web, lorsque ces deux serveurs sont distincts.
SMTP va améliorer la délivrabilité des mails grâce à des “headers” email (des méta-informations) généralement plus propres que php mail().
En cas de problème avec le formulaire (envoi massif de spams par exemple), SMTP permettra de limiter les envois à un quota horaire.
En cas de souci de délivrabilité quelconque, si votre hébergeur fournit du support pour cela (c’est le cas de LRob), les envois SMTP sont bien plus facilement traçables dans les logs, ce qui simplifie le diagnostic.
En résumé, utiliser SMTP n’a que des chances d’améliorer votre délivrabilité et d’éviter les problèmes. Utilisez-le !
4. Vérifiez la délivrabilité de vos emails du formulaire
Assurez-vous que vos messages sont bien reçus en effectuant des tests avec des outils comme mail-tester.com.
Mail-Tester vous permet de mesurer la qualité de vos envois.
Mettez l’adresse mail s’affichant à la visite de mail-tester.com en destinataire du formulaire, faites votre test, puis vérifiez le score.
Un score supérieur ou égal à 9/10 est recommandé pour garantir la bonne réception des demandes. Ce score devrait également être atteint lors de vos envois email classiques. Si ce n’est pas le cas, contactez votre hébergeur email pour plus d’infos (ou venez vous héberger chez LRob !).
5. Faites vos tests en navigation privée
Lorsque vous testez vos formulaires de contact, faites-le en navigation privée.
Si vous êtes connecté à votre site, certaines fonctionnalités comme le Captcha peuvent être désactivées, pour ne citer que ça. Cela pourrait fausser vos tests et vous donner une impression erronée de la qualité de votre formulaire.
6. Utilisez une adresse destinataire liée à votre domaine
Assurez-vous que l’adresse de réception (destinataire du formulaire) appartient bien à votre domaine (vous@votredomaine.fr) et qu’elle n’est pas redirigée vers une autre adresse.
En cas de problème avec votre formulaire, par exemple si vous recevez du spam via le formulaire et que le destinataire est un grand fournisseur de messagerie (Gmail, Orange, Yahoo, etc.), vous pourriez être considéré comme spammeur.
Utiliser votre propre domaine en destinataire du formulaire vous permet donc de protéger votre e-réputation et de réduire les risques de blocage ou de mauvaise gestion des emails par les fournisseurs de messagerie.
7. Évitez les emails de confirmation
Envoyer un email de confirmation peut sembler être une bonne idée, mais il faut s’en méfier.
Si ce message contient le texte soumis par l’utilisateur, votre formulaire peut alors être exploité par des personnes malveillantes pour envoyer du spam à n’importe quelle adresse mail via votre site. Même si le texte n’est pas repris, cela peut quand même générer des mails non sollicités vers des tiers, ce qui n’est jamais bon.
Cela peut donc ternir la réputation de votre domaine et vous exposer à des sanctions. Préférez donc éviter cette pratique.
8. Utilisez le champ “Reply-To” pour faciliter vos réponses
Même si vous ne devez pas mettre l’adresse email du client dans le champ “From”, vous pouvez cependant l’ajouter dans le champ “Reply-To”.
Ainsi, vous pourrez directement répondre au mail du formulaire : l’adresse email de votre prospect sera automatiquement le destinataire de votre mail.
Une solution simple et efficace pour gagner du temps !
9. Sauvegardez les demandes sur le site
Envisagez de sauvegarder les demandes du formulaire en base de données du site.
Des plugins WordPress comme “Contact Form 7 Database Addon” permettent cela gratuitement. Vous pourrez alors vérifier de temps en temps que vous n’avez pas loupé une demande.
Pour aller plus loin…
Si vous avez des doutes sur la configuration de vos formulaires, ou si vous souhaitez un audit personnalisé, n’hésitez pas à me contacter.
Aussi, le conseil relatif à la délivrabilité email est inclus dans le support LRob pour tous les clients.
Je n’ai plus qu’à vous souhaiter une belle réussite avec des formulaires au top désormais ! 💪
💥Nouvelles offres & jusqu’à -30% en Septembre 💥 De quoi booster sa rentrée ! Tous les détails 👇
En septembre, les adultes font aussi leur rentrée !
Et ça fait pile 1 an que j’ai quitté mon CDI pour me focaliser totalement sur l’activité LRob. Alors il faut marquer le coup.
Le planning de septembre est chargé, donc allons à l’essentiel.
⭐ Nouveautés ⭐
🟢 La migration vers LRob peut désormais être commandée depuis le portail LRob ! Avec 3 niveaux de service disponibles de 120 à 499€ (le dernier permet la migration de 50 boîtes mail de nuit !). 😎
🟢 Les offres de webmastering ont évolué pour plus de flexibilité. Choisissez désormais l’hébergement et le niveau de webmastering souhaité séparément. Dans certains cas, cela peut faire de belles économies. 🔀
🟢 L’offre WP ArticlePro AI se simplifie, à tarif réduit pour Septembre ! La relecture, amélioration, mise en page de vos articles, avec désormais 2 images incluses, des options multilingue : à partir de 30€/article (au lieu de 40€) ! 🤖
Un décret du 30 Mai 2024 fixe depuis le 1er Juillet l’augmentation des cotisations pour 2025 pour les BNC (et Cipav). Pour une meilleure protection sociale. Auto-entrepreneurs (et EI) : préparez-vous.
Comme indiqué dans cette première actualité :
Cela concerne les auto-entrepreneurs affiliés au régime général de la Sécurité sociale et déclarant leur chiffre d’affaires dans la catégorie des BNC. Il s’agit de garantir leurs droits à la retraite complémentaire.
Un mail de l’URSSAF ce 28 août informe de l’évolution du taux global de cotisations.
Dérouler pour voir le mail
Bonjour,
Vous êtes auto-entrepreneur artisan-commerçant ou en profession libérale non réglementée et vous déclarez votre chiffre d’affaires en bénéfices non commerciaux (BNC).
Ainsi, chaque mois ou chaque trimestre, vous payez des cotisations et contributions sociales calculées selon un taux global de cotisations appliqué à votre chiffre d’affaires.
Nous vous informons que depuis le 1er juillet 2024, ce taux global de cotisations de 21,1 % augmente sur trois ans, de façon progressive, comme indiqué sur ce tableau (hors bénéficiaires de l’Acre et auto-entrepreneurs exerçant en outre-mer), selon le calendrier suivant :
Année
Période
Taux global
2024
du 1er juillet au 31 décembre 2024
23,1 %
2025
du 1er janvier au 31 décembre 2025
24,6 %
2026
à compter du 1er janvier 2026
26,1 %
Pourquoi votre taux augmente-t-il?
Votre taux augmente pour vous permettre d’acquérir des droits à la retraite complémentaire des travailleurs indépendants et de bénéficier ainsi d’une protection sociale renforcée.
Qu‘est-ce que la retraite complémentaire des travailleurs indépendants?
La retraite complémentaire des travailleurs indépendants est un complément essentiel à votre retraite de base. En payant chaque mois ou chaque trimestre vos cotisations, vous cumulez des points, qui seront convertis en droits retraite le moment venu.
Vous bénéficiez de l‘Acre ou vous exercez votre activité en outre-mer?
Si vous êtes bénéficiaire de l’Acre ou si vous exercez votre activité en outre-mer, nous vous invitons à consulter votre nouveau taux de cotisations sur les pages L’essentiel du statut – Autoentrepreneur.urssaf.fr.
Bon à savoir
Pour vos droits à la retraite complémentaire avant le 1er juillet 2024, un dispositif, en cours de définition par les pouvoirs publics, sera mis en place afin de vous permettre, si vous le souhaitez, de cotiser de manière rétroactive et ainsi d’acquérir des droits.
Une question?
Vous retrouverez toute l’information utile concernant :
🟢 2024, du 1er juillet au 31 décembre 2024 : 23,1 % 📈 2025, du 1er janvier au 31 décembre 2025 : 24,6 % 📈 2026, à compter du 1er janvier 2026 : 26,1 %
Pourquoi le taux augmente-t-il ?
L’URSSAF explique dans le mail :
“Votre taux augmente pour vous permettre d’acquérir des droits à la retraite complémentaire des travailleurs indépendants et de bénéficier ainsi d’une protection sociale renforcée.”
Et sur le site :
“La retraite complémentaire constitue un complément essentiel à la retraite de base. Grâce aux cotisations versées, les auto-entrepreneurs cumuleront désormais des points qui seront convertis en droits retraite le moment venu, assurant ainsi une meilleure sécurité financière à long terme.”
Adaptez-vous
💡 Pensez bien à :
Adapter vos grilles de calcul de cotisations
Prévoir si besoin l’adaptation de votre tarification
Ré-évaluer la pertinence d’un passage en SARL/EURL et dérivés
Ne pas vous laisser avoir par les éventuelles campagnes de phishing (faux emails vous demandant des infos personnelles ou vous redirigeant vers de faux sites) qui pourraient avoir lieu suite à cette annonce.
Conclusion
Ce n’est pas forcément la meilleure nouvelle pour la rentrée…
Mais voyons le côté positif : Il reste une chance que l’on touche une retraite. 🤞 (si, si, on y croit…)
———–
Je suis Robin Labadie, hébergeur web spécialiste WordPress.
Le 19 août 2024, une vulnérabilité critique a été identifiée dans le plugin LiteSpeed Cache, utilisé par plus de 5 millions de sites WordPress. Cette faille permet à un attaquant non authentifié de se faire passer pour un administrateur, compromettant ainsi l’intégrité totale du site.
Elle affecte toutes les versions du plugin LiteSpeed Cache jusqu’à la version 6.3.0.1. En exploitant un bug dans la fonction de simulation de rôle, un attaquant peut utiliser un hash pour se faire passer pour un administrateur. Une fois ce hash obtenu, il peut créer un compte administrateur via l’API REST de WordPress, ce qui lui permet de prendre le contrôle du site.
Le hash utilisé est de seulement six caractères, ce qui le rend vulnérable aux attaques par force brute. De plus, s’il est possible d’accéder aux logs de débogage, ce hash peut être récupéré facilement par un attaquant.
Que Faire ?
Ne sous-estimez pas cette vulnérabilité. Les menaces de ce type peuvent rapidement se transformer en catastrophes si elles ne sont pas traitées à temps.
La solution est simple : mettez à jour LiteSpeed Cache vers la version 6.4.1 ou supérieure. Cette mise à jour corrige la faille.
Si vous utilisez Wordfence Premium, Care ou Response, une règle de pare-feu a été déployée le 20 août 2024 pour vous protéger. Les utilisateurs de la version gratuite recevront cette protection à partir du 19 septembre 2024.
Comment rester protégé ?
Avec le WordPress Toolkit sur les hébergements LRob, vous auriez été alerté automatiquement par mail de la vulnérabilité et la mise à jour aurait pu être automatique 😎. La sauvegarde est complète et quotidienne chez LRob, avec une rétention de 1 an complet ! Un bon moyen de garder une longueur d’avance sur les menaces de sécurité.
Je voulais l’héberger moi-même sur serveurs Linux. Car tout le monde sait qu’un serveur digne de ce nom est forcément sous Linux !
J’entrais sans le savoir dans ma véritable vocation : sysadmin 🌱
📷 Photo by Manon Laterza – 2012 – Je gère mes serveurs, mes amis jouent à la pétanque à côté. 😂
Le commencement
En 2012, on avait besoin : d’un site web (d’abord un forum), d’un serveur de voix et de serveurs de jeux.
Passionné d’informatique pure depuis 10 ans, j’ai été le seul parmi les 25 personnes à l’initiative du projet, à oser se coller sur cette partie technique, devenant de facto l’administrateur système principal de la communauté.
Il fallait donc apprendre énormément de choses d’un coup, en partant de rien :
choisir un fournisseur de serveurs dédiés (à l’époque : online.net / Dedibox)
installer et gérer un serveur Linux (ESXI + Debian) via un terminal headless (SSH)
gérer les IP multiples (failover)
choisir un registrar pour enregistrer et gérer un nom de domaine
gérer une zone DNS
gérer un firewall
installer un serveur web (LAMP)
créer des bases de données MySQL à la main, installer et utiliser phpMyAdmin
gérer des fichiers de configuration système et CMS
à gérer les droits et permissions sur un forum phpBB
Et j’en oublie sûrement
Dans cette découverte, ma curiosité était insatiable. 😋
J’ai bossé jour et nuit jusqu’à ce que tout fonctionne ! Ça m’a pris 5 à 7 jours.🌛
J’ai appris bien plus dans ce court laps de temps qu’en un an de fac d’informatique (arrêtée pour me lancer en auto-entrepreneur en 2010 car je m’ennuyais des cours que je trouvais non pertinents).
Et ce n’était le début…
J’avais au final une VM (machine virtuelle) pour le serveur web, une VM pour le serveur voix, et une VM pour les serveurs de jeu. J’aurais pu regrouper les deux dernières, mais j’apprenais et je pensais au début qu’il valait mieux tout séparer au maximum, ce qui au final n’est pas plus mal quand on débute.
Pendant des années, j’ai exploré les multiples facettes des serveurs. Dont la programmation BASH, devenant second contributeur de LinuxGSM en m’investissant profondément dans le projet open-source.
Découverte de WordPress
En 2014 j’ai surtout découvert WordPress ! 😍
Je l’ignorais, mais WordPress allait devenir un élément central de ma vie professionnelle.
J’ai d’abord transitionné le site de la communauté d’un forum phpBB vers un site WordPress.
Devant la découverte de ce CMS génial, j’ai eu envie de faire mon site perso LRob dans la foulée, toujours en 2014. J’ai commencé à héberger et faire des sites pour des amis. Sans même avoir conscience qu’en fait, c’était un véritable métier de sysadmin, webmaster et hébergeur web.
Coup d’accélérateur
En 2016, j’ai mis un énorme coup de boost à la gestion serveur web.
Après des migrations serveur toujours plus propres, la création de mes propres outils et process, la mise en place manuelle de certificats SSL/TLS (pour HTTPS) et pas mal de temps à gérer WordPress, je me suis attaqué au maillon manquant !
Je me suis mis à faire mes premiers serveurs email à la main, en respectant toutes les normes possibles (rDNS, HELO, SPF, DKIM, DMARC). Et à découvrir les questions de délivrabilité vers Microsoft, difficiles la première fois qu’on déploie un serveur.
J’ai même crée une série de tutos sur les serveurs Linux, celle que j’aurais rêvé d’avoir quand j’ai débuté. De quoi aider les administrateurs système Linux et Web en devenir.
2017 : de passionné à professionnel
Jusqu’à 2017, il faut dire ce qui est : ma situation pro était chaotique.
Très enrichissante, mais chaotique.
J’ai oscillé entre des prestations en tant qu’ingénieur son, du dépannage informatique en freelance, du tournage et montage vidéo, du support en télétravail (j’étais en avance sur mon temps 😎) et de l’intérim’ pour combler les manques. Mais à 27 ans, j’avais mon prêt étudiant à combler, je voulais améliorer mon niveau de vie et je devais donc stabiliser mes revenus.
Je me suis dit que mine de rien, je commençais à avoir des compétences en informatique valorisables en entreprise… Il y aurait bien une entreprise avec qui on peut mutuellement s’aider !
Et là, je crois que j’ai eu le coup de chance de ma vie.
Dès mon début de recherche d’emploi, j’ai découvert un hébergeur web orléanais : HaiSoft.
Quelle aubaine ! 🤩
C’est le seul à qui j’ai envoyé mon CV. Le seul avec qui j’ai passé un entretien. Et ce fut, je crois, le coup de foudre professionnel mutuel.
Ils ont reconnu en moi l’autodidacte passionné que j’étais. Ils m’ont invité à rejoindre l’équipe. Cela marquait début d’une aventure géniale de presque 6 ans. 🤝
Pendant ces années, me suis professionnalisé tout en apportant mes idées et énergies fraîches pour perfectionner chaque aspect des services. 👌
HaiSoft mettait la barre très haut, mais rien n’est jamais parfait. 🏋️♂️
Dans une synergie exemplaire, on a résolu les problèmes récurrents, amélioré les documentations, boosté les performances, la sécurité, les mises à jour. On a enrichi l’offre et amélioré la communication. J’ai même eu la latitude de de gérer les baies serveurs ! 🎯
HaiSoft est un superbe modèle d’entreprise IT, le meilleur selon moi. 🤩
La parole de chacun est écoutée, la hiérarchie est amicale, transparente et accessible. Quiconque peut proposer et mettre en place des améliorations. L’implication et l’engagement du salarié deviennent naturels.
C’est d’ailleurs grâce à cette ouverture qu’à l’époque, étant le plus fervent utilisateur de WordPress, je suis naturellement devenu, sans que cela ne soit vraiment acté, le référent support WordPress. J’ai pu pousser des services et prestations spécifiques pour WordPress et former toute l’équipe à ces tâches.
Les humains derrière tout ça sont géniaux ! 🤗
J’en profite pour remercier les membres de l’équipe, qui me sont encore chers à ce jour :
Frédéric, pour être un patron exceptionnellement droit et soucieux
Damien, pour ta vision d’ensemble toujours pertinente
Benoît, pour être un éternel mentor, avec ta curiosité, rigueur et droiture consistante
Dylan, pour avoir encore amélioré l’idéal de la relation client
Arthur, pour être à l’écoute et relever les défis de développement
Jérôme, pour la découverte d’un autre univers et les bonnes discussions
Merci pour tout ! 💖
👉 HaiSoft continue de briller par sa qualité grâce à tout ce petit monde, et les nouveaux. Chaque fois que j’ai des nouvelles d’eux, j’apprends la mise en place d’évolutions et solutions géniales.
Alors si mon expertise WordPress ne vous est pas utile : foncez chez eux ! Vous nous remercierez plus tard. 😉
🌐 Agence web
Les années passant, j’ai quand même voulu évoluer et ré-entreprendre. Je me suis mis à faire plus de sites web, d’abord pour des amis, puis des pros… A proposer du webmastering WordPress.
Fin 2022, j’ai pris un risque calculé : quitter HaiSoft pour rejoindre une agence web et remettre d’aplomb leur parc d’hébergement. 🪛
On sait ce qu’on perd, mais jamais ce qu’on gagne. Alors j’ai préparé mon avenir d’indépendant.
Dans la courte transition entre les deux jobs, à la vitesse de l’éclair, j’ai déployé ma propre infrastructure de web hosting. ⚡
Puis, en quelques mois, j’ai rénové les serveurs de l’agence qui m’embauchait : amélioré les performances, la sécurité, les backups, simplifié la gestion, tout en réduisant drastiquement les coûts serveurs. 🔒
⏩ Tournant Freelance
Début 2023, grande surprise : départ en retraite de mes nouveaux patrons !
L’agence web dans laquelle je mettais en place mes plans à long terme a ainsi été vendue.
Au début, j’étais enthousiasmé par ce changement, ça ouvrait des portes fabuleuses. Sauf que… La nouvelle hiérarchie bloquait tous les budgets des évolutions prévues. J’ai cru que c’était temporaire, mais en discutant avec la hiérarchie en direct, j’ai compris que ça ne mènerait à rien. 😅
L’équipe se sentait abandonnée, lésée. Certains parlaient de partir. L’ambiance était extrêmement négative et pesante. Je ne pouvais plus faire mon travail correctement et certaines urgences ne pouvaient pas être traitées. Si auparavant j’étais fier du travail accompli et en route, désormais je ne voulais surtout plus mettre mon nom sur le désastre que je voyais se tramer devant nous.
Mon temps méritait mieux que ça ! ⌚
Parallèlement, mon activité de freelance commençait à décoller alors même que je ne faisais rien d’autre que d’en parler un peu autour de moi. Me lancer dans cette tâche à fond ne pouvait que marcher !
Alors, j’ai franchi le cap :
Poser ma démission le premier (d’autres ont ensuite suivi)
Passer en 100% freelance ! 🚀
Sûrement la meilleure décision de ma vie !
Non-seulement j’arrive à en vivre confortablement, mais j’éprouve une satisfaction que je n’aurais jamais oser imaginer !
J’ai l’infrastructure d’hébergement rêvée : la plus belle, fiable et sécurisée.
Et j’ai surtout le bonheur d’accompagner chaque jour des clients exceptionnels. 💘
![[Vidéo] Interview LRob “Les métiers de la Sécurité et de la Défense”](https://lrob-pro.bench.lrob.net/wp-content/uploads/2025/01/interview-taffer-comment.jpg)
