Sécurisez vos mots de passe avec une solution open-source et auto-hébergée
Gérer ses mots de passe est un vrai casse-tête ! On sait tous que la sécurité de nos données perso dépend de nos mots de passe, mais franchement, qui n’a jamais fait d’erreur en les gérant ? Voyons ensemble comment éviter les pièges les plus courants et trouver la solution idéale pour garder nos mots de passe en sécurité.
Les erreurs courantes dans la gestion des mots de passe
Deux questions simples pour voir où tu en es avec la gestion de tes mots de passe :
Tu te souviens de tes mots de passe ?
Si ta réponse est “oui”, c’est pas forcément une bonne nouvelle. Ça veut dire que tu utilises probablement le même mot de passe un peu partout ou que tu as un modèle facile à deviner. Un hacker pourrait alors s’amuser à découvrir les autres mots de passe si jamais il en trouve un.
Tu confies tes mots de passe à une entreprise privée ?
Là encore, attention ! Beaucoup de gestionnaires de mots de passe commerciaux ont déjà été piratés. Et comme ils sont “closed-source”, impossible de savoir ce qu’ils font avec tes données. Et pour ce qui est de sauvegarder les mots de passe dans Chrome… Je pense que tu vois où je veux en venir. 😬
Pas de panique, si tu as répondu “oui” à une de ces questions, tu n’es pas le seul, tu fais même partie de la majorité. Il est temps de sécuriser tout ça et de rejoindre ceux qui prennent leur sécurité en main !
Open-source gratuit et indépendant, ce logiciel te permet de stocker tes mots de passe dans une base de données chiffrée, protégée par un seul mot de passe maître. Fini de te souvenir de tous tes mots de passe, ils peuvent être aussi compliqués et aléatoires que tu veux !
Soyons honnêtes, l’appli originale KeePass n’est pas la plus belle. Mais pas de souci, il y a une super alternative : KeePassXC. Avec KeePassXC, tu as une interface améliorée et une sécurité au top, que tu sois sur Windows, macOS ou Linux.
Et pour encore plus de confort, pense à installer l’extension navigateur de KeePassXC. Elle te permet de remplir automatiquement tes champs de mot de passe et de sauvegarder facilement les nouveaux. Et à activer l’intégration navigateur correspondante dans les réglages KeePassXC.
Comme beaucoup utilisent Chrome et auront forcément la flemme de faire le switch, sachez qu’il est très simple d’exporter vos mots de passe :
Rendez-vous des les paramètres de Chrome
Puis dans “Mots de passe”
Cliquez sur “Exporter les mots de passe”
Sauvegardez le .csv
Importez-le via KeePass via la fonction “Import…”
Supprimez le .csv et videz votre corbeille
Garde le contrôle avec une solution auto-hébergée
L’un des gros avantages d’une solution open-source comme KeePass, c’est que tu peux garder un contrôle total sur tes données. Pas besoin de confier ta base de données à une entreprise privée. Tu peux l’héberger toi-même sur une plateforme comme Nextcloud pour un accès même hors connexion. Nextcloud couplé à KeePass te permet donc de synchroniser tes mots de passe entre tous tes appareils tout en gardant la main sur tes données.
En plus, Nextcloud, ce n’est pas juste un service de stockage. C’est une solution complète pour gérer tes fichiers, collaborer en équipe et bien plus encore. Tu profites de tous les avantages des solutions cloud propriétaires comme celles de Microsoft ou Google, mais avec la souveraineté totale sur tes données.
Une solution axée web auto-hébergeable existe aussi : Passbolt.
Quelle que soit la solution choisie, Passbolt et KeePass comportent des fonctions d’import/export de mots de passe, pour passer de l’un à l’autre facilement. Une fois que tu es libre, tu es libre.
Conclusion
Protéger tes mots de passe est essentiel. Avec une solution open-source et totalement auto-hébergée comme KeePass et Nextcloud, tu es sûr de faire le bon choix. Tu as une sécurité optimale et tu gardes le contrôle de A à Z, sans dépendre de services tiers qui pourraient mettre ta confidentialité en danger.
Alors, prêt à découvrir la satisfaction d’utiliser un mot de passe de 128 caractères aléatoires, tout en sachant qu’il est super sécurisé ? C’est le moment de te lancer avec KeePass et de reprendre le contrôle de tes données. 💪
Votre site est trop lent ? Insécurisé ? Vous perdez du temps à le gérer ? ▶️ La migration vers LRob est offerte durant le mois d’août ! 👌
Vous travaillez en plein août au lieu de boire des Mojitos à Ibiza ? 🍸 Vous profitez de l’accalmie pour vous organiser et vous améliorer ? 💪
Soyez enfin récompensés ! 🥇
👉 Pour toute souscription d’hébergement annuel LRob, la migration de vos sites et emails est offerte !
La migration est complète et comporte : ✅ Changements DNS intelligents pour une migration sans coupure ✅ Migration des fichiers et de la base de données de votre site ✅ Migration jusqu’à 5 boîtes mail ✅ Génération des certificats SSL/TLS pour la connexion web et mail sécurisée ✅ Vérification de votre instance WordPress et conseils personnalisés
ℹ️ Vous avez plusieurs sites ou davantage de boîtes mail ? Bénéficiez d’une remise de groupe aussi ! 👌
On rappelle les “plus” LRob : ➕ Hautes performances garanties ➕ Sécurités anti-robots anti-hack, alertes en cas de faille dans votre site ➕ WordPresss Toolkit (login one-click, mises à jour auto, sécurisations, gestion des plugins même en cas de bug sur le site, etc.) ➕ Conseil d’expert WordPress et aide au débug ➕ Sauvegarde quotidienne externalisée avec 1 an de rétention !
Qu’entends-je ? Qu’acousticais-je ? 👂 “💲hut up and take my money ?”
Le serveur Apache HTTP est l’un des serveurs web les plus utilisés dans le monde. Cependant, comme tout logiciel, il n’est pas à l’abri des vulnérabilités. Et attention car il s’agit d’une double faille.
Le 4 juillet, une faille de sécurité critique a été découverte, affectant la version 2.4.60 d’Apache. Cette faille est notée CVE-2024-39884.
La faille permet la divulgation du code source des fichiers PHP. C’est donc absolument critique car ceux-ci peuvent par exemple contenir des mots de passe des bases de données, ou du code propriétaire confidentiel.
Un correctif est donc sorti via la version 2.4.61 du serveur Apache… Sauf que ce correctif ne corrigeait correctement pas la faille ! Une deuxième CVE est donc sortie, la CVE-2024-40725 pour ré-identifier cette faille finalement non corrigée.
Voici une synthèse de ces failles et des corrections apportées.
Update 30/07/2024 : Il existe une possibilité pour que cette vulnérabilité soit en lien avec une vague de piratages ciblant de sites hébergés chez o2switch. Rien n’est établi avec certitude car les moyens d’exploitation de ces failles et l’envergure du problème ne sont pas encore publics. Je n’ai pas non-plus d’informations de la part mon confrère hébergeur sur les versions Apache utilisées.
CVE-2024-39884
Date de publication : 4 juillet 2024
Description : Une régression dans le noyau du serveur Apache HTTP version 2.4.60 fait en sorte que certaines configurations basées sur le type de contenu, telles que “AddType”, ne sont pas correctement prises en compte. Dans certains cas, cela peut entraîner la divulgation du code source de fichiers locaux, comme les scripts PHP qui peuvent être affichés en texte brut au lieu d’être interprétés.
Solution : Il est recommandé de mettre à jour vers la version 2.4.61, qui corrige ce problème.
Description : Cette faille est une correction additionnelle de la CVE-2024-39884. Elle révèle que la version 2.4.61 ne corrige pas complètement le problème initial. En effet, certaines configurations basées sur le type de contenu peuvent encore entraîner la divulgation du code source des fichiers locaux dans certaines circonstances.
Solution : Il est recommandé de mettre à jour vers la version 2.4.62, qui corrige définitivement ce problème.
Debian, la mère distribution Linux, utilisée par LRob, a également pris des mesures pour corriger ces vulnérabilités dans ses différentes versions, au travers du repository “security” ou natif en fonction des versions de l’OS. Voici la feuille de route des corrections :
Les serveurs LRob sont déjà tous à jour et corrigent bien cette faille.
Conclusion
Les administrateurs de serveurs Apache HTTP doivent vérifier immédiatement la version de leur serveur et mettre à jour vers les versions corrigées (2.4.61-1[security] ou 2.4.62) pour éviter toute divulgation involontaire de code source.
La communauté open-source continue de surveiller et de corriger rapidement les vulnérabilités afin de garantir la sécurité et la fiabilité des logiciels utilisés par des millions de serveurs dans le monde. Assurez-vous de suivre les mises à jour de sécurité et de maintenir votre infrastructure à jour pour protéger vos données et celles de vos utilisateurs.
Identification & causes : tout ce qu’il faut savoir 👇
La semaine dernière, je révélais sur LinkedIn un piratage à priori répandu chez les possesseurs de sites WordPress hébergés chez o2switch. En qualité d’expert sécurité WordPress et grâce à une investigation auprès de quelques confrères touchés et non touchés, nous avons pu en apprendre davantage.
MAJ 31/07/2024 – En résumé
Selon une source en interne, l’hébergeur ne serait vraiment pas en cause. L’hypothèse d’un entretien insuffisant des sites piratés resterait ainsi privilégiée. Toujours selon cette source interne, les moyens mis en place par l’hébergeur pour déterminer l’origine précise de ce souci sont remarquables (quelques exemples m’ont été donnés, j’approuve la stratégie). Enfin, même si le nombre de sites impactés peut sembler élevé, il faut mettre cela en perspective avec le parc important d’o2switch : l’impact réel resterait très limité en proportion et la vaste majorité des clients ne devrait pas être impactée par ce souci spécifique.
De plus, le soir du 30/07/2024, o2switch a fait un geste remarquable et très rare dans le monde des gros hébergeurs, en nettoyant le hack sur les sites impactés. Une réaction courageuse qui m’a surpris de la part d’un hébergeur. En effet, les plus gros hébergeurs ont plutôt tendance à avoir l’habitude inverse, c’est à dire de laisser les clients se débrouiller lorsque le souci vient des sites finaux en eux-même. L’investissement de l’hébergeur est réel ici et suscite mon plus grand respect.
On rappelle qu’en sécurité, le plus important est la prévention : faites la maintenance de votre site avec les mises à jour automatiques, de bonnes sauvegardes et n’oubliez pas de d’utiliser les dernières versions de PHP compatibles. Si besoin d’aide pour cela, c’est ma spécialité 😉
📄 Mode opératoire du hack
Le hack redirige les utilisateurs mobile vers des sites frauduleux, notamment en rapport avec la guerre Ukraine/Russie via un URL shortener hébergé aux Emirats Arabes Unis.
Techniquement il consiste en une injection de code JavaScript obfusqué dans tous les posts WordPress du site. Il est donc chargé dans les pages et articles et parfois dans d’autres plugins comme les plugins de cookies, les plugins d’avis utilisateurs, etc.
Voici un aperçu du code pirate après dé-obfuscation, qui permet même sans parler ce langage de comprendre que l’action a lieu lors du clic et qu’une URL aléatoire est sélectionnée en fonction du “UserAgent”, c’est à dire du navigateur utilisé :
Aperçu du code pirate après dé-obfuscation
Info additionnelle 31/07/2024
La requête effectuant le hack pourrait être une simple requête POST sur le fichier index.php du site, comme un log le suggère, qui semble correspondre à un hack effectif depuis une IP américaine (IP et site masqués) :
Jul-2024:213287:199.195.252.[HIDDEN] - - [27/Jul/2024:20:10:59 +0200] "POST /index.php?s=captcha HTTP/1.1" 200 102292 "https://www.[HIDDEN].fr/index.php?s=captcha" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MS-RTC LM 8; InfoPath.3; .NET4.0C; .NET4.0E) chromeframe/8.0.552.224"
On voit ici une requête de 102292 bytes faite sur l’index, ce qui est 100x plus élevé par rapport aux requêtes habituelles de l’ordre de 1000 bytes. D’autant que ce site n’a pas de Captcha… Ce qui est troublant est que la requête résulte en un code 200, ce qui signifie que la requête est acceptée, traitée sans erreur, alors que la visite de cette URL devrait plutôt donner une erreur 404 (Not Found).
🔍 Identification
Le hack est parfois mal inséré dans les articles et s’affiche de manière textuelle dans le corps des pages au lieu de s’exécuter
La plupart du temps il est invisible, vous pouvez vérifier si votre site est impacté en recherchant “_0x365b”, ou “0x3023”, ou “function _0x”, via l’inspecteur de votre console développeur à la visite du site, ou via une recherche dans phpMyAdmin
Les antivirus Eset et Avast bloquent l’accès aux sites touchés
Update 31/07/2024 – L’un des sites touchés ne se voit pas via la console développeur, il faut à la place utiliser l’outil en lignes de commandes “curl” pour observer le code malveillant. Il est possible que cela soit dû au cache du site.
Voici un exemple du code pirate tel que visible depuis la console développeur :
Exemple code pirate
🌐 Répartition du hack
Grâce à une recherche du pattern du hack sur Google et Bing, j’ai trouvé de nombreux sites infectés. J’ai contacté l’ensemble des propriétaires des sites pour les alerter, leur conseiller de contacter leur prestataire et leur proposer mon aide si besoin.
Sur 40 domaines impactés, trouvés en France et en Belgique, 2 seulement ne sont pas chez o2switch – update 30/07/2024 : Certains sites chez OVH, Hostinger et divers hébergeurs sont aussi touchés, mais plus rares pour le moment.
D’autres fournisseurs de serveurs étrangers sont touchés mais j’en ai trouvé moins qu’en France.
Cela laisse penser à une attaque ciblée des sites présents sur les IP o2switch, que le hacker aurait trouvé via des listes publiques qui référencent cela. Ce type d’attaques peut cibler n’importe quel hébergeur qui n’y peut strictement rien. C’est pour cela qu’il faut être pro-actif dans votre sécurité.
💡 Des causes toujours incertaines
Voici ce qu’on a pu voir et déduire en recoupant les infos entre confrères :
Comme le hack est insidieux, beaucoup ne sont pas diagnostiqués et détectés rapidement, mais la plus ancienne occurrence semble avoir eu lieu en Mai – update 30/07/2024 potentiellement plutôt en Juillet
Cela ne touche pas un plugin ou un thème spécifique
Le plugin Tiger d’o2switch ne semble donc pas non-plus être la cause du problème, car des sites sans ce plugin sont touchés
Les sites touchés semblent généralement moins entretenus que les autres, mais c’est le cas de la plupart des sites; et des sites assez bien suivis (peut-être pas assez) sont aussi touchés
La faille exploitée a pu provenir du core de WordPress lorsque non mis à jour assez rapidement
Il est possible que cela provienne de l’utilisation d’une version PHP obsolète définie par le gestionnaire de l’hébergement (client final)
Il est possible que la présence d’une seconde instance WordPress (une instance de dev par exemple) dans l’hébergement, qui elle, ne serait pas à jour, puisse déteindre sur l’instance principale, par manque d’isolation (c’est le même hébergement, le même utilisateur système, les mêmes droits, et il ne semble pas y avoir de règle open_basedir pour restreindre le répertoire au niveau de PHP chez o2switch)
Cela ne touche pas les clients d’un serveur spécifique d’o2switch, ils sont répartis sur de plusieurs serveurs mutualisés, et certains serveurs ne sont pas du tout touchés, laissant entendre un souci marginal (donc pas d’intrusion serveur ou hébergeur global)
Il y a une minuscule probabilité pour qu’une intrusion ou une faille hébergeur plus globale aie eu lieu (par exemple une faille dans un paquet système qui permet le hack), mais nous n’avons aucun élément pour le vérifier et dans la mesure où o2switch n’a rien signalé, il est plus raisonnable de penser que le souci provient de l’applicatif final (WordPress) ou de la version de PHP utilisée par le client final.
– Update 29/07/2024Il est enfin possible qu’une faille du serveur web Apache aie été exploitée, soit lorsqu’elle n’était pas encore correctement corrigée, soit car o2switch a trop tardé à mettre à jour ses versions logicielles. Les dates semblent concorder pour les hacks les plus récents. Là encore aucune certitude sans une annonce officielle de l’hébergeur.
– Update 31/07/2024 Des failles dans des sous-versions de PHP, notamment dans certaines révisions de PHP 8.0 pourraient expliquer le piratage. Cela concorde avec les requêtes observées pouvant causer un buffer overflow et permettre un injection de code. Si les sous-versions de PHP 8.0 de l’hébergeur ne sont pas à jour, cela explique la possibilité du hack. Quoi qu’il en soit, le client est fautif si c’est la cause, car on rappelle que PHP 8.0 est dans tous les cas obsolète et ne devrait plus du tout être utilisé. Il n’est d’ailleurs plus disponible à la sélection sur les hébergements LRob.
Aucun hack à déplorer sur les hébergements LRob.
🔨 Réparation du hack
La réparation consiste à nettoyer la base de données en effaçant les lignes correspondant au pattern du hack. Avant toute opération, sauvegardez votre base de données. Les fichiers des sites web ne semblent pas impactés sur ce hack, mais une vérification manuelle complète est toujours recommandée comme pour tout hack. Pensez aussi à vider les différents caches pour que le code malveillant en soit également retiré.
Quand il s’agit de gérer un site WordPress, il faut trouver un pro, un webmaster qui sait ce qu’il fait. Ce prestataire qui pourra transformer un périple sur internet en une joyeuse croisière !
Découvrez les 10 qualités les plus utiles pour choisir un spécialiste WordPress au top !
1. Culture WordPress
Le bon webmaster WordPress doit évidemment connaître WordPress sur le bout des doigts.
D’abord sa structure technique, mais aussi dans ses aspects fonctionnels et pratiques. En effet, parmi les milliers de thèmes et de plugins, un bon spécialiste WordPress doit connaître les scripts les plus connus et surtout leurs problèmes et solutions les plus communs. S’il ne pourra jamais tout connaître, son bagage lui permettra de s’adapter face aux nouveautés.
2. Sécurité WordPress proactive
La sécurité, c’est la base ! Pourtant très peu de gens la maîtrisent. WordPress est très populaire et il faut une sécurité ultra stricte pour éviter les piratages !
Un bon spécialiste possède une politique de sécurité qu’il peut vous fournir.
Il met en place tout un tas de mesures transparentes pour vous. Par exemple, des vérifications quotidiennes de failles de sécurité, des mises à jour automatiques, des blocages de robots pirates et des pare-feu solides pour protéger votre site.
Il doit aussi pouvoir vous conseiller sur les éventuelles actions à mener pour rester sécurisé.
Ainsi, le risque de piratage devient quasi nul. Mais attention : la sécurité parfaite n’existe pas, c’est une illusion et celui qui prétend le contraire est un ignorant ou un menteur ! Mais rassurez-vous, on peut s’approcher bien assez de la perfection et c’est cette direction qu’il faut rechercher.
3. Gestion des sauvegardes de WordPress
Des sauvegardes régulières et externalisées, c’est indispensable !
Sauvegardes quotidiennes et rétention de 12 mois, c’est la tranquillité d’esprit assurée. Les sauvegardes doivent être externalisées du site et même de l’hébergeur principal, et gérées directement au niveau serveur, pour plus de fiabilité. En cas de souci, la restauration doit être rapide. Avec vos arrières ainsi assurées, vous pourrez agir vous-même sur votre site sans la peur de le casser !
4. Administration système
Un bon spécialiste doit maîtriser toute la chaîne d’hébergement web. Il doit avoir des compétences d’administration système.
Ainsi, il comprend les enjeux en termes de chaîne fonctionnement d’un serveur web qui accueille le site, il comprendre les questions de performances, de chaîne de sécurité, il gère aussi les emails, les DNS et noms de domaine sans souci. Il sera ainsi à l’aise dans tous les contextes pour une gestion fluide de votre vie en ligne.
En fait, il doit littéralement être passionné d’informatique pour avoir une culture vaste et large de tous les outils et connaissances qui permettent une excellente gestion de votre site WordPress.
5. Il doit vous héberger
S’il n’héberge pas votre site, votre webmaster sera inefficace et ne pourra garantir sa sécurité.
Votre webmaster doit disposer d’un serveur sécurisé avec des outils de gestion spécifiques à WordPress.
En termes de sécurité, on sait que le premier maillon de la chaîne de sécurité est le serveur. Si votre webmaster utilise un bête hébergement mutualisé sans mesures de sécurité spécifiques à WordPress, la sécurité ne peut pas raisonnablement être garantie.
Et en termes d’efficacité, si votre spécialiste WordPress a tous les accès serveur et centralise la gestion des sites qu’il a en gestion, alors il pourra être beaucoup plus efficace pour résoudre vos problèmes. Entre l’accès aux sauvegardes, l’accès au terminal, l’accès aux logs (historiques des actions et erreurs), cela rend le travail efficace et qualitatif. Les plus exigeants (comme moi) diront qu’on ne peut pas faire du bon travail sans ces outils.
6. Support humain, réactif et efficace
Le support doit être rapide, efficace et humain.
Il doit savoir résoudre les bugs efficacement grâce à une méthodologie bien ficelée. Disponible par téléphone, par mail, par ticket, votre spécialiste doit répondre vite et bien à vos demandes (raisonnables). Si votre site est critique, alors une astreinte doit être disponible pour les interventions d’urgence hors horaire ouvré.
7. Flexibilité et liberté client
Vous devez rester libre.
S’adapter aux besoins de chaque client est essentiel. Vous devez être libre d’accéder à toutes vos données et d’intervenir vous-même sur votre site si vous en avez envie. Et à l’inverse, vous pouvez faire le choix de tout déléguer. Dans tous les cas, le choix doit venir de vous et vous devez être libre de partir quand bon vous semble, quelle qu’en soit la raison.
8. Autodidaxie et capacité d’adaptation
Vous cherchez un véritable génie.
Car WordPress évolue extrêmement vite, votre spécialiste doit être capable d’acquérir de nouvelles connaissances en permanence et de s’adapter à la vitesse de l’éclair. Car il est impossible de tout connaître, même pour un expert, il faut pouvoir apprendre rapidement.
Ainsi, l’autodidacte ayant déjà appris avec succès par sa propre initiative est souvent plus à même de conserver un excellent niveau dans le temps.
9. Un bon entourage
Il sait vous rediriger vers la bonne personne.
Demain, vous aurez peut-être des besoins particuliers dans le web. Par exemple, de lancer une campagne webmarketing, d’être davantage présent sur les réseaux sociaux, de refaire votre charte graphique, ou même pourquoi pas de créer un événement physique.
Le bon spécialiste WordPress ne peut pas connaître l’ensemble de ces sujets car il est spécialisé dans WordPress; par contre, il doit pouvoir vous rediriger vers des prestataires de confiance pour accomplir vos ambitions.
10. Sympathie et franc-parler
Visez une relation de confiance.
Votre webmaster est votre meilleur allié, vous avez besoin de lui pour vous accompagner sur internet autant qu’il a besoin de vous pour être fier de son travail et gagner sa vie. Le courant doit bien passer, la conversation doit être fluide et sans filtres.
Le summum : il doit pouvoir vous dire les vérités difficiles à entendre lorsque vous en avez besoin pour évoluer dans le bon sens !
Où trouver ce webmaster spécialiste WordPress idéal ?
Si vous souhaitez cocher toutes ces cases, je suis votre homme.
Ce que j’imagine quand j’entends “digital” : LES DOIGTS !
Le mot “DIGITAL” est obsolète et mal employé ! ⚠️ Faisons mieux 👇
Je défends et utilise certains anglicismes… Mais l’un d’entre eux me chagrine :
DIGITAL 🙉🙉
Il y a de fortes chances pour que tu utilises ce mot à outrance ! 🙊 Ne t’en fais pas, je t’aime quand même ! 🥰
Ce mot est juste devenu incontournable en webmarketing !
Mais est-il si bon ❓ Ma réponse 👇
Sur-utilisation du mot
⚠️ A force de voir ce mot partout, on observe deux effets dramatiques :
1- Satiation sémantique : Un phénomène psychologique faisant qu’à force de répéter un mot, on en oublie sa signification.
2- Perte d’intérêt concurrentiel : Si tout le monde fait du “digital”, cela ne te démarque plus, cela te met face à une concurrence énorme en termes de SEO !
Double sens
👉 Ce mot existe déjà en français avec un sens bien différent !
En français, “digital” signifie : ↪️ “Qui appartient aux doigts.” Exemple : Empreinte digitale.
En anglais, “digital” signifie : ↪️ “Digital technology; digital media, as digital television, digital audio, etc.” -> Ce qui se rapporte à la technologie informatique, qui évoque l’opposition à l’analogique.
ℹ️ En termes d’étymologie, en anglais, “digital” vient à la base de “digit”, issu de l’habitude de compter sur ses doigts… Mais en finalité, “digital” n’a plus du tout le même sens en anglais qu’en français !
Manque de précision
👉 Quand on utilise “digital”, on évoque de près ou de loin l’informatique.
🌊 Mais c’est vague… Trop vague. 🏄♂️ Surfer c’est cool, mais en étant précis, c’est mieux !
“Mal nommer un objet, c’est ajouter au malheur de ce monde”
Albert Camus
↪️ Digital, même pris avec son sens anglais est trop large pour évoquer quoi que ce soit de concret.
Que faire ❓
Utilisez du vrai anglais
En remplaçant une expression en franglais par une vraie expression anglophone (parfois c’est une question d’ordre des mots), vous casserez le double sens et le côté gênant de l’expression.
Exemples :
Marketing digital ▶️ Digital Marketing
Agence digitale ▶️ Digital Agency
Présence digitale ▶️ Digital Presence
Investir sur le digital ▶️ Digital Investment
Se tourner vers le digital ▶️ Turn to Digital
Utilisez “numérique”
⏭ L’équivalent français au mot “digital” est bien-sûr le mot : NUMÉRIQUE
👉 Remplacez simplement les expressions comme “accompagnement digital” par “accompagnement numérique”.
💡 Ce n’est pas beaucoup plus long à écrire ! 💡
Utilisez des mots plus précis ou alternatifs
Exemples :
Internet
En ligne
Réseaux sociaux
Systèmes d’exploitation
Suite logicielle
Stockage de données
Communication sur internet
Webmarketing (anglais, mais précis)
Changez le sens du mot
Samuel Haubois, directeur de création, nous donne même un nouveau sens en commentaire LinkedIn :
Je pense que l’origine du terme est ce qui se passe au bout du ou des doigts sur un smartphone. En découlent toutes les autres actions contemporaines liées au numérique. Mais c’est un abus de langage.
Samuel Haubois – 21 Juillet 2024 – LinkedIn
Le digital serait relatif aux appareils tactiles et plus si affinités. Le Wikitionnaire (dictionnaire le plus à jour et méta-dictionnaire) n’évoque pas encore cet usage, mais un tel sens serait un excellent moyen de redorer et d’enrichir le sens de ce mot. Avis aux créatifs qui comme Samuel sauront mieux l’exploiter dans leurs campagnes de communication… Digitales !
Défi : Trouveras-tu le mot “digital” sur lrob.fr ? En dehors de cet article bien-sûr !
⚠️ Révolutionne ta sécurité et gestion WordPress 🤙 Fixe un call ici
Le mot “cloud” ne veut plus rien dire. Il est tellement utilisé à tort et à travers que j’ai créé une expression dédiée : “cloud bullshit”.
Le “cloud” est souvent synonyme de solution propriétaire qui vous enferme dans un écosystème tout-en-un dont il est extrêmement difficile de sortir.
Quand le prix de votre “solution cloud” augmente de 300%, ou qu’une nouvelle condition générale d’utilisation révoltante apparaît ou que le service est en panne : que faites-vous ? Vous subissez comme une victime, ou vous êtes convenablement préparé pour changer de fournisseur ?
Aujourd’hui, votre Administrateur Système Linux spécialisé en hébergement web WordPress vous livre tous les secrets pour ne pas vous faire piéger par le “cloud bullshit”.
Le “Cloud” n’existe pas ?
La cuillère n’existe pas.
Cloud : Définition
Le cloud computing (en français, « informatique dans les nuages ») fait référence à l’utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier et liés par un réseau. Les applications et les données ne se trouvent plus sur un ordinateur déterminé mais dans un nuage (cloud) composé de nombreux serveurs distants interconnectés.
On ne sait pas où sont vos données. Elles sont éparpillées sur un système informatique obscure. Généralement chez un tiers dont vous ne savez rien de l’infrastructure et rien des accès et exploitations de données effectuées.
Est-ce vraiment ça l’avenir ? Ne plus savoir où sont ses données ?
Glissement sémantique du mot “cloud”
Le “cloud” n’existe plus vraiment car il a perdu son sens. D’une infrastructure web délocalisée et aux ressources éparpillées sur plusieurs machines, un glissement sémantique s’est opéré peu à peu.
Désormais cloud signifie davantage : Un ou plusieurs serveurs en datacenter hébergeant des services. En gros, tout service en ligne appartient au cloud.
Dans tous les cas, ça reste le ou les ordinateurs d’un autre…
Cloud = maraboutage
Avec le cloud, tout semble fonctionner comme par magie, sans que personne n’y comprenne rien. Du vrai maraboutage !
Ne pas comprendre, c’est vous mettre en danger.
Il faut simplifier les solutions pour les rendre intelligibles.
C’est en maîtrisant vos outils que vous pourrez vous protéger.
Lier applicatif et hébergement : danger d’emprisonnement
Un danger majeur du cloud : lorsque l’hébergement et le service fusionnent.
Vous êtes emprisonné dans cette solution. Vous êtes tributaire à 100% du bon vouloir d’une entreprise américaine qui possède vos données, vos outils de travail, sur lesquels vous n’avez pas la main.
Par exemple, si vous utilisez la suite Office 365, non-seulement vous hébergez vos données sur l’infrastructure cloud de Microsoft, mais les services (calendrier, éditeurs excel, etc.) que vous utilisez sont propriétaires et ne permettent pas facilement de sortir vos données vers un service alternatif.
Le cas de la panne informatique mondiale de ce mois de juillet montre bien le problème : tant que le prestataire n’a pas rétabli le service, vous êtes totalement bloqué. Votre business est tenu en otage.
Le problème est le même avec Google Cloud, mais aussi avec de nombreux prestataires vous fournissant des solutions propriétaires pour votre site ou vos mails et dont il est souvent difficile de se sortir.
Dès lors que vous avez des centaines d’employés sur un tel système, l’organisation et le coût pour en sortir refroidira plus d’un dirigeant, quand bien même cela ferait des économies à long terme.
Le “bon” et le “mauvais” cloud : les trois critères
Qu’est-ce qu’un “bon” cloud ?
De mon point de vue d’administrateur système, qui gère donc directement des infrastructures cloud, il y a trois critères majeurs qui caractérisent un bon cloud :
Il permet de savoir où sont stockées vos données.
Il n’exploite pas vos données.
Il est simple et standard, permettant d’en changer librement.
Les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) sont donc exclus directement : Solutions propriétaires, impossibilité de localiser les données qui sortent généralement d’Europe, exploitation commerciale des données (statistiques, social engineering, etc) et en bonus : partenariats gouvernementaux donnant aux autorités US des passe-droits pour accéder à vos données.
Vous l’aurez compris : La solution choisie doit être simple, transportable, localisable, libre et indépendante.
On peut ajouter que la solution doit rester facilement joignable et prête à vous aider inconditionnellement, même si c’est dans l’objectif de sortir vos données de chez eux.
Enfin, un cloud idéal comporte des sécurités additionnelles comme des pare-feux applicatifs ou des solutions anti-bruteforce, des solutions de blocage anti-robots. Et aussi étonnant que cela puisse paraître, les plus grand prestataires de cloud omettent généralement ce type de sécurités car cela leur demanderait un support humain additionnel qu’ils ne semblent pas avoir envie de fournir.
Le cloud parfait existe
Grâce à mon expertise de l’hébergement libre, j’ai crée le cloud parfait !
Si parfait que j’y héberge tout mon business, toute ma vie. Preuve s’il en faut de la confiance totale que j’accorde à ce système et de sa viabilité totale.
De quoi se compose-t-il ?
Localisation transparente
Les serveurs web LRob sont parfaitement identifiables. Vous pouvez connaître l’emplacement précis de votre machine.
Les serveurs LRob sont situés exclusivement en Europe. De quoi simplifier votre gestion RGPD.
Solutions libres & transportables
Sites WordPress, emails POP/IMAP/SMTP, suite collaborative libre Nextcloud : Tout est standard et peut se transporter !
Rien ne vous retient, vous avez tous les accès requis pour migrer vos données si besoin.
Vous resterez donc chez LRob par plaisir !
Aucune exploitation des données
Aucune analyse statistique de votre utilisation n’est faite. Aucun accord gouvernemental n’est présent. Vos données sont au frais sur un serveur libre et open-source, dénué de tout outil d’analyse intrusif.
Une sécurité accrue
Bien que cela demande un support occasionnel en cas de faux positif, LRob n’a pas peur d’être en contact avec vous et met en place des sécurités additionnelles directement sur le serveur.
Une simplicité de gestion
Un panneau de contrôle simple et intuitif (Plesk) vous permet de gérer vos domaines et sous-domaines, vos emails, vos bases de données, vos accès FTP, vos sauvegardes très facilement. Cet accès vous permet de maîtriser efficacement toutes vos données.
Le WordPress Toolkit vous aide à gérer vos installations de WordPress sans être intrusif. Vous gagnez énormément de temps et de sécurité, sans perdre votre liberté.
Et vous savez quoi ? Avec LRob, vous êtes si libre que vous pouvez même mixer des solutions libres et non libres. Si vraiment vous tenez à utiliser Microsoft 365 ou Google Workspace, cela reste possible et je vous y aiderai même si besoin.
Et pour vous ? Le cloud parfait, c’est pour quand ?
En tant que possesseur d’un ou plusieurs sites WordPress, vous devriez savoir à quel point un hébergement web pratique, performant et fiable et sécurisé peut révolutionner votre approche.
Vous n’imaginez vraiment pas à quel point vous pouvez révolutionner votre gestion de WordPress.
Révolutionnez votre gestion avec le WordPress Toolkit
Que vous soyez expert ou non, gérer et maintenir un site WordPress peut être fastidieux et coûteux en temps. Si vous avez plusieurs sites, cela devient encore plus complexe.
Heureusement, avec le WordPress Toolkit inclus dans l’hébergement LRob, la maintenance devient un jeu d’enfant ! Vous allez gagner un temps fou ! Le WordPress Toolkit révolutionne totalement l’approche de la gestion WordPress en la rendant beaucoup plus efficace et scalable.
ℹ️ Contrairement à d’autres outils, le WordPress Toolkit est n’est pas intrusif : aucun plugin à installer, et votre installation de WordPress reste parfaitement standard !
✅ Installez WordPress en quelques clics, personnalisez l’installation si vous le souhaitez. Fini d’avoir à créer une base de données à la main. ✅ Vérifiez d’un coup d’œil si tout va bien et connectez-vous en un clic au back-office de vos sites. ✅ Changez votre mot de passe ou email administrateur en 3 clics ✅ En 1 clic : activez/désactivez l’indexation, le mode debug, l’exécution de wp-cron par le serveur !
✅ Mettez à jour automatiquement vos sites, thèmes et plugins et vérifiez les failles de sécurité en un coup d’œil (et soyez alertés par mail quand une nouvelle faille est détectée). 🔒 Appliquez une dizaine d’améliorations de sécurité en quelques clics seulement. 🔨 Votre site a planté suite l’installation d’un plugin ? Désactivez ce plugin en 2 clics avec le WP Toolkit ! 🔨 Clonez votre site simplement via l’assistant
ℹ️ Si vous avez plusieurs sites, alors ceux-ci sont bien isolés au niveau du système, mais vous pouvez tous les afficher sur le même écran, pour gérer efficacement toutes vos installations !
Les tâches complexes et fastidieuses sont ainsi rendues extrêmement simples. C’est une révolution qui vous permettra de gérer de nombreux sites très facilement.
Des performances maximales pour vos sites WordPress
La rapidité de votre site est critique pour l’expérience utilisateur et le référencement. Elle détermine aussi si vous allez gaspiller votre temps dans un back-office WordPress lent.
En tant que gestionnaire de site, vous avez certes un rôle à jouer en choisissant des plugins bien optimisés. Mais cela ne fait pas tout : la mesure des performances avant/après passage chez LRob montre une amélioration d’un facteur 2 à 15 sur les les performances par rapport aux hébergeurs traditionnels !
Voici les gains mesurés avant (à gauche) et après (à droite) migration vers LRob.
Chargements entre 3 et 15x plus rapides chez LRob et stabilisation des temps de chargementChargements 10x plus rapides chez LRob et stabilisation des temps de chargement
Comment est-ce possible ? Les hébergeurs classiques se moquent-ils de nous ?
Les hébergeurs classiques vous vendent souvent des “clusters” de serveurs vieux et saturés, qui rajoutent de la latence à chaque étape du traitement des pages et requêtes de votre site. Aussi, il n’y a pas souvent de solution de cache simple à utiliser et ultra performant directement sur le serveur.
Le secret LRob : des serveurs simples, performants et bien gérés !
Une infrastructure simple et au top niveau : des serveurs dédiés physiques parfaitement SUR-dimensionnés pour que chacun bénéficie des performances maximales à chaque fois qu’il en a besoin. Avec des SSD NVME locaux, pour des accès ultra rapides à vos fichiers et aux bases de données MySQL, des CPU de pointe pour un traitement rapide et une marge de performances énorme, avec bien plus de RAM qu’il n’en faut.
Une gestion intelligente et unique : une lutte anti-robots pirates exclusive, permettant d’éviter toute saturation inutile des serveurs, tout en protégeant vos sites. Et une configuration optimisée de chaque élément logiciel du serveur web.
Un cache Redis en RAM serveur : fini les milliers de fichiers de cache stockés dans votre site, Redis vous permet de stocker votre cache du site directement en RAM serveur !
La sécurité native pour vos sites WordPress
La sécurité de votre site est primordiale. Pourtant, sécuriser un site WordPress est souvent un casse-tête que personne ne comprend vraiment. Les plugins de sécurité ne sont pas très efficaces, vous font perdre du temps et nuisent aux performances de vos sites.
Un piratage de site web est toujours un drame. C’est pourquoi il faut mettre toutes les chances de votre côté. Et cela passe d’abord par une configuration native sécurisée du serveur qui héberge vos sites.
Un hébergeur spécialisé WordPress améliore drastiquement la sécurité de votre site par rapport à n’importe quel plugin grâce à une configuration serveur rigoureuse.
Voici tout ce qui est fourni “out of the box” par l’hébergeur WordPress spécialisé LRob :
Pare-feu applicatif personnalisable pour bloquer les tentatives de hack
Blocage automatique des robots pirates pour que leurs requêtes ne puissent atteindre vos sites
Améliorations de sécurité spécifiques à WordPress applicables en quelques clics seulement grâce au WordPress Toolkit.
Alertes en cas de faille de sécurité : si votre site comporte une vulnérabilité rendue publique, vous en êtes alertés directement par mail, vous permettant d’agir efficacement !
Certificats SSL Wildcard Let’s Encrypt inclus pour sécuriser les communications de votre site et services connexes comme les emails.
Sauvegarde quotidienne externalisée avec une rétention d’un an. Faite au plus haut niveau, c’est à dire directement par le serveur. Plus fiable qu’une sauvegarde effectuée par votre site, cette sauvegarde peut résister aux pires catastrophes ! Aussi, elle ne sort jamais chez un GAFAM et reste dans l’infrastructure privée LRob, assurant la confidentialité de vos données. Vous avez également la possibilité de configurer vos propres sauvegardes vers le FTP de votre choix.
Gestion simplifiée avec Plesk
Gérer votre hébergement WordPress n’a jamais été aussi simple qu’avec Plesk.
Ce panneau de contrôle intuitif vous permet de gérer tous les aspects de vos hébergements en quelques clics dans un panneau extrêmement bien présenté ! Le bon vieux cPanel n’a qu’à bien se tenir, il fait bien pâle figure à à côté de l’excellente présentation et praticité de Plesk !
Que vous souhaitiez créer des adresses email, gérer les accès FTP, configurer vos bases de données MySQL, ou modifier votre zone DNS : tout est à portée de main. Y-compris le WordPress Toolkit dont on reparle juste après.
Vous pouvez même accéder aux logs web pour diagnostiquer et résoudre rapidement les problèmes de votre site.
Une assistance et support passionné de WordPresss
En choisissant un hébergeur spécialisé WordPress, vous bénéficiez également d’un support expert et passionné qui fera tout pour vous aider, sans lire un script débile ou rejeter la faute sur le client.
Que ce soit pour des conseils de configuration, des problèmes d’accès ou des questions techniques, LRob sera toujours heureux de vous aider, de partager son savoir et son expérience pour vous faire atteindre vos objectifs.
Cette assistance de qualité change totalement la donne pour vous accompagner au quotidien.
Au fait : le monitoring de chacun des sites hébergés est fait en 24/7 toute l’année ! Concrètement, si votre site plante suite à une mise à jour, on vous prévient dès que possible, avant même que vous ne l’ayez remarqué ! Et on vous aide à comprendre le souci et à le remettre sur pieds !
Des options exceptionnelles pour les revendeurs
Vous avez plusieurs sites ? Gagnez encore plus de temps (et d’argent) !
Avec le panel revendeur Plesk, centralisez et simplifiez votre gestion, et devenez hébergeur !
Plus vous avez de sites, plus la solution devient économique. Par exemple, avec les tarifs LRob de 2024, si vous avez 8 sites, l’hébergement vous revient à 47.5€/an par site. Si vous avez 128 sites, cela vous revient à 15.5€/an par site.
Devenez interlocuteur unique pour vos client, créez-leur un accès si besoin, et offrez un service plus fiable et plus efficace.
Vous gagnez du temps, vous margez sur l’hébergement… Et vous offrez un meilleur service ! Avec un support d’expert pour vous accompagner au quotidien.
Offrez-vous la tranquillité avec un hébergement WordPress spécialisé
Opter pour un hébergement WordPress spécialisé, c’est choisir la sérénité et la performance pour votre site. Vous bénéficiez d’un service sécurisé, facile à gérer et optimisé pour WordPress et du meilleur support d’expert lorsque vous en avez le plus besoin.
Les offres LRob, ce sont des performances supérieures à ce que vous pourriez rêver même sur serveur dédié de la NASA, avec une gestion parfaite incluse, à un coût ultra raisonnable !
Alors n’attendez plus, faites confiance à un hébergeur expert WordPress comme LRob et offrez-vous la tranquillité d’esprit que vous méritez.
WordPress est sans conteste le CMS le plus utilisé au monde. Sa popularité en fait une cible privilégiée pour les pirates. Posséder un site WordPress implique donc une vigilance constante en matière de sécurité. Mais pourquoi est-il si important de faire auditer la sécurité sécurité d’un site WordPress ? Quels sont les risques encourus, et pourquoi cela revêt-il une importance particulière pour les entreprises dont le site web est central à leur activité ?
Les risques de sécurité : une réalité inévitable
Le cyberespace est truffé de dangers potentiels. Pour un site WordPress, les menaces peuvent se concrétiser de diverses manières :
Redirections frauduleuses : Votre site peut être détourné pour rediriger les visiteurs vers des sites malveillants.
Blacklistage : Votre site peut être marqué comme dangereux, entraînant une perte de confiance et de trafic.
Spam et vol de données : Les pirates peuvent utiliser votre site pour envoyer du spam en votre nom ou voler les adresses emails de vos utilisateurs et clients.
Ces situations peuvent causer des dommages irréparables à votre entreprise, nuisant à votre réputation et impactant directement votre chiffre d’affaires. Imaginez le coût et la perte de crédibilité si vos clients recevaient des spams en votre nom, ou si leurs données personnelles étaient compromises.
L’importance de l’audit pour les entreprises
Pour les entreprises, en particulier celles dont le site web joue un rôle indispensable, la sécurité doit être une priorité absolue. Si votre site génère des revenus, collecte des données sensibles, ou sert de vitrine principale pour vos produits et services, un audit de sécurité WordPress devient indispensable. Un site piraté peut entraîner des pertes financières importantes, des litiges juridiques, et une dégradation de l’image de marque.
Au-delà du CMS : L’importance d’auditer le serveur
Il est important de comprendre que sécuriser uniquement le CMS WordPress n’est pas suffisant. Un site web repose sur une infrastructure complexe où chaque maillon de la chaîne compte. Le serveur hébergeant votre site joue un rôle clé dans sa sécurité globale.
Le niveau de sécurité final est égal à celui du maillon le plus faible de la chaîne.
Ainsi, un audit de sécurité complet doit inclure l’analyse de la sécurité du serveur:
Évaluation des configurations du serveur
Vérification des accès
Vérification des ports ouverts et des services actifs
Évaluation des versions logicielles et des failles de sécurité
Évaluation et préconisations de politiques de maintenance
Protégez votre site, protégez votre entreprise
Un audit de sécurité WordPress est bien plus qu’un simple examen du CMS. C’est une évaluation complète de l’ensemble de l’infrastructure qui soutient votre site web. En prenant des mesures proactives pour sécuriser votre site, vous protégez non seulement vos données, mais aussi la réputation et la viabilité de votre entreprise.
Ne laissez pas les pirates prendre le dessus. Investissez dans un audit de sécurité WordPress et assurez-vous que votre site reste un atout précieux pour votre business, et non une vulnérabilité exploitée par des cybercriminels.
Tout le monde y va de son site éco-responsable. Si cela ne sauvera pas la planète, il reste utile qu’il y aie une prise de conscience. Cela ne peut qu’aller dans le bon sens.
Mais le but est de maximiser les efforts. Et si l’optimisation des sites du point de vue des visiteurs (côté “client”) est souvent mise en avant, l’optimisation et les choix côté serveurs sont bien trop souvent négligés.
Pourtant, l’hébergement est la clé de voûte d’un web réellement plus “vert”, représentant la majeure partie de l’économie de ressources que vous pouvez réaliser.
C’est le volet le plus connu et évident. Il s’agit de réduire le poids des ressources envoyées aux visiteurs, améliorant ainsi le temps de chargement et réduisant l’empreinte carbone du site.
Cela s’axe sur deux points principaux :
La conception : choisir des thèmes et plugins optimisés pour éviter l’envoi massif de polices et de codes JavaScript ou CSS inutiles.
L’optimisation des images : utiliser des formats d’image adaptés et compressés selon les standards modernes comme “webp”, pour minimiser la consommation de bande passante.
Mais ce n’est que la partie émergée de l’iceberg.
Passons à l’aspect vraiment déterminant ! 👇
2. L’hébergement et l’optimisation des ressources serveur
Ce point est souvent sous-estimé, pourtant il représente à mon sens 90% de l’impact !
Choix de l’hébergeur 🏭
Les hébergeurs ont une énorme marge de manœuvre pour être “green”.
Électricité verte, localisation géographique, récupération de chaleur, type de refroidissement, choix de machines durables et basse consommation.
Par exemple, mon prestataire fournisseur de serveurs Hetzner utilise 100% d’énergie verte et des serveurs sans boîtier, évolutifs et durables. 🌱
Lutte contre les robots 🤖
Supprimer jusqu’à 99% du trafic indésirable généré par les robots pirates permet de baisser la consommation électrique des machines de plus de 50%. Pourtant, quasiment aucun hébergeur n’applique ces filtres, car cela demande un support additionnel pour traiter les faux positifs (et concrètement, débloquer les clients qui se trompent de mot de passe en boucle, ou utilisent des plugins faisant des requêtes louches).
Cela a l’autre effet bénéfique de booster drastiquement les performances pour les utilisateurs réels.
J’accomplis cela grâce à des techniques de détection et de blocage d’attaques comme ModSecurity et Fail2ban qui sont de grands standards pour les plus familiers de l’administration système en hébergement web.
Optimisation CPU 🧮
Les développeurs doivent écrire un code léger et rapide, et utiliser des caches performants comme Redis (disponible sur mes hébergements), pour maximiser l’efficacité des serveurs.
On parle ici d’une division par un facteur 2 à 10 de l’utilisation CPU des serveurs grâce à un bon cache.
A noter que les caches traditionnels écrivant des fichiers temporaires sur les serveurs sont moins optimum que Redis qui garde tout en RAM et évite ainsi de consommer de l’espace et des ressources I/O (lecture/écriture disque) inutilement.
Mutualisation efficace 🫂
Une gestion optimisée des serveurs et des sites, selon les points précédents, évite le gaspillage de machines physiques (chaque serveur peut contenir davantage de sites) tout en assurant des performances maximales pour tous.
Cette approche repose aussi sur une vraie proximité avec les clients pour une gestion sur mesure. Par exemple, si un site consomme plus de ressources que ce qui est attendu, cela peut être dû à une attaque à bloquer, ou à un souci d’optimisation du site à remonter au client, avec des conseils personnalisés.
Espérant que vous aurez appris quelque-chose. En tout cas désormais, vous ne pourrez plus dire que vous ne saviez pas. 🌟👍
Ne faut-il pas être un peu fou et hyperactif pour faire du web en freelance ? 🤯🤯
Pas de semaine type et de nouveaux défis en permanence ! 😱
Il me semble que la pluralité des tâches et l’adaptation constante ne peut pas convenir à tout le monde…
En Freelance qui plus est, on ajoute une dimension comptable et commerciale. Et de mon côté spécifiquement, en tant qu’hébergeur avec une ou plusieurs spécialités axées autour de la sécurité, de l’hébergement web, de WordPress et des emails, on doit maîtriser un panel de compétences extrêmement large et on est d’autant plus amené à devoir découvrir de nouveaux sujets.
Prenons une semaine aléatoire en exemple.
Entre Lundi et Jeudi, voici le genre de tâches que j’ai pu accomplir :
Faire des devis et factures
Valider et honorer des commandes d’hébergement
Mettre à jour des serveurs comme tous les premiers lundis du mois
Suivre un incident causant un downtime d’1h sur un node VPS (serveur DNS secondaire, pas d’impact notable sur le service), et être content que le monitoring fasse bien son job
Analyser et corriger des failles de sécurité WordPress, encore et toujours
Analyser des métriques de visites via Matomo et Google Search Console
Préparer une collaboration sécurité et relever quelques points d’attention
Améliorer la clarté et la réflexion d’une offre et proposer sa commande via mon site
Faire des recherches pour deviser un projet d’annuaire interne atypique
Répondre à diverses demandes d’ajouts et améliorations pour un projet récemment lancé, découvrir au passage Swikly et les Channel Managers
Former une stagiaire à faire sa première migration web et corriger ses erreurs, lui donner quelques conseils pour se lancer, puis accompagner le client pour faire ses changements DNS
Aider un client à retrouver l’accès perdu à son hébergement pour migration
Apprendre à déchiffrer une archive chiffrée en PGP
Découvrir LDAP au sein de Nextcloud et commencer à chercher des moyens de repasser en fonctionnement natif sans LDAP
Discuter Gutenberg et business avec un nouveau client avec qui l’on va faire un troc de compétences
Conseiller un client pour faire de l’émulation Android
Conseiller un confrère entre AlmaLinux et Debian
Mettre à jour un Mediawiki et résoudre les problèmes liés
Et je suis sûr que j’oublie des choses…
En l’écrivant pour vous, je me rends compte de la folie de la chose. Car ce n’est pas une semaine particulièrement chargée, c’est mon quotidien !
Et pourtant, après quasiment un an à faire cette activité à mon compte à plein temps, je trouve enfin un équilibre dans tout ça. Si j’ai toujours réussi à sortir, voir du monde, créer des liens, avoir des relations amoureuses, désormais, je retourne faire du sport et reprends la musique avec mes amis, signe d’une vie heureuse et épanouïe ! 😄
Tout cela est grâce à vous chers clients, et j’en profite pour vous remercier pour votre confiance. 🤝
Désormais à l’âge de 34 ans, j’ai l’impression d’être à mon plus haut pic de productivité ! Certes, je ressens parfois la fatigue, mais en voyant la quantité de choses que j’arrive à accomplir, je me dis que c’est normal d’avoir parfois besoin d’un peu de repos.
Vous retrouvez-vous là dedans ? Pensez-vous également qu’il faut être un peu zinzin pour adopter ce mode de vie ⁉️
Vous perdez du temps à maintenir vos sites WordPress ? 🥵
Voici 10 points clés pour en gérer des centaines de manière hyper efficace ! 😎👇
1. Centralisez vos sites
Regroupez vos sites sur un ou quelques serveurs seulement, mais assurez-vous que chaque site reste isolé au niveau système pour rester sécurisé. Ce sera bien plus simple à gérer et plus économique qu’un hébergement individuel par site.
2. Gérez les DNS via le serveur hébergeur
Gérez les DNS de vos domaines directement via le serveur hébergeur. La création des sous-domaines sera simplifiée, vos emails seront pré-configurés pour une bonne délivrabilité, et vous pourrez bénéficier d’un certificat WildCard gratuit pour protéger tous vos domaines avec des connexions chiffrées SSL/TLS. Cela sera aussi l’occasion de centraliser votre gestion email pour là aussi gagner en efficacité.
3. Optez pour un hébergement ultra performant
Ne perdez pas votre temps avec un back-office lent. Choisissez un hébergement ultra performant comme ceux de LRob pour être certain que si votre site est lent, le problème ne vient pas du serveur mais de l’optimisation du site.
4. Utilisez le WordPress Toolkit
Choisissez un hébergement avec le WordPress Toolkit. Vous pourrez vous connecter en un clic à chaque site, recevoir des alertes de sécurité, ajouter des protections supplémentaires en quelques clics, bénéficier de mises à jour automatiques et désactiver un plugin problématique même si le site a un souci.
5. Assurez-vous d’un bon backup quotidien
Un bon backup doit être géré côté serveur, pas par le site lui-même. Ayez une copie chez vous en plus de celle de l’hébergeur pour être tranquille. Un souci sur un site ? Restaurez un backup. Et testez vos backups avant d’en avoir besoin pour ne pas être pris de court en cas de souci.
6. Accédez facilement aux logs serveur
En cas de bug sur votre site, ce qui arrivera forcément un jour, l’accès aux logs serveur est indispensable pour trouver et corriger l’erreur rapidement.
7. Choisissez un prestataire qui couvre vos arrières
Optez pour un prestataire fiable en matière de sauvegarde, de support et de monitoring. C’est dans les moments difficiles que vous verrez la différence entre un bon et un mauvais prestataire.
8. Activez les mises à jour automatiques des sites
Avec une bonne sauvegarde et un bon prestataire, activez les mises à jour automatiques de vos sites comme le permet le WordPress Toolkit. Vous n’avez plus besoin de faire les mises à jour manuellement, ce qui augmente la sécurité et vous fait gagner un temps fou. Vous seriez surpris de voir à quel point les problèmes deviennent rares lorsque les mises à jour sont faites régulièrement.
9. Utilisez des sécurités additionnelles au niveau serveur
Choisissez un serveur avec des sécurités supplémentaires comme un pare-feu applicatif, un anti-bruteforce, et le bannissement automatique des IP attaquantes. Cela, combiné aux mesures précédentes, réduit de 99 % le risque de piratage tout en réduisant drastiquement la charge inutile sur le serveur, pour des performances optimales.
10. Valorisez votre hébergement et maintenance
Communiquez sur vos mesures de sécurité et de maintenance. Facturez cette plus-value à vos clients pour pérenniser votre activité avec des abonnements à forte valeur ajoutée. Et soyez fiers du service que vous proposez pour mieux développer votre activité.
Vous avez entre 5 et 128 sites WordPress à héberger en respectant tous ces critères ? Mes offres Web Agency sont faites pour vous ! Contactez-moi pour plus d’infos.
Envie de partager votre propre méthode ? Des points à ajouter ? Commentez ci-dessous ! 👇
Avec ces conseils, vous optimiserez la gestion de vos sites WordPress, gagnerez du temps et améliorerez leur sécurité et performance. N’hésitez pas à me contacter pour découvrir comment nous pouvons travailler à atteindre vos objectifs.
Tout acteur du web doit absolument maîtriser ces points !
En maîtrisant les DNS, vous serez LIBRES avec vos sites web et noms de domaine ! 👇
Apprenez l’essentiel en 2 minutes intenses et efficaces au lieu d’un cours barbant de 3h. 🤯
Qu’est-ce que le système DNS ?
📄 Le Domain Name System est l’autoroute numérique qui permet à un nom de domaine (par exemple lrob.fr ou google.com) d’être accessible. En gros, on “pointe” le domaine vers une destination.
Exemples :
Si vous visitez un domaine comme lrob.fr, votre navigateur web fait en arrière-plan une requête nommée “résolution DNS” (DNS resolution) pour connaître l’adresse IP du serveur hébergeant le site.
Quand vous envoyez un mail, d’autres requêtes ont lieu pour trouver le serveur mail destinataire et authentifier l’expéditeur.
Comment fonctionne le système DNS ?
1 – Registrar 🏢
Les noms de domaine comme lrob.fr sont enregistrés chez un “bureau d’enregistrement” (registrar) comme HaiSoft, Gandi, NameCheap, OVH, etc.
Chaque registrar doit passer par un “registre” (registry) qui fait autorité pour l’extension de noms de domaine. Par exemple :
.fr : AFNIC
.com / .net Verisign
.org : Public Interest Registry (PIR)
2 – NS (Name Servers) 🌍
Pour rendre un domaine “résolvable” (accessible), il doit avoir des “serveurs de noms” ou NS (Name Servers).
Les NS contiennent les infos de pointage du domaine et sont dits “autoritaires”. Il faut toujours définir au moins deux NS pour la redondance. Le registrar transmet cette information au registry.
ℹ️ Le propriétaire du domaine (“registrant”) est libre d’utiliser les NS de son choix, voire de créer les siens à l’aide de valeurs appelées Glue Records.
Différents prestataires existent et vous pouvez créer les vôtres directement avec quelques connaissances. C’est par exemple le cas de lrob.net qui est mon domaine d’infrastructure avec un système DNS autonome complet fourni à tous les clients hébergés pour centraliser leur gestion DNS indépendamment du registrar utilisé. Pratique !
Les NS sont donc des serveurs contenant la zone DNS du domaine. C’est cette zone DNS qui contient les valeurs effectives de pointage.
Par exemple :
l’IP du serveur hébergeant le site
l’IP ou nom d’hôte du serveur de mails
Des méta-informations comme la liste des serveurs autorisés à envoyer des mails pour un domaine.
Cliquez ici pour découvrir toutes les valeurs DNS possibles et comment gérer votre zone DNS via LRob.
Que fait-on de tout ça ?
Vous êtes désormais libres d’enregistrer un nom de domaine chez n’importe quel registrar, de gérer vos NS (et donc votre zone DNS) où vous voulez. Et vos sites et mails peuvent être placés chez les prestataires différents que vous souhaitez en toute liberté grâce au paramétrage de la zone DNS !
Pour ne jamais vous tromper sur vos DNS, choisissez un Hébergement LRob ! 💪 Je vous accompagne au quotidien dans tous vos défis web ! 🤝
Récemment, je découvrais un nouveau problème chez OVH : toute personne ayant enregistré un nom de domaine en .fr chez OVH était affecté par une nouvelle limitation.
Voici le récit d’un périple de 2 semaines qui pour une fois se termine en succès.
Techniquement ▶️ OVH bloquait le changement de serveurs DNS si on ne définissait pas tous les NS présents dans la zone DNS de destination.
En pratique ▶️ Cela empêchait une gestion souple et efficace pour les hébergeurs comme moi.
Vulgarisation ▶️ OVH s’est pris pour dieu. 😅😅
L’impact était dramatique pour la liberté de l’internet français… 🥐
Que faire face à ça ❓
J’ai commencé par ouvrir un ticket chez OVH.
Ceux connaissant OVH ne seront pas surpris d’apprendre que ce fut une perte de temps : après une réponse à côté de la plaque, puis un appel et quelques échanges, la réponse finale était qu’il n’y avait pas de moyen d’outrepasser cette limitation. 😰😰
OVH a même fermé mon ticket silencieusement après que je leur ai dit qu’ils étaient le support se donnant le moins les moyens de résoudre les vrais problèmes que je connaisse. Ce n’était certes pas une remarque très gentille, mais elle était vraie et avait vocation à faire réagir dans le sens de la résolution du problème et non de la fermeture du ticket. 😅
Ma réaction ❓
▶️ D’abord, j’ai transféré mes domaines .fr chez HaiSoft, un bureau d’enregistrement de confiance avec un excellent support et agréé Afnic. Car transférer un domaine est très simple.
▶️ Ensuite, en tant que “petit”, faire bouger un mastodonte comme OVH n’est pas aisé… Alors j’ai utilisé mon cerveau ! 🤯 💡 Si OVH ne m’écoute pas moi, il écoutera probablement l’autorité responsable des domaines en .fr !
J’ai donc contacté l’Afnic. Et c’est là que l’histoire se crée ! 🍿🍿
J’ai eu la chance d’être pris en charge par David Chansard dont l’engagement n’est plus à prouver. 💪 Vous pouvez lire son billet ici pour découvrir sur son investissement pour l’internet français.
🕒🕝🕜🕐 David a donc contacté avec patience OVH et m’a tenu informé des échanges en montagnes russes : un coup le problème était corrigé, un coup il fallait que je ré-ouvre un ticket… Son suivi fut exemplaire malgré ces difficultés.
👉 Au final OVH a fini par annoncer corriger le problème vendredi dernier (drôle de jour pour une mise en production).
Et ce lundi 1er Juillet, j’ai pu confirmer grâce au test de l’un de mes valeureux clients Mathieu Cellucci (Labographic) que je remercie, que c’était effectivement bien résolu ! 🍾🥂
Conclusion ▶️ Quand on est petit, on peut faire bouger les choses si on est malin et qu’on tombe sur les bonnes personnes.
Ne baissez jamais les bras, vous pouvez améliorer les choses ! 💪
Merci encore à l’Afnic, David Chansard et Mathieu Cellucci sans qui cela n’aurait pas été possible. Le monde est meilleur grâce à vous.
Pour choisir le meilleur hébergement WordPress chez un hébergeur investi dans votre confort et votre liberté, c’est par ici.
Littéralement des milliards des périphériques vont en profiter ! 🥹
❓Qu’est-ce que le kernel ?
C’est le code le plus primordial : Il permet en résumé au système d’exploitation de parler aux composants d’un périphérique, il gère les fonctions les plus élémentaires comme la lecture/écriture des données sur le disque, l’exécution des programmes, etc.
ℹ️ Quels périphériques sont concernés ?
Quand on parle de “périphériques”, c’est très large.
Le kernel Linux est présent sur les serveurs web (90 à 99% du marché), les smartphones Android (85% du marché), et les quelques millions d’ordinateurs ayant installé un OS GNU/Linux (2 à 4%) !
Sans compter les box et divers objets connectés tournant avec Linux.
Mac OS et iOS utilisent également une partie de Linux. En gros, seuls les ordinateurs de bureau Windows ne sont pas concernés du tout.
Le tout fait vraiment des milliards de périphériques concernés, sans exagérer. 🤪
Ce grâce à son créateur Linus Torvalds qui maintient toujours le code.
❓ Quel est le problème spécifique corrigé ici ?
👉 J’ai relevé une anomalie sur les PC portables de la marque LG, série Gram sous Linux, soulevant un problème kernel potentiel.
Le problème : Un process système qui utilise plus de ressources qu’attendu (et cause de la chauffe et consommation d’énergie inutile) lorsque le périphérique est en charge relié à un dock.
1) Découverte du bug
Fin 2022, je découvrais le problème et le fait que je n’étais pas seul : La communauté Ubuntu commençait à en parler. https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1987829 J’ai reproduit le problème sous Ubuntu et Fedora qui sont des distributions assez différentes, indiquant que le souci ne venait pas de l’OS mais plutôt de Linux.
2) Compréhension initiale du bug
Février 2023, le souci commençait à se préciser, on avait assez d’éléments pour penser que ça venait du kernel et que le souci n’était pas encore corrigé, même sur les dernières versions. J’ai alors crée un compte sur kernel.org et ouvert cette issue pour essayer de prévenir les bonnes personnes : https://bugzilla.kernel.org/show_bug.cgi?id=217076
Je n’étais pas sûr de moi à ce moment là, car c’était la première fois, mais il faut croire que j’ai bien fait les choses.
3) Compréhension poussée et résolution du bug
Ce qui se passe ensuite me dépasse totalement, ça parle de Dev Kernel Linux ultra poussé… Certaines personnes font des hypothèses, les testent, comprennent précisément le souci, proposent un hotfix à tester. Et certains confirment la résolution du bug. Tout ça prend presque un an et demi.
Dans les deux prochaines semaines, le monde entier bénéficiera du correctif. L’idée d’avoir pu impacter des milliards de périphériques donne le vertige ! 🥵
Ça a pris du temps, demandé des compétences extrêmement spécifiques, mais le résultat est là. 🍾
Savez-vous où sont physiquement vos données ? Dans quel datacenter ? Qui y a accès ?
Si une seule de ces réponses est “non”, c’est plus grave que vous ne pourriez le penser.
Reprenez le contrôle en 3 étapes.
1 – Prendre conscience du problème
Utiliser un service Google ou Microsoft peut procurer de la fierté voir de la joie, au début…
C’est là que l’on voit que le marketing fait bien son travail : avoir des clients heureux de payer premium, c’est à dire plusieurs centaines voir milliers d’euros par mois dans le cas de grandes équipes.
Mais dans l’absolu, qui veut vraiment donner ses données les plus chères aux géants américains ? Qui veut s’engouffrer dans un mécanisme de rétention dont il est difficile de sortir ? Qui veut ignorer où sont physiquement ses données, qui y a accès, et ce qui en est fait ? Et payer premium en plus…
Sans même avoir besoin de parler de “Big Brother” (qui est une réalité, ces entreprises vous connaissent mieux que vous ne vous connaissez, permettant une surveillance de masse et une subtile manipulation de vos résultats de recherche et autres que vous ne pouvez même pas remarquer), un tel fonctionnement ne peut être qu’inquiétant, que ce soit pour un particulier (même s’il n’a rien à cacher), ou pour une entreprise, dont le business dépend notamment de ses documents et emails.
Si vous êtes capable de dire “je n’ai pas le choix, tout le monde utilise ça”, sachez que c’est faux. D’autres solutions indépendantes font le même job, voir mieux, pour moins cher, tout en permettant de rester en pleine possession de ses données ! Leur développement est solide et ces outils sont utilisés par de plus en plus de personnes accordant de l’importance au contrôle de leur données.
2 – Contrôler ses emails
Les mails sont un service extrêmement standard et de nombreux prestataires en proposent.
Mais comment choisir ?
Une boîte mail n’est pas un calendrier, une suite d’éditions de documents, une machine à café, ou que sais-je encore. Si demain vous avez un souci avec l’un de ces service, tout ne doit pas être lié de sorte que le changement soit compliqué.
Choisissez un prestataire simple : une boîte mail, c’est une boîte mail et ne doit être rien de plus.
Aussi, choisissez un prestataire sécurisé : tout hébergeur ou fournisseur de services email doit respecter les normes d’envois de mails (rDNS/HELO/SPF/DKIM/DMARC) et avoir une lutte active contre l’envoi de spams depuis son réseau, ce qui est bien-sûr le cas de LRob qui vient avec ces sécurités sans configuration additionnelle de votre part.
Pour la connexion aux boîtes, le prestataire doit fournir un webmail standard comme Roundcube (libre et open-source, parfaitement optimisé, standard et simple), ainsi qu’une connexion POP/IMAP/SMTP. Pour la connexion, vous utiliserez donc soit le webmail fourni, soit le logiciel de votre choix (Thunderbird, Outlook, ou les apps email sur smartphone). Dois-je rappeler que LRob fournit également Roundcube et la connexion POP/IMAP/SMTP en standard sur tous les hébergements web avec email inclus ?
Un souci non résolu avec votre prestataire ? La migration peut se faire par simple copie des boîtes en IMAP et modifications DNS astucieuses pour éviter l’interruption de service. Si besoin de migrer, même depuis un cloud Microsoft, contactez-moi !
Pour travailler en équipe, beaucoup utilisent une suite collaborative comme celles intégrées avec les boîtes mail Microsoft Office 365 ou Gmail.
Mais comme on l’a vu, cela n’a à la base aucun rapport avec une boîte mail et devrait être un service distinct.
Pour cela, une solution libre et open-source existe : Elle s’appelle Nextcloud.
De plus en plus de professionnels sensibles au contrôle de leurs données l’utilisent. La raison est simple : Il s’agit d’un site web comme un autre, certes un peu plus lourd que la moyenne, mais hébergeable chez n’importe quel hébergeur puissant comme LRob !
Bien géré avec l’ajout d’une suite d’éditions de documents comme Collabora Online, Nextcloud permet l’édition collaborative, le partage de fichiers en équipe ou avec les clients, le partage de calendriers, la gestion des tâches, le tchat, et bien plus encore.
Compatible Windows, Mac, Linux, Android, et iOS, Nextcloud permet d’accéder à ses fichiers depuis n’importe où !
Pour la partie contacts et calendriers, Nextcloud utilise les standards CardDAV et CalDAV. Par exemple sur Android, vous pouvez ainsi à l’aide de l’appli DAVx5 vous passer totalement du calendrier et des contacts Google pour tout stocker sur Nextcloud. Idéal en environnement professionnel.
Les pertes de données peuvent avoir des conséquences désastreuses. C’est pourquoi il est essentiel de maîtriser et de sécuriser ses données pour toute entreprise ou particulier. Pour cela, rien de tel que de les sauvegarder dans vos propres locaux.
Plesk, le panel de gestion d’hébergement web proposé par LRob, offre des solutions robustes pour automatiser les sauvegardes et garantir la protection des données. Ce tutoriel vous guidera à travers les étapes nécessaires pour sauvegarder vos données hébergées via Plesk vers un NAS (Network Attached Storage) domestique ou professionnel.
Les équipements pouvant varier, le but sera donc de vous donner les principes généraux concernant votre NAS et configuration réseau, mais d’être très précis concernant la configuration au niveau de Plesk.
Les prérequis
Avant de commencer, assurez-vous d’avoir :
Un NAS supportant FTP.
Idéalement un opérateur permettant d’avoir une adresse IP publique fixe (Pour Orange il faut Orange Pro avec l’option IP fixe gratuite active, pour Free il faut demander une IP fullstack, pour SFR et Bouygues je n’ai pas d’infos).
Si vous n’avez pas d’IP fixe, vous devrez mettre en place un service DynDNS. Exemple DynDNS.
Quelques notions basiques de réseau : IP locale, IP publique, port réseau, nom de domaine.
Les grands principes : créer un accès FTP et redirection de port via NAT
Pour transférer vos sauvegardes de Plesk vers un NAS, il va falloir créer un accès FTP et le rendre accessible sur internet.
Quelques notions élémentaires : On dit que chaque service présent sur un serveur “écoute” sur un “port”, qui permet de diriger (via une règle NAT sur votre routeur) le trafic internet destiné à un service plutôt qu’un autre. L’enjeu va donc être de rediriger le trafic destiné aux ports correspondant à FTP vers votre NAS situé sur votre réseau local.
Créer l’accès FTP
La création d’un accès FTP dépend du modèle de votre NAS. Si besoin, référez-vous à la documentation officielle de votre NAS.
Pour les ports, le port de contrôle par défaut est le port 21. Pour FTP passif (recommandé), la plage de ports par défaut est 49152-65534.
Voici une procédure générale pour les NAS Synology et QNAP, deux marques populaires.
Connectez-vous à l’interface de gestion de votre NAS QNAP.
Allez dans “Panneau de configuration” > “Applications” > “Station de serveur FTP”.
Activez le serveur FTP et configurez les paramètres nécessaires.
Créez un utilisateur avec les permissions FTP appropriées.
Rediriger les ports
La procédure de redirection de port varie en fonction de votre opérateur ou routeur. Voici les étapes générales :
Accédez à l’interface d’administration de votre routeur. Les URLs par défaut les plus fréquentes sont : http://192.168.1.1 http://192.168.0.1 http://192.168.1.254 http://192.168.0.254
Assurez-vous d’avoir défini un bail IP statique à votre NAS afin que son IP locale reste toujours la même.
Trouvez la section de redirection de port (souvent dans “Avancé” ou “NAT/PAT”).
Ajoutez une nouvelle règle TCP pour rediriger le port 21 (ou le port configuré pour le FTP) vers l’adresse IP locale de votre NAS.
Ajoutez une nouvelle règle TCP pour rediriger le port range 49152-65534 vers l’IP locale de votre NAS.
Enregistrez les modifications.
Bon à savoir :
Chez Orange sur les Livebox récentes, les ports 50222 et 50805 sont indisponibles. Vous devrez donc faire trois ranges de redirections de ports : 49152-50221, 5023-50804, 50806-65534. Doc Orange.
Faire pointer un nom de domaine vers l’IP ou utiliser DynDNS
Pour faciliter l’accès à votre NAS, vous pouvez utiliser votre nom de domaine pour pointer vers votre IP fixe.
Puis configurez un sous-domaine à faire pointer vers votre IPv4 fixe. Concrètement, il faut créer un enregistrement de type “A” dans votre gestionnaire DNS (si vous êtes hébergé chez LRob, rendez-vous dans votre panneau de contrôle Plesk, dans le domaine désiré, rubrique “Hébergement et DNS” puis “DNS”) pour faire pointer vers votre adresse IP publique fixe.
Par exemple : office A 128.42.16.XXX
Si vous utilisez DynDNS, alors vous pouvez faire un CNAME à la place.
Par exemple : office CNAME monsuperdyndns.dyndns.fr
Mettre en place le backup automatisé via Plesk
Enfin, configurez les sauvegardes automatisées dans Plesk.
Commencez bien-sûr par vous connecter à votre panneau de contrôle Plesk.
Si vous êtes revendeur (offre avec plusieurs domaines), rendez-vous dans Outils & Utilitaires > Gestionnaire de sauvegardes
Si vous n’avez qu’un domaine, rendez-vous sur la page du domaine concerné puis dans le volet de droite, choisissez “Sauvegarder et restaurer”.
Cliquez sur “Paramètres du stockage distant”.
Puis cliquez sur “FTP(S)”.
Renseignez les informations d’accès de votre FTP :
Puis validez avec “Appliquer” (ou “OK” qui vous fera revenir à la page précédente après application du changement). L’accès sera testé. Si le service n’est pas correctement accessible depuis l’extérieur ou que votre utilisateur n’a pas les permissions suffisantes, alors vous obtiendrez une erreur et il vous faudra corriger votre configuration. Pour le mode passif et pour FTPS, cela doit bien-sûr être configuré au préalable dans les réglages de votre NAS.
Revenez dans la page du gestionnaire de sauvegardes, mais choisissez cette fois “Planification”.
Configurez votre sauvegarde, préférablement la nuit, incrémentale, avec une complète tous les mois. Le nombre maximal de sauvegardes ne devrait pas dépasser les 12. Assurez-vous de choisir une valeur qui vous permettra de ne pas remplir intégralement votre NAS.
Validez avec OK.
Vérifiez le lendemain si vous avez des sauvegardes. Si tout est OK, après plusieurs temps, cela devrait ressembler à cet écran :
En suivant ces étapes, vous aurez mis en place une solution robuste de sauvegarde de vos données hébergées sur Plesk vers votre NAS, assurant ainsi leur sécurité et leur disponibilité en cas de besoin.
Dans le monde de l’hébergement web, les préoccupations écologiques et de confidentialité sont primordiales. Certaines idées reçues peuvent freiner le choix d’un hébergeur, notamment en Allemagne. Cet article vise à démonter ces préjugés, en mettant en lumière l’excellence de Hetzner, mon partenaire d’hébergement allemand, en matière d’écoresponsabilité, d’interconnexion et de confidentialité.
Écoresponsabilité : Au-delà du Greenwashing
🌿 Hetzner, un acteur clé de l’hébergement en Allemagne et en Europe, s’engage activement dans la préservation de l’environnement. Contrairement aux accusations de greenwashing souvent portées contre des entreprises de ce secteur, Hetzner prouve son engagement écoresponsable en utilisant exclusivement de l’énergie verte, fournie par Energiedienst AG, une entreprise spécialisée dans les énergies renouvelables telles que l’éolien et l’hydroélectrique. Mais pas seulement.
Architecture de Serveurs Innovante
📉 Hetzner révolutionne également l’architecture de ses serveurs. En optant pour une conception personnalisée sans châssis, l’entreprise réalise des économies de matières premières, améliore la ventilation (surpassant ainsi les serveurs traditionnels comme ceux de Dell), et réduit les coûts globaux. Cette innovation se traduit par une meilleure efficacité énergétique, la possibilité de fonctionner à des températures plus élevées (réduisant ainsi le besoin de climatisation) et la facilité d’upgrade et de réutilisation des composants.
En optimisant sa conception, Hetzner permet de meilleurs tarifs tout en préservant tant que possible notre chère planète.
Fiabilité et Performance en Pratique
⏩⏩ L’efficacité des serveurs custom de Hetzner ne se limite pas à leur conception. C’est dans les situations difficiles que l’on doit pouvoir compter su run hébergeur. Hetzner réussit cela aussi et peut par exemple remplacer un disque dur défectueux dans son datacenter en seulement 15 minutes – une rapidité inégalée comparée à d’autres fournisseurs.
Un Support Client Exemplaire
🤝 Le support client chez Hetzner est non seulement compétent mais aussi efficace, reflétant la fiabilité globale de leurs services. Cette excellence opérationnelle se traduit par une demande minimale d’intervention de support.
Interconnexion Optimale
🌍 Hetzner assure une interconnexion impeccable avec la France, grâce à un peering direct avec France-IX Paris qui gère des pics de 2.5TBit/s. Le peering d’Hetzner est de 100Gbit/s sur France-IX paris, qui a l’impressionnant taux de 99.9997% d’accessibilité sur l’année passée.
On note 5 à 10ms de latence toutefois dû à la distance. Dans la pratique avec HTTP/2 (et 3) l’impact est de l’ordre de la marge d’erreur et les performances supérieures des machines compensent largement cette micro perte avec des vitesses de chargement entre 2 et 4x plus rapides que de nombreux serveurs français.
Performances Réseau en Pratique
En pratique, les principaux fournisseurs d’accès français tels qu’Orange, SFR et OVH saturent un lien gigabit avec Hetzner sans souci. Free, le pire élève de l’interconnexion selon mon expérience générale avec eux, atteint quand même le Gigabit en burst puis oscille entre 100 et 250Mbit/s) à cause de ses règles QoS très conservatrices (pour ne pas dire radines). Pour Bouygues je sais qu’on sature un lien 5G sans problème, mais je n’ai pas encore eu l’occasion de tester le lien en fibre ; leur interconnexion étant généralement parmi les bons élèves, j’imagine que l’on sature donc un lien gigabit également.
Sécurité et Confidentialité au Niveau Européen
⚖️ L’Allemagne, tout comme la France, est soumise aux strictes réglementations européennes en matière de confidentialité. Hetzner respecte la norme DIN ISO/IEC 27001, garantissant un haut niveau de sécurité et de confidentialité des données. Avec le cloud Hetzner sur serveur dédié, les clients ont l’assurance de savoir où sont stockées leurs données.
Un Choix Avantageux et Fiable
✅ Hetzner se distingue non seulement par son engagement envers l’écoresponsabilité, la fiabilité et la sécurité, mais aussi par sa compétitivité tarifaire. Il représente un choix d’hébergement avantageux, surpassant de nombreuses offres françaises en termes de qualité et de performance.
Pour en profiter
Profitez d’un hébergement sur l’un de mes serveurs Hetzner infogéré et monitoré en 24/7.
Quand un produit sort du lot au point d’exploser toute la concurrence comme WordPress, c’est souvent par une force de frappe marketing, parfois par chance. Mais WordPress est loin d’avoir volé sa place et voici pourquoi.
Open-source
La nature open-source de WordPress a joué en sa faveur. Le projet a séduit la communauté et comme le code est ouvert à tous, l’une des plus une vastes communautés de développeurs s’est formée et contribue à son amélioration continue. Cela permet non seulement des mises à jour régulières et des améliorations de fonctionnalités, mais créé également un riche écosystème de thèmes et plugins gratuits et payants. Les utilisateurs peuvent ainsi personnaliser leurs sites à l’infini, répondant à presque tous les besoins spécifiques en accord avec leur budget. On peut ainsi réussir à faire des sites exceptionnels sans acheter le moindre module payant, tout en ayant confiance en le code de WordPress car celui-ci est révisé par une large communauté.
Facile d’utilisation
WordPress offre une interface intuitive qui permet même aux débutants de créer et de gérer des sites web sans connaissances techniques approfondies. Si la maintenance sécurisée et l’utilisation poussée demandent une intervention professionnelle, la gestion de base de WordPress reste très accessible pour tous. Cela ouvre la porte à un large éventail d’utilisateurs, des blogueurs individuels aux petites entreprises, en passant par les grandes entreprises.
Une communauté extraordinaire
La communauté mondiale de WordPress est un atout majeur. Elle offre une source d’informations et un support infini aux utilisateurs à travers des forums, des groupes, des blogs éducatifs, des chaînes YouTube et des rencontres. Cette communauté dynamique favorise l’échange de connaissances et d’expériences, rendant l’apprentissage et la résolution de problèmes plus accessibles pour tous.
Robuste et versatile
La robustesse et la versatilité de WordPress le rendent adapté à une grande variété de projets web. Des blogs personnels aux sites d’e-commerce complexes, WordPress peut gérer divers types de sites, ce qui le rend attrayant pour un large spectre d’utilisateurs.
La domination de WordPress sur le marché du web n’est pas le fruit du hasard. Elle est le résultat d’une combinaison de facilité d’utilisation, d’ouverture, de flexibilité, d’évolutivité et d’un soutien communautaire exceptionnel. WordPress se démarque également en vous laissant propriétaire de votre site internet qui peut alors être accueilli par tout hébergeur web.
Ensemble, ces éléments ont créé une plateforme qui non seulement répond aux besoins actuels des utilisateurs web, mais évolue constamment pour anticiper et intégrer les tendances futures du monde numérique.
Vous souhaitez un hébergement sécurité avec support d’expert WordPress ? C’est par ici !
L’année nouvelle amène son lot de renouveau et je suis ravi d’annoncer une innovation qui va révolutionner votre expérience avec nous : le lancement du Portail LRob. Cette plateforme est votre nouveau point de contact pour une gestion simplifiée et efficace de tous vos abonnements et besoins de support.
Commandez en Toute Simplicité
La souscription à mes services annuels, tels que l’hébergement et le webmastering, n’a jamais été aussi simple. Avec le Portail LRob, vous pouvez désormais commander directement en ligne, en quelques clics seulement. Le paiement par carte bancaire ajoute une couche supplémentaire de facilité. Plus besoin de devis ou de virements manuels pour activer ou renouveler vos services.
Étalez vos Paiements Mensuellement
Pour offrir une flexibilité financière accrue, le Portail LRob propose désormais l’option de paiements mensuels pour nos services. Cette approche facilite votre gestion budgétaire en permettant de répartir le coût des abonnements sur l’année. Idéale pour toutes tailles d’entreprises, cette option assure une meilleure planification financière tout en garantissant l’accès continu aux services de qualité LRob. Il faut noter que le règlement annuel demeure l’option la plus avantageuse en termes de coût total. V ous avez donc le choix entre la commodité du paiement mensuel et l’économie réalisée grâce à l’engagement annuel.
Facturation Transparente et Automatisée
Nous savons que la gestion des factures peut être un casse-tête. C’est pourquoi la boutique du portail LRob prend en charge la facturation de manière automatisée. Une fois votre commande passée ou à chaque renouvellement automatique, vous recevrez instantanément votre facture, garantissant ainsi une comptabilité sans faille. Retrouvez également toutes vos factures dans votre espace client.
Un Support Client Réinventé
La section support du Portail LRob marque un tournant dans l’approche de la relation client LRob. Le nombre de clients et de demandes de support augmentant, il faut absolument éviter que les demandes se perdent dans une mer d’emails. Notre système de tickets dédié rend le processus de demande d’assistance clair et structuré tout en assurant un meilleur suivi. Vous pouvez suivre l’évolution de votre requête en temps réel, ce qui permet une résolution rapide et efficace de vos demandes.
De plus, cette innovation prépare le terrain pour l’intégration future d’une équipe support dédiée, reflétant notre engagement à améliorer continuellement la qualité des services et la satisfaction client.
Le Portail LRob n’est pas seulement une plateforme ; c’est une promesse d’efficacité et d’innovation. En cette nouvelle année, je suis fier de vous offrir une expérience utilisateur améliorée et impatient de vous accompagner dans votre succès.
Qui a envie de passer ses journées à trier des centaines de spams dans sa boîte mail ? De risquer de recevoir des virus ou du phishing, ou des intimidations ? Pas vous ? Alors voici 6 moyens de vous protéger de cette perte de temps. Cela fait 5 ans que j’ai mis toutes ces astuces en place et je ne reçois plus aucun spam.
1) N’affichez jamais votre adresse publiquement sur internet.
Il peut être tentant d’afficher votre adresse email sur votre site internet ou sur les réseaux pour faciliter le contact.
Mais les robots pirates sont à l’affût des adresses email affichées publiquement. Ils vont les récupérer pour les revendre sur le black market à des spammeurs et personnes mal intentionnées.
Pour info, une liste de 100.000 adresse se vend pour seulement $15. Il faut utiliser la solution en point 2) à la place.
2) Utilisez des formulaires de contact protégés.
Comme vous n’afficherez pas votre email sur votre site, vous allez mettre en place un formulaire de contact qui enverra les messages sur votre adresse mail. Mais un robot est tout à fait capable de remplir un formulaire de contact, vous envoyant là aussi du spam.
Tout formulaire de contact doit donc être protégé avec un système anti robots (Captcha). Certains robots arrivent à les contourner (et parfois des humains vont envoyer de la pub via votre formulaire), mais vous devriez en recevoir suffisamment peu pour pour vous focaliser sur les mails utiles.
3) N’ayez jamais confiance lorsque vous donnez votre adresse email : Utilisez des alias de messagerie.
Une sécurité à 100% n’existant pas, sur une durée suffisamment longue, tout site sur lequel vous êtes inscrit avec votre email sera théoriquement piraté. Que ce soit un site étatique, institutionnel, une grande entreprise : quasiment tous ont eu des fuites de données, même les plus grands. Aussi, vos contacts peuvent être piratés et leur carnet d’adresse récupéré. Donc la question n’est pas de savoir “si” mais “quand” votre adresse mail tombera entre de mauvaises mains.
Vous pouvez vérifier si votre adresse mail a fuité dans une brèche de données ici : https://haveibeenpwned.com/
Pour éviter de donner votre vraie adresse mail, seule l’utilisation d’alias peut vous sauver. Choisissez un prestataire qui (comme moi) permet de créer des alias de messagerie illimités. Et pas des alias dérivés de votre vraie adresse car ils permettraient de la retrouver, mais des alias indépendants. Ainsi, vous ferez un alias par prestataire sur lequel vous allez créer un compte. Un compte sur laposte.fr : donnez-leur l’email “laposte@mondomaine.tld”. Et les mails envoyés à cette adresse tomberont directement dans votre boîte. Ainsi si un jour vous notez un spam sur cette boîte, vous saurez automatiquement quel prestataire a laissé fuiter votre adresse. Vous n’avez plus qu’à créer un nouvel alias pour ce prestataire, changer l’adresse mail sur votre compte, et supprimer l’ancien alias. Et pensez-y également sur votre carte de visite, mettez un alias et répondez avec votre “vraie” adresse uniquement si vous avez confiance. Si le pire arrive, vous pourrez toujours renommer votre boîte et mettre l’ancienne en alias (voir point n°6).
4) Vérifiez les redirections vers votre boîte.
Avez le temps vous avez peut-être crée des redirections de boîtes mail vers la vôtre. Si cela peut être pratique pour une transition, ce n’est pas une solution viable à long terme. Notamment car tout spam reçu par la boîte originale sera alors transféré à son nom, faisant d’elle un spammeur…
Ne conservez donc pas une redirection ad vitam æternam mais considérez bien cela comme une solution transitoire.
5) Choisissez un prestataire email de confiance.
Certains spams incorrectement envoyés ne devraient voir la couleur d’une boîte de réception. Ils devraient être filtrés par le prestataire email avant même d’atteindre le filtre anti spam, juste car ils sont envoyés de manière insuffisamment authentifiée. Je ne vais pas citer de noms, mais certains prestataires, notamment gratuits et français, ne vérifient pas correctement l’authenticité des emails et laissent passer des aberrations.
Lorsque vous recevez des dizaines de spams par jour, votre adresse circule sûrement déjà sur des réseaux de spammeurs. Peut-être votre adresse a-t-elle fuité dans une brêche de données ou a-t-elle été affichée publiquement.
Il n’y a pas de retour en arrière, et les filtres anti spam ne feront pas de miracle ou alors ce sera au coût de procédures payantes, fastidieuses, ou de nombreux faux positifs (mails légitimes tombant en spam).
Il est sûrement temps de changer d’adresse mail. Mais vous avez certainement de nombreux comptes associés et souhaitez la conserver. Si votre prestataire supporte les alias (comme moi !), vous pourrez mettre votre ancienne adresse en alias de la nouvelle et continuer de recevoir vos emails le temps qu’il faut; et vous pourrez même automatiser leur déplacement dans un autre dossier pour ne pas polluer votre vue au quotidien. Une fois la transition terminée, appliquez bien toutes les règles de cet article et supprimez l’alias dans l’ancienne boîte. Et voilà, vous êtes “spam-free” !
Vous cherchez un hébergement email standard, open-source, sécurisé et flexible, avec alias illimités et contrôle du filtre anti spam ? Mes offres d’hébergement web incluent les adresses mail et alias illimités ! C’est par ici : https://www.lrob.fr/services/hebergement-web/
Beaucoup se demandent comment WordPress peut être vulnérable aux attaques malgré sa popularité et son suivi. D’autres ignorent totalement le risque. Analyse.
Qu’est-ce qu’une vulnérabilité ?
WordPress est programmé avec le langage PHP. Le code PHP permet d’obtenir des sites “dynamiques”. C’est à dire que le contenu est généré à chaque page par un programme PHP. Un site dynamique permet aussi l’interaction avec les visiteurs. En termes techniques, il permet de recevoir et traiter des requêtes.
Cette force est aussi une faiblesse en ce sens qu’elle peut laisser place à des interactions non désirées, permettant ainsi le piratage d’un site internet. On appelle cela une “faille de sécurité” ou “vulnérabilité”.
Les vulnérabilités en PHP
Les vulnérabilités dans le code PHP peuvent avoir diverses causes. En voici quelques exemples fréquents.
Entrées non validées : Lorsque le code PHP accepte des données d’utilisateurs, telles qu’un formulaire ou une requête, sans validation appropriée, il peut être vulnérable aux attaques d’injection de code malveillant.
Permissions excessives : L’attribution de permissions excessives aux fichiers et aux utilisateurs peut permettre des attaques de manipulation non autorisée.
Mauvaise gestion des erreurs : La révélation d’informations sensibles dans les messages d’erreur peut donner aux attaquants des indices pour exploiter davantage le système.
En outre, il peut y avoir des vulnérabilités dans PHP. L’exécuteur PHP lui-même, contient parfois des failles de sécurité s’il n’est pas tenu à jour. (voir image)
D’autres failles non liées directement à PHP telles que les failles XSS sont également courantes. Celles-ci permettent d’exécuter du code malveillant.
Nous allons voir comment cela s’articule concrètement pour WordPress.
WordPress est un système de gestion de contenu robuste, mais il comporte près d’un million de lignes de code PHP (924.096 lignes présentement). WordPress, ce sont aussi 59.772 plugins et 11.378 thèmes disponibles rien que sur wordpress.org. Des millions de lignes de code en plus disponibles à l’installation sur votre site. Cette richesse de code crée un terrain fertile pour les failles de sécurité. Plus vous multipliez le code, plus vous multipliez le risque. Ainsi, chaque jour, des vulnérabilités sont découvertes. Elles peuvent se trouver dans le cœur de WordPress mais aussi des thèmes et plugins installés.
Détection, correction, révélation des failles
Si un intervenant détecte une faille (un développeur particulier, un “white hat”, un organisme spécialisé dans la sécurité), il averti les développeurs du script comportant la faille.
Si les développeurs sont réactifs, ils corrigent la faillent et publient le correctif.
Puis, typiquement 30 à 90 jours après sa découverte, la faille de sécurité est révélée publiquement. Afin d’une part de donner crédits de la découverte au lanceur d’alerte, et d’autre part d’avertir les usagers du script du risque encouru en cas de non mise à jour.
Faille actuelle non corrigée
WordPress comporte actuellement une faille non corrigée depuis la version 6.1.1 (donc depuis plusieurs mois). Celle-ci permet d’utiliser un site web pour exécuter des requêtes vers d’autres cibles. Elle est mitigable en bloquant l’accès à xmlrpc.php et en désactivant les pingbacks WordPress (sécurisation effectuée sur tous les sites que j’ai en gestion avant même la détection de cette faille).
Quand est-ce que WordPress est vulnérable et que faire ?
Failles révélées
Lorsqu’une faille est révélée, toutes les installations possédant le script vulnérable sont par essence atteints de cette vulnérabilité. Les pirates risquent d’exploiter la faille si c’est votre cas.
On trouve alors deux cas de vulnérabilités :
Votre site comporte un script (WordPress, plugin, thème) ayant une faille connue et n’étant pas corrigée par les développeurs. Le développement de ce script est peut-être abandonné. Il convient alors de désactiver ce script ou de le remplacer par un script non vulnérable et mieux suivi par ses développeurs.
Votre site n’est pas à jour. Vous n’avez pas corrigé la faille de sécurité. Il faut donc effectuer les mises à jour le plus régulièrement possible et vous assurer de ne pas avoir de script obsolète (ce qui vous mettrait potentiellement dans le cas précédent à terme).
Failles “zero-day”
Parfois, les pirates vont trouver une faille avant qu’elle soit révélée puis corrigée. Ils vont l’exploiter directement. On appelle cela une faille “zero-day”.
Plus un script est populaire, plus les pirates vont chercher des failles zero-day dans celui-ci. Cela est rare, mais arrive. Voici une autre raison de concevoir des sites simples : Plus vous multipliez les plugins populaires, plus vous multipliez la vulnérabilité de votre site WordPress. Non seulement aux failles zero-day, mais également aux failles en général.
Pour se protéger des failles 0-day, il faut que le serveur hébergeant votre site soit sécurisé. Pour cela, il peut notamment bloquer les requêtes suspectes des pirates à l’aide d’un pare-feu applicatif. Puis bloquer les IP attaquantes avec par exemple fail2ban. Cela n’est généralement pas le cas sur les offres d’hébergement mutualisées. A l’exception d’HaiSoft chez qui j’ai poussé ces sécurités, ce qui a d’ailleurs grandement divisé le nombre de piratages. Mais cela peut créer des faux positifs : Des requêtes bloquées alors qu’elles sont légitimes, en particulier avec les builders WordPress (Elementor, Divi, WP-Bakery et autres). Le support technique demandé est alors supérieur, raison pour laquelle la plupart des prestataires n’implémentent pas ce type de sécurités. La sécurité est toujours plus complexe que l’absence de sécurité.
Malgré toutes les sécurités possibles en place, il faut garder à l’esprit que certaines requêtes pirate peuvent passer outre les filets. Le risque zéro n’existe pas et quiconque prétend le contraire est un ignorant ou un menteur.
Alors comme la sécurité parfaite n’existe pas, partez du principe que votre site peut être piraté demain. Si cela arrive, que faites-vous ? Vous avez intérêt à avoir une sauvegarde à jour, facilement restorable et qui ne soit pas stockée dans votre site.
Conclusion
Les piratages n’arrivent pas qu’au autres. Très régulièrement, des possesseurs de sites WordPress viennent à ma rencontre avec un site web piraté à réparer.
Tout système informatique est potentiellement vulnérable, y-compris votre site WordPress. L’enjeu est de minimiser les risques de piratage en appliquant toutes les mesures préventives. Cela passe d’abord par un serveur à jour et sécurisé, capable de bloquer les attaques. Puis, cela passe par un suivi régulier de votre site WordPress et une mise à jour la plus fréquente possible, une vérification permanente des failles de sécurité connues et une action rapide en cas de problème. Dans tous les cas, une sauvegarde externalisée, automatisée et indépendante de votre site doit être effectuée quotidiennement. C’est précisément l’ensemble des services que vous retrouverez dans mes offres de Webmastering WordPress.
Si votre site est important pour votre entreprise, n’attendez pas d’être piratés, prenez les devants et faites vérifier votre site grâce à un audit de sécurité WordPress ou passez directement sur mon offre de Webmastering.
Il est parfois difficile de faire la différence entre un dysfonctionnement et un piratage. Pourtant, des signes évocateurs d’intrusion sur votre site existent. Aujourd’hui, voyons les 8 signes les plus courants pour repérer un piratage de votre site WordPress.
❌ Attention : en cas de doute, il est préférable de ne pas vous connecter à l’administration du site. En effet, si votre site est piraté, cela peut permettre au pirate de récupérer votre mot de passe. De plus, le pirate peut enclencher certaines actions automatiquement lorsque vous agissez sur le site piraté, ce qui empirerait la situation.
✅ Si vous pensez que votre site est piraté, il faut suspendre votre hébergement en attendant de traiter votre site au niveau des fichiers et de la base de données directement. La réparation d’un site WordPress demande de respecter un protocole scrupuleux comme celui que je propose dans mon service de réparation et sécurisation de sites WordPress piratés. En cas de doute, contactez-moi et bénéficiez d’une évaluation gratuite et de mesures de sécurité immédiates.
1. Publicités et redirections non autorisées
Des publicités indésirables ou des redirections vers des sites tiers apparaissent sur votre site.
Cause et explication
Le pirate a pu s’introduire dans les fichiers du site et/ou la base de données pour insérer ces pubs et redirections. Son but est de voler votre traffic pour générer des revenus.
2. Impossible de vous connecter en tant qu’administrateur
Votre mot de passe administrateur ne fonctionne plus ou semble changer de manière inattendue après chaque réinitialisation.
Cause et explication
Le pirate a introduit un backdoor (du code caché dans votre site) lui permettant de changer l’ensemble des mots de passe à souhait.
3. Vous recevez des notifications de mails rejetés
Vous recevez des notifications de courriels rejetés (aussi appelés bounce ou “mailer-daemon”) que vous n’avez pas envoyés vous-même.
Cause et explication
Le pirate utilise votre site pour envoyer des emails ou a pu compromettre votre mot de passe de messagerie. Dans certains cas, ils utilisent simplement un formulaire de contact mal configuré et mal sécurisé en tant que plateforme pour envoyer des emails vers les destinataires de leurs choix, ce qui doit également être traité afin d’éviter votre blacklisting.
4. Alerte de sécurité Google Safe Browsing ou antivirus
A la visite de votre site, votre navigateur vous affiche une alerte de type “Site dangereux ou malveillant”, soit via Google Safe Browsing, soit via votre antivirus. L’URL bloquée affichée appartient à votre site ou à un site tiers.
Cause et explication
Votre site contient des URLs de phishing, des programmes malveillants, ou redirige vers des sites malveillants. Google tient une base de données de ces sites malveillants que tous les navigateurs web utilisent, ce qui permet de protéger les visiteurs de la sorte.
5. Contenu indésirable et langues étrangères
Vous observez des articles ou pages supplémentaires ou modifiés dans votre site. Souvent en langue étrangère. Et souvent avec des liens suspects vers d’autres sites.
Cause et explication
Le pirate contrôle votre site. Soit via un compte administrateur ajouté, soit via un backdoor lui permettant d’injecter du code dans la base de données. Cela lui permet notamment d’insérer tout le contenu qu’il souhaite.
Ne pas confondre avec des commentaires “spam”. Ce souci doit être traité mais n’indique pas nécessairement la compromission de votre site.
6. Utilisateurs inconnus
Vous observez la présence d’un ou plusieurs utilisateurs administrateurs inconnus dans la liste d’utilisateurs WordPress. Parfois, vous observez que les détails de vos compte administrateur existants ont changé. NB : Comme il faut éviter de se connecter à l’administration du site, cela peut aussi se voir dans la table wp_users de la base de données (via phpMyAdmin par exemple).
Cause et explication
Le pirate contrôle votre site. Soit via un compte administrateur ajouté ou compromis, soit (et c’est le cas le plus courant) via un backdoor lui permettant d’injecter du code dans la base de données. Cela lui permet notamment de contrôler les utilisateurs du site.
Ne pas confondre avec des utilisateurs indésirables pouvant s’inscrire sur votre site. Ce souci doit être traité mais n’indique pas nécessairement la compromission de votre site.
7. Pages de phishing
Vous remarquez via un outil de statistiques ou lors de l’exploration des fichiers de votre site que des URLs ou fichiers (souvent .html) ressemblent à des pages de sites connus.
Cause et explication
Cela s’appelle du phishing. Le pirate a pris le contrôle de votre site et peut inscrire les fichiers de son choix dans celui-ci ou écrire dans la base de données. Le phishing permet au pirate des visiteurs auxquels il a précédemment envoyé de faux mails vers votre site, ce afin de de l’utiliser comme passerelle et de récupérer des informations personnelles de ses victimes.
8. Fichiers intrus
Pour cela il faut explorer les fichiers du site via FTP ou via votre panel hébergeur. Vous remarquez ne serait-ce que un fichier ou dossier intrus dans vos fichiers WordPress. Parfois des fichiers en “.zip” et parfois dans les dossiers sous-jacents. En cas de doute comparez avec l’archive sur wordpress.org.
Cause et explication
Le pirate a pu envoyer des fichiers indésirables dans votre site et en possède désormais le contrôle total. Il peut lire les fichiers existants et en ajouter de nouveaux. Il aura généralement pris soin de cacher des fichiers “backdoor” partout dans les fichiers afin d’essayer de garder un accès au site même si vous en nettoyez le contenu.
Pour aller plus loin
Idéalement, vous devez héberger votre site sur un serveur sécurisé tel que je le propose dans mes offres d’hébergement et webmastering. Ainsi les pirates sont automatiquement bloqués, réduisant drastiquement tout risque de piratage. Aussi, les fichiers malveillants sont régulièrement scannés au niveau du serveur ce qui est le moyen le plus fiable de procéder.
Si aucune mesure de sécurité particulière n’existe sur le serveur hébergeant votre site, vous pouvez dans un premier temps utiliser le plugin WordFence qui, bien que lourd et ralentissant votre site, permettra au moins de scanner votre site à la recherche de malwares et de vous protéger de certaines attaques basiques.
Mettons-nous dans la peau des pirates attaquant des sites WordPress. Comprenons comment ils pensent et opèrent, pour mieux nous protéger.
Le but des pirates
Les pirates sont généralement motivés par l’argent. Si leurs attaques sont souvent bêtes et méchantes, il ne faut cependant pas les sous-estimer car certains se montrent malins.
Pour générer des revenus, les pirates sont prêts à tout. Ils détournent les visiteurs des sites piratés via des liens sponsorisés ou redirections, ou ajoutent des publicités intempestives dont ils récoltent les revenus. Ils ajoutent aussi parfois des liens ou vers d’autres de leurs sites infectés de sorte à tenter de les référencer sur Google.
Souvent sans limite, ils vont également jusqu’à héberger du phishing sur votre site. C’est à dire des copies de sites institutionnels. Cela leur permet de renvoyer des victimes à qui ils ont précédemment envoyé de faux mails pointant vers ces liens, et ainsi de récupérer leurs informations personnelles de connexion à ces comptes réels. Parfois, il peut s’agir de comptes bancaires ou de santé.
Dans les piratages ciblés, la motivation est idéologique ou politique.
Plus marginalement, on observe aussi des concours de piratages, ayant lieu parfois sur des événements type “hackathon”, où le but est alors seulement d’inscrire sa signature, parfois par contre, en défaçant totalement le site. Je n’ai cependant pas observé ce type de hack depuis quelques années, donc il semble que cette pratique se perde pour le moment.
Pourquoi attaquer des sites WordPress ?
WordPress est très largement utilisé, avec 43% des sites web dans le monde. Cela en fait une cible de choix pour les pirates informatiques. Attaquer WordPress leur permet donc de maximiser leurs résultats lors de leurs attaques. C’est exactement le même principe qu’avec Windows qui est le système d’exploitation le plus populaire donc le plus attaqué.
Aussi, WordPress est très riche en termes de code et de fonctionnalité mais aussi de documentation. Si bien que de nombreuses failles sont régulièrement rendues publiques. Il est important de noter que les failles concernent aussi et surtout les nombreux plugins et thèmes de WordPress.
Mode opératoire des pirates
Il est relativement facile d’identifier des sites WordPress en masse sur internet. Les pirates se créent donc des listes de sites WordPress.
Ils vont ensuite croiser ces listes avec les failles de sécurité connues de WordPress.
Il leur faut alors écrire ou trouver dans des communautés pirates des “exploits”, c’est à dire des requêtes ou codes à utiliser pour exploiter ces failles.
Une fois leurs “exploits” trouvés, ils programment des robots qui tentent automatiquement de les utiliser sur l’ensemble de ces sites. Ces robots sont souvent mis en place sur des serveurs et ordinateurs personnels précédemment infectés. On appelle l’ensemble de ces robots un “botnet”.
Pour attaquer plus efficacement, certains pirates un peu plus doués vont au préalable lister les plugins et thèmes installés sur chaque site ainsi que leurs versions. En connaissant la version des scripts, quiconque peut connaître les failles de sécurité présentes dans chaque version. Cela fait d’ailleurs partie des actions menées lors d’un audit de sécurité WordPress. Les pirates se servent de cette méthode pour trouver et exploiter bien plus efficacement les failles présentes dans chaque site.
Certains pirates encore plus doués planifient leurs attaques à l’avance, ciblant parfois de nombreux sites d’un hébergeur en particulier, de sorte à tenter d’en saturer le support utilisateur et à faire perdurer leur hack le plus longtemps possible.
C’est ainsi que l’on observe des vagues de piratages. A noter que certaines vagues de piratages ont aussi parfois lieu car une nouvelle faille a été découverte par les pirates avant d’avoir été corrigée par les développeurs. On appelle cela une “vulnérabilité zero-day”.
Attaques ciblées
Votre site n’a pas besoin d’être spécifiquement ciblé pour être piraté. Car comme on l’a vu, les pirates attaquent des milliers de sites WordPress par jour de manière automatisée. C’est ainsi que des touts petits sites avec seulement quelques dizaines de visiteurs par jour, des sites de petites associations ou communes peuvent être piratés.
Néanmoins si votre site possède une quelconque faille de sécurité, une attaque ciblée, opérée et dirigée directement par un pirate, aboutira très rapidement au piratage complet de votre site.
Les attaques ciblées sont relativement rares (moins de 3% des cas de hack selon mon expérience). Les cibles de choix dans ce cas sont principalement politiques, médiatiques, ou idéologiques. Autrement dit, les attaques ciblées visent plutôt les sites institutionnels ou à contenus chargées idéologiquement. Si tel est votre cas, n’attendez pas qu’il soit trop tard et offrez-vous un Audit de sécurité WordPress.
A noter que ce service est inclus dans mon offre de Webmastering Critical. La mise à jour des scripts WordPress est quotidienne, je reçois un mail en cas de faille, et je monitore les scripts obsolètes. Je parviens aussi sur mes hébergements à détecter l’activité des robots pirates et à les bloquer automatiquement par centaines chaque jour. Les attaques manuelles sont également bloquées ; c’est ainsi qu’un grand groupe de sécurité m’a demandé lors d’un audit sur un site que j’héberge de les débloquer afin qu’ils puissent continuer leurs tests, car toutes leurs IP avaient été bloquées automatiquement par mes sécurités.
Depuis des années, les constructeurs de pages pour WordPress, appelés “builders” sont à la mode. Il s’agit d’éditeurs visuels ayant vocation à faciliter la mise en page des sites.
Elementor, Divi, WPBakery : Agences web, webmasters, chacun utilise son “builder” à tout-va. Révolution de WordPress, ou monumentale erreur, qu’en dit “l’expert WordPress” ?
La promesse des « Builders » WordPress
Les builders sont populaires car ils promettent de créer des pages riches et complexes sans toucher à la moindre ligne de code, grâce à des éditeurs visuels. Et sur ce point ils délivrent globalement leur promesse.
Mais alors Jamy, quels éléments viendraient remettre en question le bien-fondé de l’utilisation des builders dans le monde si parfait qu’est le nôtre ?
Les « Builders » WordPress vous emprisonnent
Les builders sont généralement payants, en abonnement annuel. Ayant payé votre builder, vous ne comptez donc pas faire marche arrière et ferez tout pour le faire fonctionner.
Mais un jour, la fatalité arrivera : vous aurez un souci vraiment bloquant avec votre builder et vous souhaiterez revenir en natif (sans builder). Ou choisir un autre builder.
Et là, c’est le drame.
Aucun standard, aucune interopérabilité entre les différents builders. Et surtout, aucun affichage si le plugin est désactivé.
Sans son builder, votre site est HS, vous devez le refaire totalement.
Alors, avez-vous vraiment gagné du temps et de l’argent en utilisant un builder pour façonner votre site ?
Les « Builders » vont à contre-courant de WordPress
Les builders modifient le fonctionnement natif du CMS WordPress.
Fonctionnement des builders
Un builder va occasionner des centaines de balises qui doivent être interprétées et converties dynamiquement en code HTML (le langage d’affichage final envoyé aux visiteurs) par le serveur avant d’être envoyés au visiteur.
Certains builders vont également générer des scripts (js) et feuilles de style (css) à la volée en fonction des pages.
Fonctionnement natif de WordPress
Auparavant, pour modifier l’apparence de WordPress à partir d’un thème donné, il fallait soit avoir choisi un thème très personnalisable, soit mettre les mains dans le code du site. Dans les deux cas, le contenu des pages restait natif et un changement de thème ne cassait donc pas l’intégralité du site.
Désormais, WordPress pousse Gutenberg, son système de blocs. Il permet nativement, sans aucune modification de WordPress, d’éditer visuellement tout le contenu de votre site : Pages, articles, mais également l’affichage global grâce au “full site editing”. Comme un builder en fait… ? Oui, sauf que le code généré est du HTML et n’a donc aucun coût en performances ou en temps de chargement.
L’impact sur les performances… Et l’écologie.
Lenteurs extrêmes
Durant mon expérience d’infogérant web-hosting, j’ai été sollicité par de nombreux clients WordPress se plaignant de lenteurs sur leur site. Les serveurs n’étaient pas saturés, mais leurs sites avaient un point commun récurrent : Ils utilisaient des builders WordPress.
Lors des tests avec/sans builder, j’ai observé un ralentissement de l’ordre de 10 à 40 avec leur builder activé. C’est à dire qu’un site mettant 0.3s à charger nativement passe à plus de 3s, voir plus de 10s dans les cas les plus extrêmes.
Mais le ralentissement a également lieu au niveau des visiteurs. Les nombreux et lourds scripts (js) et feuilles de style (css) générés par les builders prennent du temps à télécharger, puis doivent être interprétés. Ce faisant, ils prennent encore du temps.
Le temps, c’est de l’énergie
Les temps de chargements, ce sont des ressources de calcul et donc d’énergie consommées au niveau du serveur et de votre périphérique d’accès (smartphone, PC). Plus ça occupe les CPU (processeurs), plus de l’énergie est gaspillée.
Si la situation s’améliore avec des rustines d’optimisation du côté des builders, ou des plugins de mise en cache (qui évitent certaines consommation serveur), les performances ne sont généralement toujours pas au rendez-vous par rapport à un site natif.
Impact sur le succès du site
On le sait, la rétention des visiteurs sur un site dépend notamment de sa vitesse. Aussi, on a de bonnes raisons de penser que les moteurs de recherche favorisent les sites les mieux optimisés.
Impact écologique indéniable
WordPress propulse plus de 43% des sites web dans le monde. Nombre de ces sites comportent des builders, générant une surconsommation de ressources serveur de l’ordre de x10 (voir jusqu’à x40). Les builders ont donc une emprunte carbone considérable qu’il serait intéressant de mesurer objectivement. Je ne serais pas étonné que cela augmente la consommation d’énergie d’internet de 10% ou plus.
Fiabilité et sécurité
Une bonne partie des pannes observée sur les sites lors des mises à jour est due aux builder. Vous avez intérêt à avoir un bon backup. Tout ça, c’est de la maintenance additionnelle, perdue pour le webmaster et/ou pour le client.
De plus, les builders étant populaires, des failles de sécurité sont régulièrement découvertes. Donc si vous mettez à jour, vous risquez de casser le site, et si vous ne mettez pas à jour, vous risquez un hack. Vous choisissez quoi ?
Builders à outrance
Certains ont le réflexe systématique du builder. Même sur un site extrêmement simple. Mais est-ce vraiment nécessaire ?
Dans de nombreux cas, utiliser un builder revient à tuer une mouche au lance-flamme.
La règle n°1 de l’optimisation : n’utiliser que ce qui est nécessaire. Un peu de minimalisme ne fait de mal à personne.
A-t-on besoin de réfléchir 2000 ans à décaler une image d’un ou deux pixels ? Cela ne fait plaisir qu’aux web designers. Les utilisateurs et propriétaires des sites n’en ont rien à faire. Dans le monde réel, ce n’est pas ce qui importe pour le succès d’un site, c’est d’abord son contenu.
Ce qu’il faut, c’est avoir un site simple à maintenir, fiable, sécurisé, et rapide à afficher pour les visiteurs, et surtout, contenant les informations utiles recherchées par vos visiteurs, pour un bon référencement SEO (sur les moteurs de recherche Google et autres), et avec une emprunte carbone la plus faible possible.
Les alternatives
De nombreux thèmes natifs, souvent gratuits, sont capables d’offrir une expérience visuelle claire et plaisante et permettent déjà un excellent niveau de personnalisation.
De plus, avec Gutenberg, WordPress offre désormais la fonction “Full Site Editing” permettant, avec les thèmes compatibles, d’agencer chaque partie du site comme on le souhaite.
Cela devrait dans un futur proche marquer le début de la fin des builders.
Personnellement, j’ai toujours refusé d’aller à l’encontre du fonctionnement natif de WordPress, et j’ai adopté Gutenberg dès sa sortie malgré les bugs et limitations.
Certains d’entre vous le savent déjà : En Octobre, je quitterai HaiSoft pour de nouvelles aventures au sein d’une agence web. Je serai toujours Sysadmin et spécialisé WordPress, mais désormais au poste de responsable hébergement.
Par ailleurs et depuis quelques mois, j’ai lancé mon activité de webmaster freelance. J’ai décidé de l’accompagner officiellement de services d’hébergement pour permettre une gestion fluide de l’ensemble des services.
Et comme j’ai à cœur de proposer le meilleur service possible, cela impliquait des changements de serveurs avec une refonte de l’infrastructure, plus performante et évoluée que jamais.
Depuis une bonne quinzaine de jours, j’ai donc travaillé à refondre cela avec le plus grand soin et sans interruption de service notable, en intervenant de nuit pour les opérations pouvant générer de légères coupures (notamment la refonte des DNS).
Nouveau domaine d’infrastructure : lrob.net
Afin de faciliter la gestion, un nouveau nom de domaine est utilisé pour ce qui concerne le fonctionnement technique des serveurs : lrob.net
Nouvelle URL Plesk
Pour ceux qui avaient pour URL de connexion à Plesk https://ds.lrob.fr Désormais il faut utiliser :
Vos identifiants/mots de passe restent inchangés. J’assure la redirection des anciens noms vers le nouveau pendant 30 jours. Pensez à mettre à jour vos favoris avant ce délai. En cas d’oubli d’identifiant ou mot de passe, n’hésitez pas à suivre la procédure de mot de passe oublié ou à revenir vers moi pour une réinitialisation manuelle.
Nouveaux NS (name servers)
Les NS autoritaires pour vos noms de domaine ont également changé.
J’ai pu prendre en charge les changements pour 100% des domaines hébergés actuellement. Pour info, en cas d’ajout de domaine (revendeurs) il faudra désormais utiliser les serveurs DNS suivants :
ns1.lrob.net
ns2.lrob.net
ns3.lrob.net
Ces NS sont hébergés sur des serveurs situés dans trois localisations géographiques différentes pour une redondance optmisée : Lausanne (suisse), Nice et Nuremberg (allemagne). Ils sont désormais 100% compatibles IPv6 en plus d’IPv4. Ils sont également sécurisés DNSSEC (ECDSAP256SHA256, la norme également retenue par CloudFlare) afin de protéger contre les attaques NS spoofing/poisoning (man in the middle).
Résultat : Absolument parfait. Même meilleur que les géants du web (Google, OVH, Microsoft, Facebook, etc.) :
https://www.zonemaster.net/result/2e2e6ab1eb0bd5bb (lien périssable, si besoin refaites le test sur lrob.net)
Le nouveau serveur est un gros upgrade, c’est désormais un serveur dédié (précédemment serveur virtuel) avec licence Plesk illimitée (précédemment 30 domaines), ce qui permet de proposer un service “revendeur” qui laisse la liberté à celui-ci de gérer l’ajout/suppression de ses domaines en autonomie. Ce serveur se situe à Falkenstein (Allemagne) chez Hetzner. La bande passante (gigabit) et le ping vers la France sont excellents. En comparaison au précédent serveur qui était déjà correct, le nouveau est environ 2x plus puissant en termes de CPU, il possède 8x plus de RAM, 2x plus de stockage, et les SSD NVME sont environ 3x plus rapides que les SSD SATA précédents. Le gain en performances est significatif.
IPv6 est désormais entièrement supporté. TLS 1.3 (sécurité maximale) et HTTP/2 (vitesse maximale) sont désormais en support natif (directement par Apache, sans reverse proxy Nginx). Le serveur et toute l’infrastructure sont désormais monitorés via Centreon.
Actuellement, une sauvegarde type “Push” est en place quotidiennement. Une seconde sauvegarde en mode “Pull” est en train d’être mise en place. Malgré ces précautions de votre serviteur, n’oubliez pas de faire des sauvegardes de vos données de votre côté aussi, car c’est presque toujours quand il est trop tard que les utilisateurs se posent la question. Or, je rappelle que dans l’hébergement, c’est toujours le client final qui a la responsabilité de ses données.
Cela devrait résumer les informations importantes. N’hésitez pas à me contacter pour toute demande.
Au travers de dissonances et d’harmonies qui se succèdent, le tout en croches, doubles croches ou en triolets tantôt classiques, tantôt jazzy, ce morceau évoque pour moi la lutte. La lutte de la vie de tous les jours, la lutte contre un sujet spécifique, le débat même.
J’espère qu’il vous plaira, en tout cas de mon côté, c’est très intéressant d’enfin arriver à exprimer des sentiments par la musique.
Écouter
Record
La Lutte – Robin Labadie – MP3 320Kbit/s
Vidéo live
Le process de compo
Je suis un pianiste assez “jeune” pusique j’ai réellement commencé il y a un peu plus de trois ans en autodidacte et avec une assiduité variable. Il m’aura fallu plus d’un mois bien rempli entre l’idée initiale et la sortie de cette compo. Première idée le 7 février release le 9 mars 2022. 1h par jour pour composer, peaufiner les détails, arriver à jouer correctement, ajouter des subtilités et les maîtriser. Et enfin être suffisamment à l’aise pour la jouer comme je la ressens vraiment. Lorsque l’on est à la lmite de ce que l’on arrive techniquement à jouer, c’est long et délicat. Rythmiques incongrues, montées/descentes, accords relativement farfelus, de quoi bien s’occuper. Mais il faut ce qu’il faut pour jouer ce qu’on a envie d’entendre, ce qu’on ressent.
Partition
Merci à Thibaut Lurton pour la relève et l’écriture de la partition.
Tiens donc, une compo, ça faisait longtemps ! Parce qu’on a 31 ans, un âge “seuil”, qui pousse à quelques réflexions.
Aussi, suis-je encore capable de faire de la musique en solo ? Il m’a fallu réapprendre à jouer de la guitare, de la basse, à écrire et chanter en anglais, à jouer une batterie qui se veut réaliste sur un piano, à mixer… Je n’ai pas compté, mais au moins 8 jours et une cinquantaine d’heures de travail… Et sûrement -5dB d’audition. Car oui, en plus d’être le projet avec le plus de tracks, c’est aussi le mix brut le plus “loud” qui quitte mon DAW.
Écouter
J’espère que vous passerez de bons moments à écouter ce morceau.
Thirty One – Lrob (MP3 320Kbit/s, 10MB)
Écouter et voir
Quelques anecdotes
J’ai écrit et enregistré ce morceau avec le COVID dans la tronche. Heureusement le vaccin a aidé. #Pfizer
Initialement je voulais juste faire un projet rapide pour marquer le coup des 31 ans pour une certaine personne née le 19 Janvier à qui je dédie ce morceau, car elle est à l’origine de l’inspiration. Quand on est lancé, on ne s’arrête plus, au final c’est un vrai morceau.
J’ai dû réécrire et réenregistrer l’ensemble des paroles lorsque j’ai décidé de doubler le flow de la voix.
J’ai dû refaire la batterie qui ne convenait plus suite au précédent changement.
Je me suis fait prêter une basse (Precision) par mon quasi voisin et comparse musical Thibaut, car il n’y a rien de tel qu’une vraie basse. Merci !
J’ai refait des dizaines de fois les bends de guitare jusqu’à arriver à les jouer correctement, trois jour après j’ai encore mal au bout des doigts.
Ce morceau est un vrai “Gloubi-Boulga” de tout ce que j’ai pu écouter dans ma vie. Je note quelques influences discernables parmi lesquelles The Verve (violons), Third Eye Blind (voix), Coldplay (énergie), Alien Ant Farm (batterie)… Et je me suis rendu compte que je suivais une ligne d’accord similaire à Jesus Doesn’t Want Me For A Sunbeam et que la fin de la montée/bridge rappellait un peu The Ramones – Blitzkrieg Bop.
Digression technique
Mixer, parlons-en : 99 pistes en comptant les BUS et les effets… Oui, 99. Parmi lesquelles, 48 pistes de voix. C’est du jamais vu pour moi. Un élan de folie sûrement.
Reaper – 99 tracks
Comme nous sommes en période électorale, voici quelques chiffres clé :
99 pistes
239 effets et instruments
2.5Go d’audio (dont sûrement 90% de prises ratées)
8-10Go de RAM sur 64Go
Jusqu’à 6-8 cores de CPU sur 16 occupés
Un mix à 128 buffer qui permet de continuer à enregistrer des prises pendant le mix.
Lyrics
Thirty One
Twenty years back on a leather couch
Playing some game watching telly, ouch!
City or town the vast world seemed frightening
Time goes by and you're thirty one
Hoping you're not even half way done
When you grow up, will you fly away?
Make up on time for something you can't miss
Paying the bills sorting socks, what a bless
Check this up see how life tears
Cheer me up before I fall
How do we get back from here?
I don't know
I'll cheer you up before you fall
How do we get back from here?
I don't know
Let's go!
When you fall appart
When you step back on a razor sharp
It might be time to find, find another way
When you fool around
One foot at a time, like we're still nineteen
Strong and fearless, just as it began
All the life to shine
Don't you worry I won't let you down
Until we die, strong as king and queen
We are thirty one
Can't carry the damned world all day
Climb hills, don't give your life away
Don't give it away
Working so hard, getting perspective
Now you know how to be cost-effective
Ready or not, you will be working
Time goes by and we lose the trace
Back and forth easy to lose the face
Now fully grown we should get this goddamn crown
Make up right now because it's gone too far
Let's rule the game and own this goddamn world
I'll cheer you up before you fall
How do we get back from here?
I don't know
Come let's go!
When you fall appart
When you step back on a razor sharp
It might be time to find, find another way
When you fool around
One foot at a time, like we're still nineteen
Strong and fearless, just as it began
All the life to shine
Don't you worry I won't let you down
Until we die, strong as king and queen
We are thirty one
Can't carry the damned world all day
Climb hills, don't give your life away
Don't give it away
Tous droits réservés, Copyright SACEM le 27/01/2022.
Début 2017, j’entrais chez l’hébergeur web HaiSoft, plein de connaissances sysadmin et web acquises en autodidacte. Problème : Il est extrêmement difficile de faire comprendre à une personne étrangère au domaine en quoi consiste ce métier. Entre les questions de type “c’est quoi un hébergeur web ?” jusqu’à “mais du coup tu fais quoi ?”, il y a pour sûr matière à clarifier. Alors clarifions.
Idées reçues
Non je ne suis pas :
Informaticien (c’est presque aussi vague que “docteur”, en quoi, philosophie, physique des particules, médecine générale ?)
Un troglodyte
Pirate (on peut utiliser un ordinateur légalement aussi, vous savez…)
Une tortue qui mange des pizza et boît du coca à tous les repas (comme pour tout, avec modération)
Pour comprendre ce que je fais, il faut d’abord comprendre ce que propose HaiSoft, mon employeur.
Présentation des branches d’activité
Qu’est-ce qu’un hébergeur web ?
Vous visitez actuellement mon site lrob.fr. Ce nom, “lrob.fr” est un nom de domaine, tout comme google.com, materiel.net, linkedin.com, etc.
Quiconque peut réserver un nom de domaine chez un registrar pour une durée de 1 an renouvelable.
Bien que cela ne soit pas obligatoire, le but est généralement de créer un site internet associé et éventuellement des adresses mail associées, par exemple le site https://www.lrob.fr (notez que les “www” sont une convention, cela n’est pas obligatoire), ou l’adresse mail exemple@lrob.fr (ne cherchez pas, cette adresse n’existe vraiment pas).
Si demain, vous souhaitez ouvrir votre site internet, ou même votre agence web, vous ferez appel à un hébergeur web comme HaiSoft.
L’hébergeur web dispose de ses serveurs situés dans un datacenter, serveurs qui sont configurés pour permettre de servir des sites web et d’envoyer/recevoir des emails.
Généralement, un hébergeur web sera également registrar, ce qui signifie que vous pourrez y réserver vos noms de domaine. Ce à quoi vous ajouterez votre hébergement web pour accueillir le contenu de votre site. Vous ajouterez enfin un hébergement mail si vous souhaitez avoir vos propres adresses mail @votrenomdedomaine.tld.
Pour l’hébergement, nous utilisons exclusivement des systèmes Linux et le panneau de contrôle permettant de gérer facilement et efficacement les hébergements est Plesk.
Serveur, datacenter, plaît-il ?
Un serveur (informatique), n’est autre qu’un ordinateur sur lequel on a installé un système permettant de fournir des services (par exemple des sites web ou des services email). Dans le contexte d’un serveur présent en datacenter, la machine sera généralement au format “rackable” et placé dans des “baies serveur”, de manière à permettre une densité de machines importante, comme sur cette photo :
Un datacenter est un grand local, à l’accès sécurisé, au climat réfrigéré, avec un système électrique de secours, et une connexion internet fiable, généralement redondée et de haute qualité.
Quelques exemples de baies et de racks contenant des serveurs rackables :
En quoi consiste la partie support ?
Si la gestion d’un site internet est souvent simple pour les utilisateurs confirmés, cela reste un domaine vaste avec de nombreux services en interaction, de nombreux paramètres, de nombreuses sécurités, et de nombreux éléments techniques pouvant générer des incompréhensions des utilisateurs et donc un besoin de support.
Un hébergeur web, comme tout bon prestataire de service qui se respecte, se doit donc d’assurer le support utilisateur afin de permettre à ses clients de profiter de leurs services en toutes circonstances.
Chez HaiSoft, nous sommes accessibles par ticket depuis l’espace client (un système de message interne sécurisé) ou par téléphone. Pour les demandes ou assistances simples, cela passe par téléphone. Pour ce qui demande davantage de recherche ou ce qui implique des modifications importantes ou de transmettre des informations confidentielles, nous passons par ticket.
Ainsi, les demandes peuvent être simples ou complexes, et voici quelques exemples :
Je n’arrive pas à me connecter à mon espace client ? -> Renvoi des identifiants.
Mon site est inaccessible -> Diagnostic/correction
J’essaie de passer mon site en HTTPS, j’ai une erreur de certificat -> Envoi des documentations
J’ai un bug sur mon site depuis la mise à jour -> Diagnostic/conseil, éventuellement restauration de sauvegarde
Je n’arrive pas à connecter ma boîte mail sur mon iPhone -> Envoi de documentation, éventuellement, guidage par téléphone ou ticket
J’ai un bug sur mon site quand j’ajoute un article -> Diagnostic/conseil/correction
Mon site se fait attaquer par des robots -> Diagnostic/conseil/mise en place de sécurités
J’ai supprimé accidentellement des données -> Restauration de sauvegarde
Je me suis trompé de mot de passe plusieurs fois, mon site est inaccessible -> Déblocage dans le système de sécurité
La liste pourrait être très longue, mais je ne veux pas entrer dans des cas trop techniques ou spécifiques ici.
Enfin, le technicien support peut être amené à rédiger les documentations client telles que le wiki HaiSoft.
Qu’est-ce qu’un sysadmin ?
Le sysadmin ou “administrateur système” est en charge de la gestion des serveurs et de l’infrastructure informatique. Chez un hébergeur web, le découpage des tâches peut varier, mais cela peut impliquer un large champ d’action, allant de l’arrivée réseau jusqu’au diagnostic de l’utilisation des ressources du site du client sur son serveur.
Pour cela, le sysadmin va non-seulement se déplacer en datacenter pour installer/réparer/mettre à niveau l’infrastructure, mais également utiliser ses outils d’administration qui sont généralement :
Les panneaux d’administration à sa disposition.
Le monitoring, pour vérifier en temps réel les éventuels dysfonctionnements.
Les consoles SSH pour la connexion en lignes de commande au serveur, qui est souvent le seul ou le meilleur moyen de gérer les configurations serveur.
Qu’est-ce que l’infogérance ?
L’infogérance, c’est simplement comme son nom l’indique, la gestion d’un système informatique.
HaiSoft disposant de sa propre infrastructure, utilisée notamment pour l’hébergement web mutualisé (les offres d’entrée, pour les petits sites indépendants), se doit donc d’en assurer l’infogérance.
Mais, les clients peuvent aussi avoir leur propre serveur (virtuel ou dédié), s’ils ont besoin de plus de ressources. Par exemple, une agence web avec de nombreux sites, ou un gros site de e-commerce va plutôt se tourner vers son propre serveur.
Chez certains hébergeurs de serveurs, les clients gèrent en autonomie leur serveur. En revanche chez HaiSoft, tous les serveurs sont infogérés, c’est en fait notre grande particularité. Par conséquent, les serveurs sont livrés prêts à l’emploi, pré-configurés pour de l’hébergement web, et l’évolution du serveur est suivie et nous asusrons la maintenance.
Dans ce cadre, cela signifie que nous, en tant qu’infogérant, gérons le hardware (le matériel) et le software (les logiciels et services) permettant de faire tourner les services web du client (site internet, emails).
Notre client “type”, intéressé par ces services infogérés est généralement : soit un particulier ou libéral gérant lui-même son site web, soit un webmaster, soit un développeur, soit une agence web, une agence de web-developpement, etc. Il faut donc être capable de s’adapter au niveau technique de chacun d’entre eux pour répondre à leurs demandes.
Ainsi, en tant qu’infogérant, nous assurons notamment :
La mise en place et maintenance matérielle des serveurs (remplacement en cas de panne)
L’installation logicielle du serveur et sa pré-configuration pour répondre aux besoins spécifiques du client
Le monitoring du serveur (s’assurer de son fonctionnement à tout moment)
La maintenance logicielle et matérielle (réparer en cas de souci, dû au client final ou à un dysfonctionnement quelconque)
Les mises à jour du serveur (sécurité, fonctionnalités)
Mais aussi et surtout, la réponse aux demandes des clients et le conseil client (comment faire tourner une application, comment dimensionner son serveur, les bonnes pratiques, mettre en place des configurations spécifiques à son application, etc.)
Concrètement, voici le type de demandes auxquelles nous répondons comme infogérant :
Je lance une campagne de pub et j’attend 100.000 visites par jour le mois prochain, comment peut-on s’assurer que le serveur tienne ?
J’installe une nouvelle application, elle demande la dernière version du serveur de bases de données MySQL, pouvez-vous planifier la mise à jour ?
Je me connecte à un vieux service ne supportant pas les derniers standards de sécurité, pouvez-vous adapter la configuration pour le rendre compatible ?
J’ai besoin d’un serveur plus gros, pouvez-vous organiser la migration de tous mes services vers un nouveau serveur ?
J’aimerais profiter des dernières fonctionnalités, pouvez-vous mettre à jour le panneau de contrôle Plesk ainsi que le système ?
Quelles sont les implications si j’active les mises à jour automatiques ?
J’ai cassé ma base de données pouvez-vous restaurer la sauvegarde de la DB de vendredi dernier ?
Je cherche le niveau de sécurité maximal sur le serveur, que proposez-vous de mettre en place ?
Je reçois des attaques sur le xmlrpc.php de WordPress, pourriez-vous bloquer totalement l’accès à ce fichier et bannir les IP attaquantes ?
Articulation
Au final, comment s’imbriquent web, support, infogérance, et sysadmin ?
Le sysadmin est donc le technicien informatique qui va gérer le parc de serveurs et mettre en oeuvre le tâches d’infogérance expliquées plus haut.
Être sysadmin permet aussi de faire du support utilisateur bien plus efficacement et est requis pour faire de l’infogérance.
Et la connaissance du web et des différentes applications que les clients peuvent installer est bien-sûr un énorme avantage pour les aider à debuger leurs sites.
C’est là que les casquettes se mélangent un peu pour le sysadmin infogérant et technicien support, ce qui augmente souvent l’incompréhension. En comprenant mieux ces différentes casquettes, cela devrait désormais être plus clair.
Concrètement, à quoi ressemble une journée type ?
Typiquement, une journée s’articule ainsi :
Saluer ses collègues et s’informer de tout éventuel souci spécifique ou news importante
Vérifier le monitoring et intervenir immédiatement sur tout souci ayant lieu
Prendre un bon café
Répondre aux tickets des clients tout au long de la journée
Répondre aux appels tout au long de la journée
Mettre à jour les serveurs
Si besoin, effectuer les interventions planifiées (hardware/software)
Améliorer/agrémenter la documentation client lorsque celle-ci ne leur permet pas de résoudre leurs soucis
Ecrire quelques articles de blog quand on a le temps et du contenu intéressant à publier
En cas de dysfonctionnement, rechercher les causes, implications et solutions, mettre en place les mesures pour prévenir les récidives
Consulter l’équipe sur les cas difficiles
Informer l’équipe des cas particuliers
Se réunir avec l’équipe en présence du directeur technique pour planifier les grandes évolutions
S’informer des dernières mises à jour du secteur, en particulier celles concernant les outils utilisés
R&D : Améliorer les process et outils internes, rechercher des solutions améliorant la sécurité, les performances, répondant à de nouveaux besoins, ou remplaçant avantageusement des solutions existantes
Merci d’avoir lu cet article. Maintenant vous ne pouvez plus dire -sans mentir- que vous en savez pas ce que fait un technicien support sysadmin chez un hébergeur web. 😉
MAJ 2023 : Je suis désormais Freelance ! Je propose de l’hébergement dédié à WordPress, ultra performant et ultra sécurisé avec un support complet. N’hésitez pas à parcourir mon site et à me contacter pour en savoir plus !
Il serait insupportable de vivre si nous étions incapables d’accepter notre monde tel qu’il est, c’est à dire avec des aspects laids, qui peuvent vite prendre le dessus sur sa beauté. Pour autant, il n’est pas interdit d’oser songer à un monde profondément meilleur, un monde utopiste qui ferait entièrement plaisir à voir.
J’ose ici, en quelques lignes, essayer de décrire ce monde, de rêver ce monde. Qui sait, à force d’imaginer un idéal, peut-être tendra-t-on vers lui….
Je rêve d’un monde sans injustice, sans tabous, sans rancœur, sans laissés pour compte, un monde où l’on cherche à comprendre l’état d’esprit de son prochain avant de critiquer sa personne. Un monde où l’envie d’aider prime sur l’envie de juger, où le partage des ressources est ancré dans les mœurs. Un monde tolérant, compréhensif et non discriminatoire, un monde respectueux qui favorise l’égalité des chances.
Je rêve d’un monde sans misère, où chacun a un toit, peut subvenir à ses besoins sans crainte, peut espérer vivre en bonne santé et sans souffrance, un monde où on ne croise pas des miséreux tous les trois pas et où l’on attend moins de huit heures pour se faire soigner aux urgences.
Je rêve d’un monde raisonnable où la pérennité de l’espèce et le bonheur priment sur l’argent, le profit et la croissance, un monde où ce putain de véhicule ne balance pas une fumée noire à l’odeur de liquide de refroidissement dans la tronche. Un monde où l’on pleure la mort de notre chère Terre au lieu d’aduler ses destructeurs.
Je rêve d’un monde réellement démocratique, où le peuple a le pouvoir et agit dans l’intérêt général au lieu d’agir dans l’intérêt de quelques uns, un monde où l’altruisme est la première vertu requise pour avoir le droit d’entrer dans la politique, si tant est que ce concept ne soit pas obsolète par nature.
Un monde où l’épanouissement est un but absolu, un monde où chacun se demande comment il peut faire de demain un jour meilleur, un monde où le savoir et le partage de connaissances sont vus comme une chance absolue sinon un devoir.
Je rêve d’un monde où chacun croit en les faits et non en ce qu’il a envie de croire, un monde où l’on refuse de se raconter des mensonges sous prétexte que ça fait du bien, un monde où l’on regarde une belle et agréable réalité droit dans les yeux.
Je rêve d’un monde où chacun n’est pas résigné à vivre dans la médiocrité.
Et vous, osez-vous rêver à un monde meilleur, osez-vous essayer de tendre vers un idéal commun ?
![[Résolu] Des clients o2switch ciblés par un hack WordPress insidieux – MAJ : L’hébergeur traite cela de manière exemplaire](https://lrob-pro.bench.lrob.net/wp-content/uploads/2024/07/hack-de-sites-wordpress-chez-o2switch-et-autres.png)
![[TUTO] Sauvegarder un hébergement Plesk sur son NAS domestique](https://lrob-pro.bench.lrob.net/wp-content/uploads/2024/06/ftp-nas_backup_domestique.webp)
