Shop & Support

LRob.fr

Author: Robin Labadie

  • Hébergement en Allemagne avec Hetzner : Écoresponsabilité, Interconnexion et Confidentialité

    Hébergement en Allemagne avec Hetzner : Écoresponsabilité, Interconnexion et Confidentialité

    Dans le monde de l’hébergement web, les préoccupations écologiques et de confidentialité sont primordiales. Certaines idées reçues peuvent freiner le choix d’un hébergeur, notamment en Allemagne. Cet article vise à démonter ces préjugés, en mettant en lumière l’excellence de Hetzner, mon partenaire d’hébergement allemand, en matière d’écoresponsabilité, d’interconnexion et de confidentialité. C’est sur cette base fiable que je peux proposer des hébergements réellement écologiques.

    Écoresponsabilité : Au-delà du Greenwashing

    🌿 Hetzner, un acteur clé de l’hébergement en Allemagne et en Europe, s’engage activement dans la préservation de l’environnement. Contrairement aux accusations de greenwashing souvent portées contre des entreprises de ce secteur, Hetzner prouve son engagement écoresponsable en utilisant exclusivement de l’énergie verte, fournie par Energiedienst AG, une entreprise spécialisée dans les énergies renouvelables telles que l’éolien et l’hydroélectrique. Mais pas seulement.

    Datacenter Hetzner – Falkenstein

    Les bâtiments en dents de scie guident l’air chaud sur les pointes, favorisant la ventilation naturelle et augmentant encore l’efficacité. Cela couplé à une localisation fraîche permet d’obtenir l’un des meilleurs PUE d’Europe : 1.13. En sachant qu’un score parfait serait de 1.0 (ce qui est impossible car le rendement parfait n’est pas de ce monde). Là où la France voit encore des PUE à 1.4 sans énergie verte.

    Architecture de Serveurs Innovante

    📉 Hetzner révolutionne également l’architecture de ses serveurs. En optant pour une conception personnalisée sans châssis, l’entreprise réalise des économies de matières premières, améliore la ventilation (surpassant ainsi les serveurs traditionnels comme ceux de Dell), et réduit les coûts globaux. Cette innovation se traduit par une meilleure efficacité énergétique, la possibilité de fonctionner à des températures plus élevées (réduisant ainsi le besoin de climatisation) et la facilité d’upgrade et de réutilisation des composants.

    En optimisant sa conception, Hetzner permet de meilleurs tarifs tout en préservant tant que possible notre chère planète.

    Fiabilité et Performance en Pratique

    ⏩⏩ L’efficacité des serveurs custom de Hetzner ne se limite pas à leur conception. C’est dans les situations difficiles que l’on doit pouvoir compter su run hébergeur. Hetzner réussit cela aussi et peut par exemple remplacer un disque dur défectueux dans son datacenter en seulement 15 minutes – une rapidité inégalée comparée à d’autres fournisseurs.

    Un Support Client Exemplaire

    🤝 Le support client chez Hetzner est non seulement compétent mais aussi efficace, reflétant la fiabilité globale de leurs services. Cette excellence opérationnelle se traduit par une demande minimale d’intervention de support.

    Interconnexion Optimale

    🌍 Hetzner assure une interconnexion impeccable avec la France, grâce à un peering direct avec France-IX Paris qui gère des pics de 2.5TBit/s. Le peering d’Hetzner est de 100Gbit/s sur France-IX paris, qui a l’impressionnant taux de 99.9997% d’accessibilité sur l’année passée.

    On note 5 à 10ms de latence toutefois dû à la distance. Dans la pratique avec HTTP/2 (et 3) l’impact est de l’ordre de la marge d’erreur et les performances supérieures des machines compensent largement cette micro perte avec des vitesses de chargement entre 2 et 4x plus rapides que de nombreux serveurs français.

    Performances Réseau en Pratique

    En pratique, les principaux fournisseurs d’accès français tels qu’Orange, SFR et OVH saturent un lien gigabit avec Hetzner sans souci. Free, le pire élève de l’interconnexion selon mon expérience générale avec eux, atteint quand même le Gigabit en burst puis oscille entre 100 et 250Mbit/s) à cause de ses règles QoS très conservatrices (pour ne pas dire radines). Pour Bouygues je sais qu’on sature un lien 5G sans problème, mais je n’ai pas encore eu l’occasion de tester le lien en fibre ; leur interconnexion étant généralement parmi les bons élèves, j’imagine que l’on sature donc un lien gigabit également.

    Sécurité et Confidentialité au Niveau Européen

    ⚖️ L’Allemagne, tout comme la France, est soumise aux strictes réglementations européennes en matière de confidentialité. Hetzner respecte la norme DIN ISO/IEC 27001, garantissant un haut niveau de sécurité et de confidentialité des données. Avec le cloud Hetzner sur serveur dédié, les clients ont l’assurance de savoir où sont stockées leurs données.

    Un Choix Avantageux et Fiable

    ✅ Hetzner se distingue non seulement par son engagement envers l’écoresponsabilité, la fiabilité et la sécurité, mais aussi par sa compétitivité tarifaire. Il représente un choix d’hébergement avantageux, surpassant de nombreuses offres françaises en termes de qualité et de performance.

    Pour en profiter

    Profitez d’un hébergement sur l’un de mes serveurs Hetzner infogéré et monitoré en 24/7.

    Hébergement d’un site
    Hébergement WordPress Webmasterisé
    Hébergement de plusieurs sites
    Cloud privé Nextcloud infogéré
  • Pourquoi WordPress domine le web ?

    Pourquoi WordPress domine le web ?

    Quand un produit sort du lot au point d’exploser toute la concurrence comme WordPress, c’est souvent par une force de frappe marketing, parfois par chance. Mais WordPress est loin d’avoir volé sa place et voici pourquoi.

    Open-source

    La nature open-source de WordPress a joué en sa faveur. Le projet a séduit la communauté et comme le code est ouvert à tous, l’une des plus une vastes communautés de développeurs s’est formée et contribue à son amélioration continue. Cela permet non seulement des mises à jour régulières et des améliorations de fonctionnalités, mais créé également un riche écosystème de thèmes et plugins gratuits et payants. Les utilisateurs peuvent ainsi personnaliser leurs sites à l’infini, répondant à presque tous les besoins spécifiques en accord avec leur budget. On peut ainsi réussir à faire des sites exceptionnels sans acheter le moindre module payant, tout en ayant confiance en le code de WordPress car celui-ci est révisé par une large communauté.

    Facile d’utilisation

    WordPress offre une interface intuitive qui permet même aux débutants de créer et de gérer des sites web sans connaissances techniques approfondies. Si la maintenance sécurisée et l’utilisation poussée demandent une intervention professionnelle, la gestion de base de WordPress reste très accessible pour tous. Cela ouvre la porte à un large éventail d’utilisateurs, des blogueurs individuels aux petites entreprises, en passant par les grandes entreprises.

    Une communauté extraordinaire

    La communauté mondiale de WordPress est un atout majeur. Elle offre une source d’informations et un support infini aux utilisateurs à travers des forums, des groupes, des blogs éducatifs, des chaînes YouTube et des rencontres. Cette communauté dynamique favorise l’échange de connaissances et d’expériences, rendant l’apprentissage et la résolution de problèmes plus accessibles pour tous.

    Robuste et versatile

    La robustesse et la versatilité de WordPress le rendent adapté à une grande variété de projets web. Des blogs personnels aux sites d’e-commerce complexes, WordPress peut gérer divers types de sites, ce qui le rend attrayant pour un large spectre d’utilisateurs.

    La domination de WordPress sur le marché du web n’est pas le fruit du hasard. Elle est le résultat d’une combinaison de facilité d’utilisation, d’ouverture, de flexibilité, d’évolutivité et d’un soutien communautaire exceptionnel. WordPress se démarque également en vous laissant propriétaire de votre site internet qui peut alors être accueilli par tout hébergeur web.

    Ensemble, ces éléments ont créé une plateforme qui non seulement répond aux besoins actuels des utilisateurs web, mais évolue constamment pour anticiper et intégrer les tendances futures du monde numérique.

    Vous souhaitez un hébergement sécurité avec support d’expert WordPress ? C’est par ici !

  • Nouvelle année, nouvelle ère : Bienvenue sur le Portail LRob ! 🎉

    Nouvelle année, nouvelle ère : Bienvenue sur le Portail LRob ! 🎉

    L’année nouvelle amène son lot de renouveau et je suis ravi d’annoncer une innovation qui va révolutionner votre expérience avec nous : le lancement du Portail LRob. Cette plateforme est votre nouveau point de contact pour une gestion simplifiée et efficace de tous vos abonnements et besoins de support.

    Commandez en Toute Simplicité

    La souscription à mes services annuels, tels que l’hébergement et le webmastering, n’a jamais été aussi simple. Avec le Portail LRob, vous pouvez désormais commander directement en ligne, en quelques clics seulement. Le paiement par carte bancaire ajoute une couche supplémentaire de facilité. Plus besoin de devis ou de virements manuels pour activer ou renouveler vos services.

    Étalez vos Paiements Mensuellement

    Pour offrir une flexibilité financière accrue, le Portail LRob propose désormais l’option de paiements mensuels pour nos services. Cette approche facilite votre gestion budgétaire en permettant de répartir le coût des abonnements sur l’année. Idéale pour toutes tailles d’entreprises, cette option assure une meilleure planification financière tout en garantissant l’accès continu aux services de qualité LRob. Il faut noter que le règlement annuel demeure l’option la plus avantageuse en termes de coût total. V ous avez donc le choix entre la commodité du paiement mensuel et l’économie réalisée grâce à l’engagement annuel.

    Facturation Transparente et Automatisée

    Nous savons que la gestion des factures peut être un casse-tête. C’est pourquoi la boutique du portail LRob prend en charge la facturation de manière automatisée. Une fois votre commande passée ou à chaque renouvellement automatique, vous recevrez instantanément votre facture, garantissant ainsi une comptabilité sans faille. Retrouvez également toutes vos factures dans votre espace client.

    Un Support Client Réinventé

    La section support du Portail LRob marque un tournant dans l’approche de la relation client LRob. Le nombre de clients et de demandes de support augmentant, il faut absolument éviter que les demandes se perdent dans une mer d’emails. Notre système de tickets dédié rend le processus de demande d’assistance clair et structuré tout en assurant un meilleur suivi. Vous pouvez suivre l’évolution de votre requête en temps réel, ce qui permet une résolution rapide et efficace de vos demandes.

    De plus, cette innovation prépare le terrain pour l’intégration future d’une équipe support dédiée, reflétant notre engagement à améliorer continuellement la qualité des services et la satisfaction client.

    Le Portail LRob n’est pas seulement une plateforme ; c’est une promesse d’efficacité et d’innovation. En cette nouvelle année, je suis fier de vous offrir une expérience utilisateur améliorée et impatient de vous accompagner dans votre succès.

  • Emails : 6 astuces préventives pour ne jamais recevoir de spam

    Emails : 6 astuces préventives pour ne jamais recevoir de spam

    Qui a envie de passer ses journées à trier des centaines de spams dans sa boîte mail ? De risquer de recevoir des virus ou du phishing, ou des intimidations ?
    Pas vous ? Alors voici 6 moyens de vous protéger de cette perte de temps. Cela fait 5 ans que j’ai mis toutes ces astuces en place et je ne reçois plus aucun spam. Alors voici que faire pour éviter de recevoir des spams.

    1) N’affichez jamais votre adresse publiquement sur internet.

    Il peut être tentant d’afficher votre adresse email sur votre site internet ou sur les réseaux pour faciliter le contact.

    Mais les robots pirates sont à l’affût des adresses email affichées publiquement. Ils vont les récupérer pour les revendre sur le black market à des spammeurs et personnes mal intentionnées.

    Pour info, une liste de 100.000 adresse se vend pour seulement $15. Il faut utiliser la solution en point 2) à la place.

    2) Utilisez des formulaires de contact protégés.

    Comme vous n’afficherez pas votre email sur votre site, vous allez mettre en place un formulaire de contact qui enverra les messages sur votre adresse mail. Mais un robot est tout à fait capable de remplir un formulaire de contact, vous envoyant là aussi du spam.

    Tout formulaire de contact doit donc être protégé avec un système anti robots (Captcha).
    Certains robots arrivent à les contourner (et parfois des humains vont envoyer de la pub via votre formulaire), mais vous devriez en recevoir suffisamment peu pour pour vous focaliser sur les mails utiles.

    3) N’ayez jamais confiance lorsque vous donnez votre adresse email : Utilisez des alias de messagerie.

    Une sécurité à 100% n’existant pas, sur une durée suffisamment longue, tout site sur lequel vous êtes inscrit avec votre email sera théoriquement piraté. Que ce soit un site étatique, institutionnel, une grande entreprise : quasiment tous ont eu des fuites de données, et surtout les plus grands. Aussi, vos contacts peuvent être piratés individuellement, et leur carnet d’adresse récupéré.
    Donc la question n’est pas de savoir « si » mais « quand » votre adresse mail tombera entre de mauvaises mains.

    Vous pouvez vérifier si votre adresse mail a fuité dans une brèche de données ici : https://haveibeenpwned.com/

    Pour éviter de donner votre vraie adresse mail, seule l’utilisation d’alias peut vous sauver. Un alias email, c’est une adresse mail alternative que vous pouvez définir chez votre fournisseur de messagerie, et dont les mails tombent également dans votre boîte principale. Ainsi en cas de souci avec une adresse alias, il vous suffira de supprimer cet alias. Mais comment procéder ?

    D’abord, choisissez un prestataire qui, comme LRob permet de créer des alias de messagerie illimités. Et pas des alias dérivés de votre vraie adresse comme Gmail, car ceux-ci permettraient de retrouver la boîte principale. Il vous faut de vrais alias indépendants. Ainsi, vous ferez un alias par prestataire sur lequel vous allez créer un compte. Un compte sur laposte.fr : donnez-leur l’email « laposte@mondomaine.tld ». Et les mails envoyés à cette adresse tomberont directement dans votre boîte principale.

    Ainsi si un jour vous notez un spam sur un alias, vous saurez automatiquement quel prestataire a laissé fuiter votre adresse. Vous n’avez plus qu’à créer un nouvel alias pour ce prestataire, changer l’adresse mail sur votre compte, et supprimer l’ancien alias. Et pensez-y également sur votre carte de visite, mettez un alias et répondez avec votre « vraie » adresse uniquement si vous avez confiance. Si le pire arrive, vous pourrez toujours renommer votre boîte et mettre l’ancienne en alias (voir point n°6).

    4) Vérifiez les redirections vers votre boîte.

    Avez le temps vous avez peut-être crée des redirections de boîtes mail vers la vôtre. Si cela peut être pratique pour une transition, ce n’est pas une solution viable à long terme. Notamment car tout spam reçu par la boîte originale sera alors transféré à son nom, faisant d’elle un spammeur…

    Ne conservez donc pas une redirection ad vitam æternam mais considérez bien cela comme une solution transitoire.

    5) Choisissez un prestataire email de confiance.

    Certains spams incorrectement envoyés ne devraient voir la couleur d’une boîte de réception. Ils devraient être filtrés par le prestataire email avant même d’atteindre le filtre anti spam, juste car ils sont envoyés de manière insuffisamment authentifiée. Je ne vais pas citer de noms, mais certains prestataires, notamment gratuits et français, ne vérifient pas correctement l’authenticité des emails et laissent passer des aberrations.

    MX, rDNS, HELO, SPF, DKIM, DMARC : tout cela doit être vérifié. Plus de détails sur la documentation LRob rappelant les différentes normes et sécurités des emails.

    Cela est bien-sûr en règle sur mes offres d’hébergement. Sur les serveurs emails LRob, lorsqu’un mail vient d’un serveur non autorisé par SPF, même si la règle SPF est non stricte, le mail sera rejeté avec un message explicite pour aider l’expéditeur à corriger sa configuration dans le cas où l’erreur serait de bonne foi.

    6) N’hésitez pas 1000 ans à changer d’adresse.

    Lorsque vous recevez des dizaines de spams par jour, votre adresse circule sûrement déjà sur des réseaux de spammeurs.
    Peut-être votre adresse a-t-elle fuité dans une brèche de données ou a-t-elle été affichée publiquement.

    Il n’y a pas de retour en arrière, et les filtres anti spam ne feront pas de miracle ou alors ce sera au coût de procédures payantes, fastidieuses, ou de nombreux faux positifs (mails légitimes tombant en spam).

    Il est sûrement temps de changer d’adresse mail. Mais vous avez certainement de nombreux comptes associés et souhaitez la conserver.
    Si votre prestataire supporte les alias (comme LRob !), vous pourrez mettre votre ancienne adresse en alias de la nouvelle et continuer de recevoir vos emails le temps qu’il faut; et vous pourrez même automatiser leur déplacement dans un autre dossier pour ne pas polluer votre vue au quotidien. Une fois la transition terminée, appliquez bien toutes les règles de cet article et supprimez l’alias dans l’ancienne boîte. Et voilà, vous êtes « spam-free » !

    Vous cherchez un hébergement email standard, open-source, sécurisé et flexible, avec alias illimités et contrôle du filtre anti spam ?
    Mes offres d’hébergement web incluent les adresses mail et alias illimités ! C’est par ici : https://portail.lrob.fr/services/hebergement-web    /

  • Votre site WordPress est vulnérable

    Votre site WordPress est vulnérable

    Beaucoup se demandent comment WordPress peut être vulnérable aux attaques malgré sa popularité et son suivi. D’autres ignorent totalement le risque. Analyse.

    Qu’est-ce qu’une vulnérabilité ?

    WordPress est programmé avec le langage PHP.
    Le code PHP permet d’obtenir des sites « dynamiques ». C’est à dire que le contenu est généré à chaque page par un programme PHP. Un site dynamique permet aussi l’interaction avec les visiteurs. En termes techniques, il permet de recevoir et traiter des requêtes.

    Cette force est aussi une faiblesse en ce sens qu’elle peut laisser place à des interactions non désirées, permettant ainsi le piratage d’un site internet.
    On appelle cela une « faille de sécurité » ou « vulnérabilité ».

    Les vulnérabilités en PHP

    Les vulnérabilités dans le code PHP peuvent avoir diverses causes.
    En voici quelques exemples fréquents.

    1. Entrées non validées : Lorsque le code PHP accepte des données d’utilisateurs, telles qu’un formulaire ou une requête, sans validation appropriée, il peut être vulnérable aux attaques d’injection de code malveillant.
    2. Permissions excessives : L’attribution de permissions excessives aux fichiers et aux utilisateurs peut permettre des attaques de manipulation non autorisée.
    3. Mauvaise gestion des erreurs : La révélation d’informations sensibles dans les messages d’erreur peut donner aux attaquants des indices pour exploiter davantage le système.

    En outre, il peut y avoir des vulnérabilités dans PHP. L’exécuteur PHP lui-même, contient parfois des failles de sécurité s’il n’est pas tenu à jour. (voir image)

    D’autres failles non liées directement à PHP telles que les failles XSS sont également courantes. Celles-ci permettent d’exécuter du code malveillant.

    Nous allons voir comment cela s’articule concrètement pour WordPress.

    Source: Versions de PHP supportées

    Les vulnérabilités des sites WordPress

    Failles de sécurité dans WordPress

    WordPress est un système de gestion de contenu robuste, mais il comporte près d’un million de lignes de code PHP (924.096 lignes présentement).
    WordPress, ce sont aussi 59.772 plugins et 11.378 thèmes disponibles rien que sur wordpress.org. Des millions de lignes de code en plus disponibles à l’installation sur votre site.
    Cette richesse de code crée un terrain fertile pour les failles de sécurité. Plus vous multipliez le code, plus vous multipliez le risque. Ainsi, chaque jour, des vulnérabilités sont découvertes. Elles peuvent se trouver dans le cœur de WordPress mais aussi des thèmes et plugins installés.

    Détection, correction, révélation des failles

    Si un intervenant détecte une faille (un développeur particulier, un « white hat », un organisme spécialisé dans la sécurité), il averti les développeurs du script comportant la faille.

    Si les développeurs sont réactifs, ils corrigent la faillent et publient le correctif.

    Puis, typiquement 30 à 90 jours après sa découverte, la faille de sécurité est révélée publiquement. Afin d’une part de donner crédits de la découverte au lanceur d’alerte, et d’autre part d’avertir les usagers du script du risque encouru en cas de non mise à jour.

    Faille actuelle non corrigée

    WordPress comporte actuellement une faille non corrigée depuis la version 6.1.1 (donc depuis plusieurs mois). Celle-ci permet d’utiliser un site web pour exécuter des requêtes vers d’autres cibles. Elle est mitigable en bloquant l’accès à xmlrpc.php et en désactivant les pingbacks WordPress (sécurisation effectuée sur tous les sites que j’ai en gestion avant même la détection de cette faille).

    Quand est-ce que WordPress est vulnérable et que faire ?

    Failles révélées

    Lorsqu’une faille est révélée, toutes les installations possédant le script vulnérable sont par essence atteints de cette vulnérabilité. Les pirates risquent d’exploiter la faille si c’est votre cas.

    On trouve alors deux cas de vulnérabilités :

    • Votre site comporte un script (WordPress, plugin, thème) ayant une faille connue et n’étant pas corrigée par les développeurs. Le développement de ce script est peut-être abandonné. Il convient alors de désactiver ce script ou de le remplacer par un script non vulnérable et mieux suivi par ses développeurs.
    • Votre site n’est pas à jour. Vous n’avez pas corrigé la faille de sécurité. Il faut donc effectuer les mises à jour le plus régulièrement possible et vous assurer de ne pas avoir de script obsolète (ce qui vous mettrait potentiellement dans le cas précédent à terme).

    Failles « zero-day »

    Parfois, les pirates vont trouver une faille avant qu’elle soit révélée puis corrigée. Ils vont l’exploiter directement. On appelle cela une faille « zero-day ».

    Plus un script est populaire, plus les pirates vont chercher des failles zero-day dans celui-ci. Cela est rare, mais arrive.
    Voici une autre raison de concevoir des sites simples : Plus vous multipliez les plugins populaires, plus vous multipliez la vulnérabilité de votre site WordPress. Non seulement aux failles zero-day, mais également aux failles en général.

    Pour se protéger des failles 0-day, il faut que le serveur hébergeant votre site soit sécurisé. Pour cela, il peut notamment bloquer les requêtes suspectes des pirates à l’aide d’un pare-feu applicatif. Puis bloquer les IP attaquantes avec par exemple fail2ban. Cela n’est généralement pas le cas sur les offres d’hébergement mutualisées. A l’exception d’HaiSoft chez qui j’ai poussé ces sécurités, ce qui a d’ailleurs grandement divisé le nombre de piratages. Mais cela peut créer des faux positifs : Des requêtes bloquées alors qu’elles sont légitimes, en particulier avec les builders WordPress (Elementor, Divi, WP-Bakery et autres). Le support technique demandé est alors supérieur, raison pour laquelle la plupart des prestataires n’implémentent pas ce type de sécurités. La sécurité est toujours plus complexe que l’absence de sécurité.

    Malgré toutes les sécurités possibles en place, il faut garder à l’esprit que certaines requêtes pirate peuvent passer outre les filets. Le risque zéro n’existe pas et quiconque prétend le contraire est un ignorant ou un menteur.

    Alors comme la sécurité parfaite n’existe pas, partez du principe que votre site peut être piraté demain. Si cela arrive, que faites-vous ? Vous avez intérêt à avoir une sauvegarde à jour, facilement restorable et qui ne soit pas stockée dans votre site.

    Conclusion

    Les piratages n’arrivent pas qu’au autres. Très régulièrement, des possesseurs de sites WordPress viennent à ma rencontre avec un site web piraté à réparer.

    Tout système informatique est potentiellement vulnérable, y-compris votre site WordPress. L’enjeu est de minimiser les risques de piratage en appliquant toutes les mesures préventives. Cela passe d’abord par un serveur à jour et sécurisé, capable de bloquer les attaques. Puis, cela passe par un suivi régulier de votre site WordPress et une mise à jour la plus fréquente possible, une vérification permanente des failles de sécurité connues et une action rapide en cas de problème. Dans tous les cas, une sauvegarde externalisée, automatisée et indépendante de votre site doit être effectuée quotidiennement. C’est précisément l’ensemble des services que vous retrouverez dans mes offres de Webmastering WordPress.

    Si votre site est important pour votre entreprise, n’attendez pas d’être piratés, prenez les devants et faites vérifier votre site grâce à un audit de sécurité WordPress ou passez directement sur mon offre de Webmastering.

  • Comment vérifier si mon site WordPress a été piraté ? Les signes révélateurs à connaître

    Comment vérifier si mon site WordPress a été piraté ? Les signes révélateurs à connaître

    Il est parfois difficile de faire la différence entre un dysfonctionnement et un piratage. Pourtant, des signes évocateurs d’intrusion sur votre site existent. Aujourd’hui, voyons les 8 signes les plus courants pour repérer un piratage de votre site WordPress.

    ❌ Attention : en cas de doute, il est préférable de ne pas vous connecter à l’administration du site. En effet, si votre site est piraté, cela peut permettre au pirate de récupérer votre mot de passe. De plus, le pirate peut enclencher certaines actions automatiquement lorsque vous agissez sur le site piraté, ce qui empirerait la situation.

    ✅ Si vous pensez que votre site est piraté, il faut suspendre votre hébergement en attendant de traiter votre site au niveau des fichiers et de la base de données directement.

    La réparation d’un site WordPress demande de respecter un protocole scrupuleux comme celui que je propose dans mon service de réparation et sécurisation de sites WordPress piratés. En cas de doute, contactez-moi et bénéficiez d’une évaluation gratuite et de mesures de sécurité immédiates.

    1. Publicités et redirections non autorisées

    Des publicités indésirables ou des redirections vers des sites tiers apparaissent sur votre site.

    Cause et explication

    Le pirate a pu s’introduire dans les fichiers du site et/ou la base de données pour insérer ces pubs et redirections. Son but est de voler votre traffic pour générer des revenus.

    2. Impossible de vous connecter en tant qu’administrateur

    Votre mot de passe administrateur ne fonctionne plus ou semble changer de manière inattendue après chaque réinitialisation.

    Cause et explication

    Le pirate a introduit un backdoor (du code caché dans votre site) lui permettant de changer l’ensemble des mots de passe à souhait.

    3. Vous recevez des notifications de mails rejetés

    Vous recevez des notifications de courriels rejetés (aussi appelés bounce ou « mailer-daemon ») que vous n’avez pas envoyés vous-même.

    Cause et explication

    Le pirate utilise votre site pour envoyer des emails ou a pu compromettre votre mot de passe de messagerie. Dans certains cas, ils utilisent simplement un formulaire de contact mal configuré et mal sécurisé en tant que plateforme pour envoyer des emails vers les destinataires de leurs choix, ce qui doit également être traité afin d’éviter votre blacklisting.

    4. Alerte de sécurité Google Safe Browsing ou antivirus

    A la visite de votre site, votre navigateur vous affiche une alerte de type « Site dangereux ou malveillant », soit via Google Safe Browsing, soit via votre antivirus. L’URL bloquée affichée appartient à votre site ou à un site tiers.

    Cause et explication

    Votre site contient des URLs de phishing, des programmes malveillants, ou redirige vers des sites malveillants. Google tient une base de données de ces sites malveillants que tous les navigateurs web utilisent, ce qui permet de protéger les visiteurs de la sorte.

    5. Contenu indésirable et langues étrangères

    Vous observez des articles ou pages supplémentaires ou modifiés dans votre site. Souvent en langue étrangère. Et souvent avec des liens suspects vers d’autres sites.

    Cause et explication

    Le pirate contrôle votre site. Soit via un compte administrateur ajouté, soit via un backdoor lui permettant d’injecter du code dans la base de données. Cela lui permet notamment d’insérer tout le contenu qu’il souhaite.

    Ne pas confondre avec des commentaires « spam ». Ce souci doit être traité mais n’indique pas nécessairement la Ne pas confondre avec des commentaires « spam ». Ce souci doit être traité mais n’indique pas nécessairement la compromission de votre site.

    6. Utilisateurs inconnus

    Vous observez la présence d’un ou plusieurs utilisateurs administrateurs inconnus dans la liste d’utilisateurs WordPress. Parfois, vous observez que les détails de vos compte administrateur existants ont changé.
    NB : Comme il faut éviter de se connecter à l’administration du site, cela peut aussi se voir dans la table wp_users de la base de données (via phpMyAdmin par exemple).

    Cause et explication

    Le pirate contrôle votre site. Soit via un compte administrateur ajouté ou compromis, soit (et c’est le cas le plus courant) via un backdoor lui permettant d’injecter du code dans la base de données. Cela lui permet notamment de contrôler les utilisateurs du site.

    Ne pas confondre avec des utilisateurs indésirables pouvant s’inscrire sur votre site. Ce souci doit être traité mais n’indique pas nécessairement la compromission de votre site.

    7. Pages de phishing

    Vous remarquez via un outil de statistiques ou lors de l’exploration des fichiers de votre site que des URLs ou fichiers (souvent .html) ressemblent à des pages de sites connus.

    Cause et explication

    Cela s’appelle du phishing. Le pirate a pris le contrôle de votre site et peut inscrire les fichiers de son choix dans celui-ci ou écrire dans la base de données. Le phishing permet au pirate des visiteurs auxquels il a précédemment envoyé de faux mails vers votre site, ce afin de de l’utiliser comme passerelle et de récupérer des informations personnelles de ses victimes.

    8. Fichiers intrus

    Vous constatez des fichiers inhabituels via FTP ou via votre panel hébergeur. Vous remarquez ne serait-ce que un fichier ou dossier intrus dans vos fichiers WordPress. Parfois des fichiers en « .zip » et parfois dans les dossiers sous-jacents.

    Cause et explication

    Le pirate a pu envoyer des fichiers indésirables dans votre site et en possède désormais le contrôle total. Il peut lire les fichiers existants et en ajouter de nouveaux. Il aura généralement pris soin de cacher des fichiers « backdoor » partout dans les fichiers afin d’essayer de garder un accès au site même si vous en nettoyez le contenu. En cas de doute comparez avec l’archive sur wordpress.org ou faites appel à un professionnel pour réparer votre site en profondeur.

    Comment réagir si je note l’un de ces signes ?

    Si vous repérez l’un de ces signes de piratage, ne vous improvisez pas expert en cybersécurité si vous ne l’êtes pas, contactez-moi pour une assistance immédiate.

    Idéalement, vous devez héberger votre site sur un serveur sécurisé tel que je le propose dans mes offres d’hébergement et webmastering. Ainsi les pirates sont automatiquement bloqués, réduisant drastiquement tout risque de piratage. Aussi, les fichiers malveillants sont régulièrement scannés au niveau du serveur ce qui est le moyen le plus fiable de procéder.

    Si aucune mesure de sécurité particulière n’existe sur le serveur hébergeant votre site, vous pouvez dans un premier temps utiliser le plugin WordFence qui, bien que lourd et ralentissant votre site, permettra au moins de scanner votre site à la recherche de malwares et de vous protéger de certaines attaques basiques.

    Et pour une maintenir votre site WordPress toujours sécurisé, ne manquez pas mes services de webmastering WordPress.

  • Attaques de sites WordPress : Pourquoi et comment opèrent les pirates ?

    Attaques de sites WordPress : Pourquoi et comment opèrent les pirates ?

    Mettons-nous dans la peau des pirates attaquant des sites WordPress. Comprenons comment ils pensent et opèrent, pour mieux nous protéger.

    angry-hacker-pirate

    Pour générer des revenus, les pirates sont prêts à tout. Ils détournent les visiteurs des sites piratés via des liens sponsorisés ou redirections, ou ajoutent des publicités intempestives dont ils récoltent les revenus. Ils ajoutent aussi parfois des liens ou vers d’autres de leurs sites infectés de sorte à tenter de les référencer sur Google.

    Souvent sans limite, ils vont également jusqu’à héberger du phishing sur votre site. C’est à dire des copies de sites institutionnels. Cela leur permet de renvoyer des victimes à qui ils ont précédemment envoyé de faux mails pointant vers ces liens, et ainsi de récupérer leurs informations personnelles de connexion à ces comptes réels. Parfois, il peut s’agir de comptes bancaires ou de santé.

    Chez LRob, nous avons de nombreuses mesures de sécurité pour détecter et totalement bloquer les pirates, et nous les signalons également sur une blacklist pour aider la communauté du web. Vos hébergements web profitent ainsi d’un rempart de sécurité largement amélioré par la norme, pour dormir sur vos deux oreilles.

    Le but des pirates

    Les pirates sont généralement motivés par l’argent. Si leurs attaques sont souvent bêtes et méchantes, il ne faut cependant pas les sous-estimer car certains se montrent malins.

    Plus marginalement, on observe aussi des concours de piratages, ayant lieu parfois sur des événements type « hackathon », où le but est alors seulement d’inscrire sa signature, parfois par contre, en défaçant totalement le site. Je n’ai cependant pas observé ce type de hack depuis quelques années, donc il semble que cette pratique se perde pour le moment.

    Pourquoi attaquer des sites WordPress ?

    WordPress est très largement utilisé, avec 43% des sites web dans le monde. Cela en fait une cible de choix pour les pirates informatiques. Attaquer WordPress leur permet donc de maximiser leurs résultats lors de leurs attaques. C’est exactement le même principe qu’avec Windows qui est le système d’exploitation le plus populaire donc le plus attaqué.

    Aussi, WordPress est très riche en termes de code et de fonctionnalité mais aussi de documentation. Si bien que de nombreuses failles sont régulièrement rendues publiques. Il est important de noter que les failles concernent aussi et surtout les nombreux plugins et thèmes de WordPress.

    Mode opératoire des pirates

    Il est relativement facile d’identifier des sites WordPress en masse sur internet. Les pirates se créent donc des listes de sites WordPress.

    Ils vont ensuite croiser ces listes avec les failles de sécurité connues de WordPress.

    Il leur faut alors écrire ou trouver des « exploits », c’est à dire des requêtes ou codes à utiliser pour exploiter ces failles.

    Une fois leurs « exploits » trouvés, ils programment des robots qui tentent automatiquement de les utiliser sur l’ensemble de ces sites. Ces robots sont souvent mis en place sur des serveurs et ordinateurs personnels précédemment infectés. On appelle l’ensemble de ces robots un « botnet ».

    Pour attaquer plus efficacement, certains pirates un peu plus doués vont au préalable lister les plugins et thèmes installés sur chaque site ainsi que leurs versions. En connaissant la version des scripts, quiconque peut connaître les failles de sécurité présentes dans chaque version.

    Cela fait d’ailleurs partie des actions menées lors d’un audit de sécurité WordPress. Les pirates se servent de cette méthode pour trouver et exploiter bien plus efficacement les failles présentes dans chaque site.

    Ce type de détection est bloqué par les sécurités serveur sur nos hébergements web sécurisés.

    Certains pirates encore plus doués planifient leurs attaques à l’avance, ciblant parfois de nombreux sites d’un hébergeur en particulier, de sorte à tenter d’en saturer le support utilisateur et à faire perdurer leur hack le plus longtemps possible.

    C’est ainsi que l’on observe des vagues de piratages. A noter que certaines vagues de piratages ont aussi parfois lieu car une nouvelle faille a été découverte par les pirates avant d’avoir été corrigée par les développeurs. On appelle cela une « vulnérabilité zero-day ».

    Attaques ciblées

    Votre site n’a pas besoin d’être spécifiquement ciblé pour être piraté. Car comme on l’a vu, les pirates attaquent des milliers voire des millions de sites WordPress par jour de manière automatisée. C’est ainsi que des touts petits sites avec seulement quelques dizaines de visiteurs par jour, des sites de petites associations ou communes peuvent être piratés.

    Néanmoins si votre site possède une quelconque faille de sécurité, une attaque ciblée, opérée et dirigée directement par un pirate, aboutira très rapidement au piratage complet de votre site.

    Les attaques ciblées sont relativement rares (moins de 3% des cas de hack selon mon expérience). Les cibles de choix dans ce cas sont principalement politiques, médiatiques, ou idéologiques. Autrement dit, les attaques ciblées visent plutôt les sites institutionnels ou à contenus chargées idéologiquement. Si tel est votre cas, n’attendez pas qu’il soit trop tard et offrez-vous un Audit de sécurité WordPress.

    Pour aller plus loin

    Vérifier si mon site est vulnérable

    Il est possible de tester la vulnérabilité de votre site internet via mon audit de sécurité WordPress.

    En cas d’hébergement sur serveur dédié, l’audit LRob a la particularité d’également rechercher les failles serveur.

    Mais l’idéal est encore d’héberger votre site chez LRob pour bénéficier d’un grand nombre de mesures de sécurité. Avec des serveurs à la sécurité irréprochable et des alertes en cas de faille WordPress, que ce soit dans le core, un plugin ou un thème. C’est une sorte d’audit permanent qui est au final bien moins coûteux.

    Et si vous n’avez même pas envie d’y penser, alors es offres Webmastering WordPress LRob sont faites pour vous. Elles vous permettent de déléguer intégralement la maintenance et les aspects de sécurité, pour dormir sur vos deux oreilles.

    angel laptop protect

    Que faire si mon site est déjà piraté ?

    Si votre site est piraté, alors il faut le réparer et le sécuriser. Dans la quasi totalité des cas vos données ne sont pas perdues et sont réparables. Consultez la page dédiée à la réparation de sites WordPress hackés pour voir les bonnes réactions à avoir et faire appel à mes services. Lors d’une réparation, un audit de vulnérabilités est également conduit.

  • Nouvelle infrastructure : lrob.net et autres changements de serveurs

    Nouvelle infrastructure : lrob.net et autres changements de serveurs

    Certains d’entre vous le savent déjà : En Octobre 2022, je quitterai HaiSoft pour de nouvelles aventures au sein d’une agence web. Je serai toujours Sysadmin et spécialisé WordPress, mais désormais au poste de responsable hébergement.

    Par ailleurs et depuis quelques mois, j’ai lancé mon activité de webmaster WordPress freelance.
    J’ai décidé de l’accompagner officiellement de services d’hébergement pour permettre une gestion fluide de l’ensemble des services.

    Et comme j’ai à cœur de proposer le meilleur service possible, cela impliquait des changements de serveurs avec une refonte de l’infrastructure, plus performante et évoluée que jamais.

    Depuis une bonne quinzaine de jours, j’ai donc travaillé à refondre cela avec le plus grand soin et sans interruption de service notable, en intervenant de nuit pour les opérations pouvant générer de légères coupures (notamment la refonte des DNS).

    Nouveau domaine d’infrastructure : lrob.net

    Afin de faciliter la gestion, un nouveau nom de domaine est utilisé pour ce qui concerne le fonctionnement technique des serveurs : lrob.net

    Nouvelle URL Plesk

    La nouvelle URL Plesk vous sera transmise par mail.

    Vos identifiants/mots de passe restent inchangés.

    J’assure la redirection des anciens noms vers le nouveau pendant 30 jours. Pensez à mettre à jour vos favoris avant ce délai.
    En cas d’oubli d’identifiant ou mot de passe, n’hésitez pas à suivre la procédure de mot de passe oublié ou à revenir vers moi pour une réinitialisation manuelle.

    Nouveaux NS (name servers)

    Les NS autoritaires pour vos noms de domaine ont également changé.

    J’ai pu prendre en charge les changements pour 100% des domaines hébergés actuellement.
    Pour info, en cas d’ajout de domaine (revendeurs) il faudra désormais utiliser les serveurs DNS suivants :

    • ns1.lrob.net
    • ns2.lrob.net
    • ns3.lrob.net

    Ces NS sont hébergés sur des serveurs situés dans trois localisations géographiques différentes pour une redondance optmisée : Lausanne (suisse), Nice et Nuremberg (allemagne).
    Ils sont désormais 100% compatibles IPv6 en plus d’IPv4.
    Ils sont également sécurisés DNSSEC (ECDSAP256SHA256, la norme également retenue par CloudFlare) afin de protéger contre les attaques NS spoofing/poisoning (man in the middle).

    Résultat : Absolument parfait. Même meilleur que les géants du web (Google, OVH, Microsoft, Facebook, etc.) :

    Nouveau serveur d’hébergement et infos techniques

    Le nouveau serveur est un gros upgrade, c’est désormais un serveur dédié (précédemment serveur virtuel) avec licence Plesk illimitée (précédemment 30 domaines), ce qui permet de proposer un service « revendeur » qui laisse la liberté à celui-ci de gérer l’ajout/suppression de ses domaines en autonomie.
    Ce serveur se situe à Falkenstein (Allemagne) chez Hetzner. La bande passante (gigabit) et le ping vers la France sont excellents.
    En comparaison au précédent serveur qui était déjà correct, le nouveau est environ 2x plus puissant en termes de CPU, il possède 8x plus de RAM, 2x plus de stockage, et les SSD NVME sont environ 3x plus rapides que les SSD SATA précédents.
    Le gain en performances est significatif.

    IPv6 est désormais entièrement supporté. TLS 1.3 (sécurité maximale) et HTTP/2 (vitesse maximale) sont désormais en support natif (directement par Apache, sans reverse proxy Nginx).
    Le serveur et toute l’infrastructure sont désormais monitorés activement.

    Actuellement, une sauvegarde type « Push » est en place quotidiennement. Une seconde sauvegarde en mode « Pull » est en train d’être mise en place. Malgré ces précautions de votre serviteur, n’oubliez pas de faire des sauvegardes de vos données de votre côté aussi, car c’est presque toujours quand il est trop tard que les utilisateurs se posent la question. Or, je rappelle que dans l’hébergement, c’est toujours le client final qui a la responsabilité de ses données et ce quelle que soit la taille de l’hébergeur.

    Cela devrait résumer les informations importantes. N’hésitez pas à me contacter pour toute demande.

    N’oubliez pas de consulter nos offres d’hébergement web.