Category: News

La version majeure 31.0.0 de Nextcloud est sortie ce 25 février 2025. Si les notes de version officielles sont cette fois-ci très courtes, les améliorations sont ne sont pas en reste !

Et l’alternative open-source aux géants du cloud ne déçoit pas ! Comme tous les 5 à 6 mois, Nextcloud continue d’innover pour offrir une expérience toujours plus agréable, rapide, fiable et sécurisée à ses utilisateurs.

Pour résumer le changelog impressionnant des 1991 changements de cette mise à jour, nous avons passé tout cela à la moulinette de l’IA, pour que vous n’ayez pas à le faire… ! Voici ce qu’il faut retenir.

Des performances accrues et une meilleure gestion des bases de données

L’un des grands points forts de cette version est l’optimisation de la gestion des bases de données et des performances générales du système. Parmi les principales améliorations :

• Optimisation de LDAP : La vérification des mots de passe LDAP a été revue pour réduire la charge CPU inutile ( server#35867).
• Prise en charge des sockets UNIX pour occ db:convert-type : Une fonctionnalité très attendue pour faciliter les migrations de bases de données ( server#39242).
• Corrections sur PostgreSQL : Amélioration de la gestion des permissions après la création d’une base de données ( server#38750).
• Meilleure gestion du sharding : Transparence accrue sur la gestion des données réparties sur plusieurs serveurs ( server#46639).

LRob contribue à la résolution d’un bug

LRob est fier d’avoir contribué à la correction d’un bug critique affectant la commande occ db:convert-type, apparu avec l’ajout du support PrimaryReadReplicaConnection. Ce bug empêchait la conversion correcte des bases de données, un problème important pour les entreprises et administrateurs gérant des environnements Nextcloud divers et variés et ayant, comme LRob besoin de convertir des bases de données lors de migrations.

✅ Suite à l’intervention de LRob, le ticket a été relancé et la correction intégrée dans cette version. Voir le ticket GitHub #45257.

L’un de nos clients pourra ainsi passer de PostgreSQL à MariaDB en toute sécurité grâce à cette mise à jour.

Une amélioration de l’expérience utilisateur

Nextcloud 31 ne se contente pas d’améliorer les performances : cette version apporte aussi de nombreuses améliorations UX qui rendent l’utilisation plus intuitive et agréable.

1. Une interface modernisée

• Migration progressive des pages vers Vue.js, pour un affichage plus fluide et réactif ( server#45652).
• Correction des problèmes d’affichage des menus et du sélecteur de fichiers ( server#47203).
• Alignement de l’interface avec le design Nextcloud 30 ( server#47248).

2. Une meilleure gestion du partage de fichiers

• Possibilité de configurer la longueur des tokens de partage ( server#47265).
• Amélioration des rappels pour les partages avec date d’expiration ( server#47412).
• Une nouvelle commande pour mettre à jour les re-partages en cas de suppression d’un utilisateur ( server#43025).

3. Des optimisations pour les administrateurs

• Ajout d’une commande occ user:welcome pour envoyer un email de bienvenue ( server#39611).
• Prise en charge du stockage APCu sans échec si la configuration n’est pas disponible ( server#46151).
• Options avancées pour la migration des fichiers chiffrés ( server#44555).

Une sécurité renforcée

Nextcloud 31 continue de renforcer la sécurité, un point crucial pour les entreprises et les utilisateurs soucieux de protéger leurs données.

• WebAuthn : Ajout d’une vérification utilisateur pour les défis WebAuthn ( server#47253).
• Gestion améliorée des tokens OAuth2 ( server#37761).
• Vérifications et logs améliorés pour détecter les transactions SQL lentes et optimiser les performances ( server#47510).
• Amélioration de la prise en charge des certificats SSL dans les environnements auto-hébergés ( server#48307).

Maintenez votre instance Nextcloud à jour en toute simplicité avec LRob

Nextcloud 31 apporte de nombreuses améliorations très utiles. Mais comme pour toute mise à jour, cela peut nécessiter des configurations et adaptations complexes. Chez LRob, nous prenons cela en charge pour vous ! Comme à chaque sortie majeure, nous prenons le temps de vérifier le bon fonctionnement de la version 31 avant de la déployer pour tous les clients dans les prochaines semaines. Sauf mention explicite, les mises à jour Nextcloud sont effectuées après 23h ou durant le week-end.

💡 Prêt à passer à Nextcloud 31 avec une instance sécurisée et optimisée ? Découvrez nos offres d’hébergement Nextcloud et bénéficiez d’un service fiable et performant avec un contrôle total sur vos données hébergées en Europe, et un support attentionné !

En tant qu’hébergeur WordPress sécurisé, j’ai eu le plaisir d’intervenir dans l’émission “Taffer Comment ?” de la chaîne MERCI BOBBY.

Le concept de l’émission

📌 Éclairer les parcours pro dans les métiers de la sécurité.
📌 Et pour ma partie, parler cybersécurité en autodidacte.

Mais aussi :

• Le quotidien d’une militaire dans l’armée de l’air.
• Celui d’une agente de sécurité.
• Les formations, les réalités du terrain… et les clichés (militaires, geeks… vrais ou faux ?).

Une vidéo enrichissante et accessible, réalisée par Olecio & MERCI BOBBY !
Merci à eux pour leur accueil et à Naïm Aouaichia pour la mise en relation.

J’espère avoir bien représenté notre discipline tout en restant clair pour le grand public. À vous de me dire !

L’essentiel de l’intervention LRob

“Tous les services en ligne sont attaqués tout le temps.”

Sébastien : “Robin, toi tu travailles dans la défense et sécurité, plus précisément dans la cybersécurité. On peut tout de suite voir les menaces ou fantasmes autour du hacking et autres, mais en vrai quel est ton métier ?”

Robin : “Certains des fantasmes sont vrais ! Il y a énormément de métiers en cybersécurité. Le mien, c’est l’hébergement web. Et je travaille donc surtout en défense, cybersécurité, donc j’applique toutes les meilleures pratiques pour m’assurer que les systèmes sont sécurisés. J’ai rejoint un programme de reporting des attaquants (AbuseIPDB) et je report à peu près 1000 attaquants par jour.

Sébastien : “Quel est le but de ces gens qui attaquent 1000 fois par jour des sites… ?”

Robin : “En fait… Tous les services hébergés en ligne sont attaqués tout le temps. Les attaques ciblées sont rares, ce sont plutôt des robots qui attaquent tout. Donc si tu as une adresse email, ou même un serveur email sans adresse, les pirates vont essayer tous les mots de passe sur toutes les adresses possibles. Si tu as un site internet, les pirates vont tenter de s’y connecter (ou infiltrer), de même pour un serveur de fichiers… Bref, tous les services en ligne sont attaqués tout le temps.”

Sébastien : “Du coup, quels sont les risques ? Car tu dis que tu te défends contre, donc souvent, tu gagnes j’imagine, mais les fois où on perd, quel est le risque ?”

Robin : “Le but c’est de ne pas perdre, justement ! Les buts sont souvent financiers… Ils cherchent à contrôler des sites internet pour rediriger vers d’autres sites frauduleux; envoyer des emails de fishing (arnaques, faux emails)… Si ta boîte mail est piratée, ils se fichent généralement de son contenu : les pirates vont envoyer massivement du spam, du fishing, et tu deviens un vecteur d’attaques. Il y a des menaces constantes sur tout ce qui est hébergé en ligne, il y a des attaques permanentes, c’est un fait. Donc l’enjeu de la cybersécurité, c’est d’être prêt de se protéger de ces attaques, de savoir les bloquer. Si demain tu as un site internet, tu peux choisir de travailler avec moi et de le mettre sur mes serveurs, sur l’infrastructure LRob. Mon rôle est de sécuriser l’infrastructure le plus possible et de te fournir les outils pour sécuriser encore davantage ton site internet en lui-même.”

La vidéo complète originale

Vous souhaitez un hébergement sécurisé et rapide avec un support spécialisé WordPress ?

En tant qu’hébergeur spécialiste WordPress et webmaster spécialiste WordPress, j’interviens régulièrement sur des sites multilingues avec traduction automatique. Pour cela, j’utilise généralement TranslatePress Developer edition, avec l’API DeepL pour opérer cette traduction. Le problème ? Tout traduire d’un coup n’est pas possible nativement. Alors il a fallu trouver une solution. Découvrez cette solution et gagnez des heures !

Problème : La traduction du site complet en une fois n’est pas possible.

Avec TranslatePress, la traduction du contenu de vos pages et articles et surtout de leurs URLs (disponible uniquement en version payante) n’intervient qu’une fois que quelqu’un a visité la page.

Or on voudrait que toutes les URLs soient à jour, pour éviter qu’elles ne changent pour Google et génèrent des redirections 301, voire pire, des erreurs 404.

Sur les petits sites, on peut visiter chaque page et article dans chaque langue.

Pour un site qui a des centaines de pages et articles, tout visiter à la main prendrait des heures.

Alors comment faire ?

Solution : Visiter tout le sitemap automatiquement !

La solution est la suivante : Créer un script qui visite toutes les pages de votre site, en s’appuyant sur son SiteMap.

Ensuite vous devez avoir un terminal supportant BASH. Sous Linux et Mac, c’est natif. Sous Windows, il est possible que le powershell supporte BASH, mais alternativement, je vous conseillerais plutôt d’installer WSL. Si vous avez accès SSH à un serveur Linux, cela fonctionne évidemment parfaitement.

Le script

Pour gagner du temps, je me suis aidé de ChatGPT pour faire le script suivant. Celui-ci va récursivement visiter toutes les URLs de votre sitemap.xml via curl.

Vous pouvez appeler ce script par exemple “sitemap_visitor.sh”, le rendre exécutable (chmod +x sitemap_visitor.sh), puis l’exécuter avec votre sitemap.

Les deux arguments à indiquer sont :

1. L’URL de votre site
2. La durée d’attente entre chaque requête (vous pouvez mettre 0 si vous avez confiance en votre serveur, et en votre consommation d’API de traduction)

Par exemple :

./sitemap_visitor.sh https://wwww.votresite.fr/sitemap_index.xml 1

Le script :

#!/bin/bash

sitemap_url="$1"
delay="$2"
declare -A visited_sitemaps  # Declare an associative array to track visited sitemaps

# Function to visit all URLs in a sitemap
visit_sitemap_urls() {
  local current_sitemap="$1"

  # Check if the sitemap has already been visited
  if [[ ${visited_sitemaps["$current_sitemap"]} ]]; then
    echo "Skipping already visited sitemap: $current_sitemap"
    return
  fi

  # Mark the current sitemap as visited
  visited_sitemaps["$current_sitemap"]=1

  # Fetch the sitemap
  echo "Fetching sitemap from: $current_sitemap"
  sitemap_content=$(curl -s -L "$current_sitemap")  # Added -L to follow redirects

  if [[ -z "$sitemap_content" ]]; then
    echo "Failed to fetch sitemap. Skipping."
    return
  fi

  # Extract URLs from the sitemap using grep and sed
  urls=$(echo "$sitemap_content" | grep -oP '(?<=<loc>).*?(?=</loc>)')

  if [[ -z "$urls" ]]; then
    echo "No URLs found in the sitemap. Skipping."
    return
  fi

  echo "Found $(echo "$urls" | wc -l) URLs in the sitemap."

  # Visit each URL
  while read -r url; do
    echo "Visiting: $url"
    response_code=$(curl -o /dev/null -s -w "%{http_code}" -L "$url")  # Added -L here too

    if [[ "$response_code" == "200" ]]; then
      echo "Successfully visited: $url"
    else
      echo "Failed to visit $url: HTTP $response_code"
    fi

    # Respectful crawling: wait between requests
    sleep "$delay"

    # Check if the URL is another sitemap
    if [[ "$url" == *.xml ]]; then
      echo "Found nested sitemap: $url"
      visit_sitemap_urls "$url"
    fi
  done <<< "$urls"
}

visit_sitemap_urls "$sitemap_url"

Vous avez maintenant traduit votre site WordPress en entier !

J’espère que vous aurez gagné des heures grâce à cette astuce !

Pour un site d’une centaine de pages, et 5 langues additionnelles, cela m’a coûté un peu moins de 20€ d’API DeepL (+4.99€ d’abonnement). Votre expérience peut varier, alors pensez bien à définir des plafonds, que ce soit dans TranslatePress ou DeepL.

PS : Cette solution permet également de mettre en cache l’intégralité de votre site après un vidage de celui-ci. 😜

Vous cherchez un hébergeur compétent et impliqué dans WordPress ?
Ou un Webmaster ?

Les équipes de WordFence (un plugin de sécurité WordPress) nous ont remonté une faille de sécurité CVE-2024-12365, de criticité CVSS 8.5/10.

Qu’est-ce que W3 Total Cache ?

W3 Total Cache est un plugin de cache sérieux, performant et hautement personnalisable, que nous recommandons chaudement. Utilisé par plus d’un million de sites, il se distingue par sa fiabilité, ses nombreux paramétrages et le support du cache Redis.

Quel est le risque de cette faille ?

Le plugin W3 Total Cache pour WordPress présente une vulnérabilité d’accès non autorisé aux données en raison de l’absence de vérification des capacités dans la fonction is_w3tc_admin_page dans toutes les versions jusqu’à, et y compris, la version 2.8.1. Cette vulnérabilité permet à des attaquants authentifiés, disposant d’un accès au niveau Abonné ou supérieur, d’obtenir la valeur nonce du plugin et d’exécuter des actions non autorisées. Cela peut entraîner :

• Divulgation d’informations : Les attaquants peuvent accéder à des données sensibles.
• Consommation des limites du plan de service : Une surcharge des ressources peut entraîner des interruptions de service et des coûts accrus.
• Requêtes web vers des emplacements arbitraires : Les attaquants peuvent inciter l’application web à effectuer des requêtes vers des services internes, y compris la récupération de métadonnées d’instance dans des environnements basés sur le cloud.

Ces actions exploitent la vulnérabilité pour compromettre la confidentialité, les ressources et les services internes des applications concernées. En somme, cela peut permettre le piratage d’un site web.

Quelle est l’ampleur de l’impact ?

Plus de 1 millions de sites touchés, dont quelques dizaines de sites hébergés chez LRob.

Quelles sont les versions touchées ?

Toutes les versions inférieures ou égales à 2.8.1 sont touchées. La première version patchée est la 2.8.2.

Comment LRob a géré le souci ?

90% des sites impactés sont en mise à jour automatiques faites directement par le serveur web, ce qui signifie que les sites été sécurisés automatiquement sous 24h après la mise à disposition du patch.

La faille ayant été révélée le 15 Janvier, nous en avons été alertés le jour même dans l’après-midi et avons fait la mise à jour manuellement pour les sites en mise à jour manuelle le 17 Janvier au matin.

Cela n’a donc eu aucune incidence négative chez LRob.

Pour bénéficier de cette attention privilégiée pour votre site WordPress,
hébergez votre site chez LRob !

Si j’ai commencé à entreprendre en 2010, c’est en Septembre 2023 que j’ai décidé de me consacrer pleinement à mon entreprise du web, axée sur l’hébergement, la maintenance et la création spécialisée explicitement sur WordPress. L’année 2024 est donc la première année complète pour le “LRob” que vous connaissez aujourd’hui. Alors, qu’en est-il du bilan ? Spoiler : Les résultats sont très encourageants !

Comme tous les 6 mois, Nextcloud vient de sortir sa nouvelle version majeure. Les notes de mises à jour officielles sont assez limitées et personne n’a envie de lire le changelog complet… Avec 2.363 changements cumulés sur Nextcloud 30.0.0 et 30.0.1.

Correctifs, nouveautés, améliorations, mises à jour de dépendances, etc. Tout cela est assez complexe à analyser et résumer. Heureusement, ChatGPT peut nous résumer et mettre tout ça en forme (plus de 2.400 lignes de texte et 172.879 caractères).

Alors pour gagner des heures dans votre vie, voici le résumé ChatGPT de ce qu’il faut retenir des changelogs Nextcloud 30 :

1. Mises à jour du système et de la base de données :
   • PHP 8.0 n’est plus supporté, tandis que PHP 8.1 est obsolète mais toujours utilisable.
   • Le support pour MariaDB 10.3 et 10.5 et PostgreSQL 9.4 ont été retirés.
2. Améliorations de la configuration :
   • De nouveaux paramètres dans le fichier de configuration ont été introduits, et certains sont dépréciés :
     • L’option blacklisted_files est remplacée par forbidden_filenames.
     • De nouvelles options comme forbidden_filename_basenames et forbidden_filename_extensions permettent de mieux contrôler les noms de fichiers et extensions bloqués.
   • Amélioration de la gestion des images WebP dans la configuration des serveurs web.
3. Gestion des fichiers et des dossiers :
   • Les utilisateurs peuvent désormais voir l’emplacement d’origine des fichiers supprimés dans la corbeille, et certains attributs de fichiers/dossiers sont hérités pour préserver l’état de partage.
   • Amélioration des aperçus de fichiers : les aperçus pour les PDF utilisent désormais le nouveau fournisseur ImaginaryPDF.
4. Performances et optimisation :
   • Plusieurs améliorations de performance, notamment le chargement différé de certaines fonctionnalités comme la génération des métadonnées, et une meilleure gestion des tâches cron pour réduire la charge du serveur.
   • Amélioration du tri et des fonctions de glisser-déposer dans la gestion des fichiers, avec un meilleur support pour les fichiers cachés.
5. Sécurité et gestion des utilisateurs :
   • Introduction d’une API de traitement des tâches pour gérer plus efficacement les tâches en arrière-plan.
   • Nouvelles fonctionnalités de sécurité, comme un contrôle plus strict des CSRF, une meilleure gestion des mots de passe pour les partages de fichiers, et un nettoyage automatique des mots de passe d’applications inutilisés.
   • Améliorations pour LDAP, avec une meilleure synchronisation des utilisateurs et groupes, et un journalisation améliorée des connexions LDAP.
6. Interface utilisateur et personnalisation :
   • Améliorations de l’interface utilisateur, avec une séparation des couleurs primaires et de fond pour un menu d’en-tête plus propre, et des améliorations dans les couleurs de l’interface.
   • Introduction de Vue.js pour plusieurs dialogues, remplaçant les anciens composants de jQuery UI pour une meilleure expérience utilisateur.
   • Mises à jour du tableau de bord avec des améliorations de la mise en page et des API pour plus de personnalisation.
7. Collaboration et partage améliorés :
   • Nouvelles options pour les demandes de fichiers, permettant de solliciter des fichiers de la part d’autres utilisateurs plus facilement.
   • Améliorations diverses des capacités de partage, incluant une gestion améliorée des dates d’expiration pour les partages publics et des options de protection par mot de passe.
8. Corrections de bogues et divers :
   • Corrections liées à la gestion des sessions, à la gestion des erreurs, et à l’intégration LDAP.
   • Améliorations dans la gestion de certains types de fichiers, la synchronisation des calendriers, et les notifications utilisateurs.

Ces changements mettent l’accent sur la performance, la sécurité, et l’amélioration de l’expérience utilisateur, tant dans les paramètres d’administration que dans la gestion quotidienne des fichiers.

Mise à jour pour les clients Nextcloud chez LRob

La version 30 de Nextcloud entre en phase de test de notre côté pour prévoir le déploiement plus large à tous les clients.

Si tout fonctionne bien, alors la mise à jour sera effectuée pour les clients bénéficiant d’un hébergement Nextcloud avec mises à jour incluses chez LRob dans le week-end du 2 et 3 novembre.

Bon travail collaboratif à tous !

Le conflit entre Matt Mullenweg, fondateur de WordPress et WP Engine continue de secouer la communauté WordPress. Le dernier développement dans cette affaire concerne un plugin majeur de l’écosystème : Advanced Custom Fields (ACF). Depuis le 12 octobre 2024, ACF a été entièrement remplacé sur le répertoire officiel de WordPress.org par Secure Custom Fields (SCF), un fork mis en place par l’équipe de sécurité de WordPress.

L’annonce officielle a été faite via un billet de blog sur WordPress.org. Voici ce qu’il faut retenir.

La réaction de l’équipe ACF

Face à ce changement, l’équipe ACF a exprimé sa déception et son inquiétude dans un article publié sur leur blog officiel. Ils dénoncent une décision qu’ils jugent unilatérale et qui, selon eux, va à l’encontre des principes de l’open source. Depuis leur intégration à WP Engine, ils ont continuellement travaillé sur le développement d’ACF avec plus de 200 000 lignes de code et de nombreuses améliorations, tant sur le plan fonctionnel que sécuritaire.

Voici ce qu’ils déclarent dans leur billet :

« Nous sommes consternés par les actions de Matt Mullenweg, qui a unilatéralement et sans notre consentement pris le contrôle du plugin Advanced Custom Fields, un outil que nous développons activement pour la communauté WordPress depuis 2011. »

Extrait traduit du post original sur le blog ACF

L’équipe ACF indique que les utilisateurs d’ACF Pro ou ceux hébergés sur WP Engine et Flywheel ne sont pas concernés par ce changement et continueront de recevoir les mises à jour directement via WP Engine. En revanche, ceux utilisant la version gratuite d’ACF sur d’autres hébergements doivent télécharger manuellement la version 6.3.8 d’ACF depuis leur site pour continuer à bénéficier des mises à jour de leur côté.

ACF indique comment continuer d’utiliser sa propre version du plugin en cas d’utilisation de la version gratuite d’ACF chez un hébergeur autre qu’eux-même (WP Engine).

Il joue enfin la carte de la fidélité sur son site avec un encart spécial sur l’accueil :

« Vous faites confiance à ACF depuis plus de dix ans. Les experts qui maintiennent ACF continueront à soutenir et à améliorer les fonctionnalités que nos utilisateurs apprécient et en lesquelles ils ont confiance. »

WP Engine bannis de WordPress.org

On le rappelle, WP Engine est totalement banni de WordPress.org, ce qui signifie que leurs autres plugins ne peuvent plus être maintenus.

On pense notamment à Better Search Replace (1+ million installations actives), ou à PHP Compatibility Checker (200 000+ installations actives).

Néanmoins ces plugins sont moins essentiels qu’ACF et peuvent être remplacés par Update URLs et Query Monitor pour ne citer qu’eux.

Un décret du 30 Mai 2024 fixe depuis le 1er Juillet l’augmentation des cotisations pour 2025 pour les BNC (et Cipav). Pour une meilleure protection sociale. Auto-entrepreneurs (et EI) : préparez-vous.

Comme indiqué dans cette première actualité :

Cela concerne les auto-entrepreneurs affiliés au régime général de la Sécurité sociale et déclarant leur chiffre d’affaires dans la catégorie des BNC. Il s’agit de garantir leurs droits à la retraite complémentaire.

Source : autoentrepreneur.urssaf.fr

Cela recoupe l’information du 10 juillet sur le site officiel.

Résumé des hausses

🟢 2024, du 1er juillet au 31 décembre 2024 : 23,1 %
📈 2025, du 1er janvier au 31 décembre 2025 : 24,6 %
📈 2026, à compter du 1er janvier 2026 : 26,1 %

Pourquoi le taux augmente-t-il ?

L’URSSAF explique dans le mail :

“Votre taux augmente pour vous permettre d’acquérir des droits à la retraite complémentaire des travailleurs indépendants et de bénéficier ainsi d’une protection sociale renforcée.”

Et sur le site :

“La retraite complémentaire constitue un complément essentiel à la retraite de base. Grâce aux cotisations versées, les auto-entrepreneurs cumuleront désormais des points qui seront convertis en droits retraite le moment venu, assurant ainsi une meilleure sécurité financière à long terme.”

Adaptez-vous

💡 Pensez bien à :

• Adapter vos grilles de calcul de cotisations
• Prévoir si besoin l’adaptation de votre tarification
• Ré-évaluer la pertinence d’un passage en SARL/EURL et dérivés
• Ne pas vous laisser avoir par les éventuelles campagnes de phishing (faux emails vous demandant des infos personnelles ou vous redirigeant vers de faux sites) qui pourraient avoir lieu suite à cette annonce.

Conclusion

Ce n’est pas forcément la meilleure nouvelle pour la rentrée…

Mais voyons le côté positif :
Il reste une chance que l’on touche une retraite. 🤞
(si, si, on y croit…)

———–

Je suis Robin Labadie, hébergeur web spécialiste WordPress.

Vous cherchez le meilleur pour vos projets web :

En 2012, j’ai créé une communauté geek.

Je voulais l’héberger moi-même sur serveurs Linux. Car tout le monde sait qu’un serveur digne de ce nom est forcément sous Linux !

J’entrais sans le savoir dans ma véritable vocation : sysadmin 🌱

📷 Photo by Manon Laterza – 2012 – Je gère mes serveurs, mes amis jouent à la pétanque à côté. 😂

Le commencement

En 2012, on avait besoin : d’un site web (d’abord un forum), d’un serveur de voix et de serveurs de jeux.

Passionné d’informatique pure depuis 10 ans, j’ai été le seul parmi les 25 personnes à l’initiative du projet, à oser se coller sur cette partie technique, devenant de facto l’administrateur système principal de la communauté.

Il fallait donc apprendre énormément de choses d’un coup, en partant de rien :

• choisir un fournisseur de serveurs dédiés (à l’époque : online.net / Dedibox)
• installer et gérer un serveur Linux (ESXI + Debian) via un terminal headless (SSH)
• gérer les IP multiples (failover)
• choisir un registrar pour enregistrer et gérer un nom de domaine
• gérer une zone DNS
• gérer un firewall
• installer un serveur web (LAMP)
• créer des bases de données MySQL à la main, installer et utiliser phpMyAdmin
• gérer des fichiers de configuration système et CMS
• à gérer les droits et permissions sur un forum phpBB
• Et j’en oublie sûrement

Dans cette découverte, ma curiosité était insatiable. 😋

J’ai bossé jour et nuit jusqu’à ce que tout fonctionne ! Ça m’a pris 5 à 7 jours.🌛

J’ai appris bien plus dans ce court laps de temps qu’en un an de fac d’informatique (arrêtée pour me lancer en auto-entrepreneur en 2010 car je m’ennuyais des cours que je trouvais non pertinents).

Et ce n’était le début…

J’avais au final une VM (machine virtuelle) pour le serveur web, une VM pour le serveur voix, et une VM pour les serveurs de jeu. J’aurais pu regrouper les deux dernières, mais j’apprenais et je pensais au début qu’il valait mieux tout séparer au maximum, ce qui au final n’est pas plus mal quand on débute.

Pendant des années, j’ai exploré les multiples facettes des serveurs. Dont la programmation BASH, devenant second contributeur de LinuxGSM en m’investissant profondément dans le projet open-source.

Découverte de WordPress

En 2014 j’ai surtout découvert WordPress ! 😍

Je l’ignorais, mais WordPress allait devenir un élément central de ma vie professionnelle.

J’ai d’abord transitionné le site de la communauté d’un forum phpBB vers un site WordPress.

Devant la découverte de ce CMS génial, j’ai eu envie de faire mon site perso LRob dans la foulée, toujours en 2014. J’ai commencé à héberger et faire des sites pour des amis. Sans même avoir conscience qu’en fait, c’était un véritable métier de sysadmin, webmaster et hébergeur web.

Coup d’accélérateur

En 2016, j’ai mis un énorme coup de boost à la gestion serveur web.

Après des migrations serveur toujours plus propres, la création de mes propres outils et process, la mise en place manuelle de certificats SSL/TLS (pour HTTPS) et pas mal de temps à gérer WordPress, je me suis attaqué au maillon manquant !

Je me suis mis à faire mes premiers serveurs email à la main, en respectant toutes les normes possibles (rDNS, HELO, SPF, DKIM, DMARC). Et à découvrir les questions de délivrabilité vers Microsoft, difficiles la première fois qu’on déploie un serveur.

J’ai même crée une série de tutos sur les serveurs Linux, celle que j’aurais rêvé d’avoir quand j’ai débuté.
De quoi aider les administrateurs système Linux et Web en devenir.

2017 : de passionné à professionnel

Jusqu’à 2017, il faut dire ce qui est : ma situation pro était chaotique.

Très enrichissante, mais chaotique.

J’ai oscillé entre des prestations en tant qu’ingénieur son, du dépannage informatique en freelance, du tournage et montage vidéo, du support en télétravail (j’étais en avance sur mon temps 😎) et de l’intérim’ pour combler les manques. Mais à 27 ans, j’avais mon prêt étudiant à combler, je voulais améliorer mon niveau de vie et je devais donc stabiliser mes revenus.

Je me suis dit que mine de rien, je commençais à avoir des compétences en informatique valorisables en entreprise… Il y aurait bien une entreprise avec qui on peut mutuellement s’aider !

Et là, je crois que j’ai eu le coup de chance de ma vie.

Dès mon début de recherche d’emploi, j’ai découvert un hébergeur web orléanais : HaiSoft.

Quelle aubaine ! 🤩

C’est le seul à qui j’ai envoyé mon CV. Le seul avec qui j’ai passé un entretien. Et ce fut, je crois, le coup de foudre professionnel mutuel.

Ils ont reconnu en moi l’autodidacte passionné que j’étais. Ils m’ont invité à rejoindre l’équipe.
Cela marquait début d’une aventure géniale de presque 6 ans. 🤝

Pendant ces années, me suis professionnalisé tout en apportant mes idées et énergies fraîches pour perfectionner chaque aspect des services. 👌

HaiSoft mettait la barre très haut, mais rien n’est jamais parfait. 🏋️‍♂️

Dans une synergie exemplaire, on a résolu les problèmes récurrents, amélioré les documentations, boosté les performances, la sécurité, les mises à jour. On a enrichi l’offre et amélioré la communication. J’ai même eu la latitude de de gérer les baies serveurs ! 🎯

HaiSoft est un superbe modèle d’entreprise IT, le meilleur selon moi. 🤩

La parole de chacun est écoutée, la hiérarchie est amicale, transparente et accessible.
Quiconque peut proposer et mettre en place des améliorations.
L’implication et l’engagement du salarié deviennent naturels.

C’est d’ailleurs grâce à cette ouverture qu’à l’époque, étant le plus fervent utilisateur de WordPress, je suis naturellement devenu, sans que cela ne soit vraiment acté, le référent support WordPress. J’ai pu pousser des services et prestations spécifiques pour WordPress et former toute l’équipe à ces tâches.

Les humains derrière tout ça sont géniaux ! 🤗

J’en profite pour remercier les membres de l’équipe, qui me sont encore chers à ce jour :

• Frédéric, pour être un patron exceptionnellement droit et soucieux
• Damien, pour ta vision d’ensemble toujours pertinente
• Benoît, pour être un éternel mentor, avec ta curiosité, rigueur et droiture consistante
• Dylan, pour avoir encore amélioré l’idéal de la relation client
• Arthur, pour être à l’écoute et relever les défis de développement
• Jérôme, pour la découverte d’un autre univers et les bonnes discussions

Merci pour tout ! 💖

👉 HaiSoft continue de briller par sa qualité grâce à tout ce petit monde, et les nouveaux. Chaque fois que j’ai des nouvelles d’eux, j’apprends la mise en place d’évolutions et solutions géniales.

Alors si mon expertise WordPress ne vous est pas utile : foncez chez eux !
Vous nous remercierez plus tard. 😉

🌐 Agence web

Les années passant, j’ai quand même voulu évoluer et ré-entreprendre.
Je me suis mis à faire plus de sites web, d’abord pour des amis, puis des pros… A proposer du webmastering WordPress.

Fin 2022, j’ai pris un risque calculé : quitter HaiSoft pour rejoindre une agence web et remettre d’aplomb leur parc d’hébergement. 🪛

On sait ce qu’on perd, mais jamais ce qu’on gagne. Alors j’ai préparé mon avenir d’indépendant.

Dans la courte transition entre les deux jobs, à la vitesse de l’éclair, j’ai déployé ma propre infrastructure de web hosting. ⚡

Puis, en quelques mois, j’ai rénové les serveurs de l’agence qui m’embauchait : amélioré les performances, la sécurité, les backups, simplifié la gestion, tout en réduisant drastiquement les coûts serveurs. 🔒

⏩ Tournant Freelance

Début 2023, grande surprise : départ en retraite de mes nouveaux patrons !

L’agence web dans laquelle je mettais en place mes plans à long terme a ainsi été vendue.

Au début, j’étais enthousiasmé par ce changement, ça ouvrait des portes fabuleuses.
Sauf que… La nouvelle hiérarchie bloquait tous les budgets des évolutions prévues. J’ai cru que c’était temporaire, mais en discutant avec la hiérarchie en direct, j’ai compris que ça ne mènerait à rien. 😅

L’équipe se sentait abandonnée, lésée. Certains parlaient de partir. L’ambiance était extrêmement négative et pesante. Je ne pouvais plus faire mon travail correctement et certaines urgences ne pouvaient pas être traitées. Si auparavant j’étais fier du travail accompli et en route, désormais je ne voulais surtout plus mettre mon nom sur le désastre que je voyais se tramer devant nous.

Mon temps méritait mieux que ça ! ⌚

Parallèlement, mon activité de freelance commençait à décoller alors même que je ne faisais rien d’autre que d’en parler un peu autour de moi. Me lancer dans cette tâche à fond ne pouvait que marcher !

Alors, j’ai franchi le cap :

• Poser ma démission le premier (d’autres ont ensuite suivi)
• Passer en 100% freelance ! 🚀

Sûrement la meilleure décision de ma vie !

Non-seulement j’arrive à en vivre confortablement, mais j’éprouve une satisfaction que je n’aurais jamais oser imaginer !

J’ai l’infrastructure d’hébergement rêvée : la plus belle, fiable et sécurisée.

Et j’ai surtout le bonheur d’accompagner chaque jour des clients exceptionnels. 💘

👉 Pour réussir avec WordPress découvrez mes hébergements WordPress !

PS: Merci Enzo Deniau pour avoir inspiré ce post par tes questions.

Article enrichi depuis mon post LinkedIn.

Identification & causes : tout ce qu’il faut savoir 👇

La semaine dernière, je révélais sur LinkedIn un piratage à priori répandu chez les possesseurs de sites WordPress hébergés chez o2switch. En qualité d’expert sécurité WordPress et grâce à une investigation auprès de quelques confrères touchés et non touchés, nous avons pu en apprendre davantage.

📄 Mode opératoire du hack

Le hack redirige les utilisateurs mobile vers des sites frauduleux, notamment en rapport avec la guerre Ukraine/Russie via un URL shortener hébergé aux Emirats Arabes Unis.

Techniquement il consiste en une injection de code JavaScript obfusqué dans tous les posts WordPress du site. Il est donc chargé dans les pages et articles et parfois dans d’autres plugins comme les plugins de cookies, les plugins d’avis utilisateurs, etc.

Voici un aperçu du code pirate après dé-obfuscation, qui permet même sans parler ce langage de comprendre que l’action a lieu lors du clic et qu’une URL aléatoire est sélectionnée en fonction du “UserAgent”, c’est à dire du navigateur utilisé :

Jul-2024:213287:199.195.252.[HIDDEN] - - [27/Jul/2024:20:10:59 +0200] "POST /index.php?s=captcha HTTP/1.1" 200 102292 "https://www.[HIDDEN].fr/index.php?s=captcha" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MS-RTC LM 8; InfoPath.3; .NET4.0C; .NET4.0E) chromeframe/8.0.552.224"

🔍 Identification

• Le hack est parfois mal inséré dans les articles et s’affiche de manière textuelle dans le corps des pages au lieu de s’exécuter
• La plupart du temps il est invisible, vous pouvez vérifier si votre site est impacté en recherchant “_0x365b”, ou “0x3023”, ou “function _0x”, via l’inspecteur de votre console développeur à la visite du site, ou via une recherche dans phpMyAdmin
• Les antivirus Eset et Avast bloquent l’accès aux sites touchés
• Update 31/07/2024 – L’un des sites touchés ne se voit pas via la console développeur, il faut à la place utiliser l’outil en lignes de commandes “curl” pour observer le code malveillant. Il est possible que cela soit dû au cache du site.

Voici un exemple du code pirate tel que visible depuis la console développeur :

🌐 Répartition du hack

Grâce à une recherche du pattern du hack sur Google et Bing, j’ai trouvé de nombreux sites infectés. J’ai contacté l’ensemble des propriétaires des sites pour les alerter, leur conseiller de contacter leur prestataire et leur proposer mon aide si besoin.

• Sur 40 domaines impactés, trouvés en France et en Belgique, 2 seulement ne sont pas chez o2switch – update 30/07/2024 : Certains sites chez OVH, Hostinger et divers hébergeurs sont aussi touchés, mais plus rares pour le moment.
• D’autres fournisseurs de serveurs étrangers sont touchés mais j’en ai trouvé moins qu’en France.
• Cela laisse penser à une attaque ciblée des sites présents sur les IP o2switch, que le hacker aurait trouvé via des listes publiques qui référencent cela. Ce type d’attaques peut cibler n’importe quel hébergeur qui n’y peut strictement rien. C’est pour cela qu’il faut être pro-actif dans votre sécurité.

💡 Des causes toujours incertaines

Voici ce qu’on a pu voir et déduire en recoupant les infos entre confrères :

• Comme le hack est insidieux, beaucoup ne sont pas diagnostiqués et détectés rapidement, mais la plus ancienne occurrence semble avoir eu lieu en Mai – update 30/07/2024 potentiellement plutôt en Juillet
• Cela ne touche pas un plugin ou un thème spécifique
• Le plugin Tiger d’o2switch ne semble donc pas non-plus être la cause du problème, car des sites sans ce plugin sont touchés
• Les sites touchés semblent généralement moins entretenus que les autres, mais c’est le cas de la plupart des sites; et des sites assez bien suivis (peut-être pas assez) sont aussi touchés
• La faille exploitée a pu provenir du core de WordPress lorsque non mis à jour assez rapidement
• Il est possible que cela provienne de l’utilisation d’une version PHP obsolète définie par le gestionnaire de l’hébergement (client final)
• Il est possible que la présence d’une seconde instance WordPress (une instance de dev par exemple) dans l’hébergement, qui elle, ne serait pas à jour, puisse déteindre sur l’instance principale, par manque d’isolation (c’est le même hébergement, le même utilisateur système, les mêmes droits, et il ne semble pas y avoir de règle open_basedir pour restreindre le répertoire au niveau de PHP chez o2switch)
• Cela ne touche pas les clients d’un serveur spécifique d’o2switch, ils sont répartis sur de plusieurs serveurs mutualisés, et certains serveurs ne sont pas du tout touchés, laissant entendre un souci marginal (donc pas d’intrusion serveur ou hébergeur global)
• Il y a une minuscule probabilité pour qu’une intrusion ou une faille hébergeur plus globale aie eu lieu (par exemple une faille dans un paquet système qui permet le hack), mais nous n’avons aucun élément pour le vérifier et dans la mesure où o2switch n’a rien signalé, il est plus raisonnable de penser que le souci provient de l’applicatif final (WordPress) ou de la version de PHP utilisée par le client final.
• – Update 29/07/2024 Il est enfin possible qu’une faille du serveur web Apache aie été exploitée, soit lorsqu’elle n’était pas encore correctement corrigée, soit car o2switch a trop tardé à mettre à jour ses versions logicielles. Les dates semblent concorder pour les hacks les plus récents. Là encore aucune certitude sans une annonce officielle de l’hébergeur.
• – Update 31/07/2024 Des failles dans des sous-versions de PHP, notamment dans certaines révisions de PHP 8.0 pourraient expliquer le piratage. Cela concorde avec les requêtes observées pouvant causer un buffer overflow et permettre un injection de code. Si les sous-versions de PHP 8.0 de l’hébergeur ne sont pas à jour, cela explique la possibilité du hack. Quoi qu’il en soit, le client est fautif si c’est la cause, car on rappelle que PHP 8.0 est dans tous les cas obsolète et ne devrait plus du tout être utilisé. Il n’est d’ailleurs plus disponible à la sélection sur les hébergements LRob.
• Aucun hack à déplorer sur les hébergements LRob.

🔨 Réparation du hack

La réparation consiste à nettoyer la base de données en effaçant les lignes correspondant au pattern du hack. Avant toute opération, sauvegardez votre base de données. Les fichiers des sites web ne semblent pas impactés sur ce hack, mais une vérification manuelle complète est toujours recommandée comme pour tout hack. Pensez aussi à vider les différents caches pour que le code malveillant en soit également retiré.

Besoin d’aide pour réparer vos sites et rester sécurisé à l’avenir ? Découvrez mes services de réparation et sécurisation WordPress ainsi que mes hébergements WordPress sécurisés.

Si vous avez plus d’infos, partagez-les en commentaires ou MP !

Littéralement des milliards des périphériques vont en profiter ! 🥹

❓Qu’est-ce que le kernel ?

C’est le code le plus primordial : Il permet en résumé au système d’exploitation de parler aux composants d’un périphérique, il gère les fonctions les plus élémentaires comme la lecture/écriture des données sur le disque, l’exécution des programmes, etc.

ℹ️ Quels périphériques sont concernés ?

Quand on parle de “périphériques”, c’est très large.

Le kernel Linux est présent sur les serveurs web (90 à 99% du marché), les smartphones Android (85% du marché), et les quelques millions d’ordinateurs ayant installé un OS GNU/Linux (2 à 4%) !

Sans compter les box et divers objets connectés tournant avec Linux.

Mac OS et iOS utilisent également une partie de Linux. En gros, seuls les ordinateurs de bureau Windows ne sont pas concernés du tout.

Le tout fait vraiment des milliards de périphériques concernés, sans exagérer. 🤪

Ce grâce à son créateur Linus Torvalds qui maintient toujours le code.

❓ Quel est le problème spécifique corrigé ici ?

👉 J’ai relevé une anomalie sur les PC portables de la marque LG, série Gram sous Linux, soulevant un problème kernel potentiel.

Le problème : Un process système qui utilise plus de ressources qu’attendu (et cause de la chauffe et consommation d’énergie inutile) lorsque le périphérique est en charge relié à un dock.

1) Découverte du bug

Fin 2022, je découvrais le problème et le fait que je n’étais pas seul : La communauté Ubuntu commençait à en parler. https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1987829
J’ai reproduit le problème sous Ubuntu et Fedora qui sont des distributions assez différentes, indiquant que le souci ne venait pas de l’OS mais plutôt de Linux.

2) Compréhension initiale du bug

Février 2023, le souci commençait à se préciser, on avait assez d’éléments pour penser que ça venait du kernel et que le souci n’était pas encore corrigé, même sur les dernières versions.
J’ai alors crée un compte sur kernel.org et ouvert cette issue pour essayer de prévenir les bonnes personnes : https://bugzilla.kernel.org/show_bug.cgi?id=217076

Je n’étais pas sûr de moi à ce moment là, car c’était la première fois, mais il faut croire que j’ai bien fait les choses.

3) Compréhension poussée et résolution du bug

Ce qui se passe ensuite me dépasse totalement, ça parle de Dev Kernel Linux ultra poussé… Certaines personnes font des hypothèses, les testent, comprennent précisément le souci, proposent un hotfix à tester. Et certains confirment la résolution du bug. Tout ça prend presque un an et demi.

4) Publication du correctif

Le code correctif est ensuite proposé et accepté dans le kernel pour que tout le monde en profite. C’est ce qui est précisément en cours désormais : https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=9e3caa9dd51b23e232f095a98336a84f42e4a7f2

Et maintenant ?

Dans les deux prochaines semaines, le monde entier bénéficiera du correctif.
L’idée d’avoir pu impacter des milliards de périphériques donne le vertige ! 🥵

Ça a pris du temps, demandé des compétences extrêmement spécifiques, mais le résultat est là. 🍾

C’est beau l’open-source ! 😍