J’ai découvert une faille de sécurité sur WordPress !

Je suis tombée par hasard sur une faille de sécurité sur WordPress. Je vous la partage afin que vous puissiez sécuriser votre propre site si elle apparaît chez vous aussi…

Une faille de sécurité montrant l’identifiant de l’admin WordPress

Cette faille montrait l’identifiant de l’administrateur du site WordPress. Et cela est évidemment problématique ! Il suffit pour le pirate de trouver :

  1. la page que vous utilisez pour vous connecter sur votre site, mais vous pouvez cacher cette page comme je vous l’explique ici
  2. votre identifiant, qui peut être découvert via cette faille
  3. votre mot de passe, en espérant pour vous qu’il soit compliqué à trouver

Si ces trois points sont faciles à trouver… C’est le jackpot. Et je tiens à insister sur le fait qu’il peut être ridiculement facile de trouver ces trois points. Quand je veux faire peur à des camarades utilisant WordPress, je tombe très souvent sur leur page de connexion… L’identifiant est facilement devinable (le nom et prénom de la personne, ou l’adresse mail). Il n’y a que le mot de passe qui les protège encore un petit peu, parce que je ne vais pas jusqu’à lancer une attaque par force brute (un programme qui teste tous les mots de passe possible). En général, la démonstration suffit à les convaincre de protéger leur site.

Explication de la faille

Je manipule souvent l’url des sites pour naviguer dedans. C’est-à-dire que je fais souvent : nomdusite/nom-de-la-page-que-je-veux-visiter. C’est plus rapide pour moi, maintenant que j’ai l’habitude. Sauf que ce jour-là, j’ai fait une faute d’orthographe… Qui m’a renvoyé sur la page 404, la page d’erreurs. Et j’ai vu que la page affichait l’identifiant de l’administrateur du site, dans le titre de l’onglet… C’est évidemment le genre d’information qui ne doit s’afficher nulle part !

Comment corriger cette faille de sécurité sur WordPress

La solution la plus facile que j’ai trouvée, sans toucher au code, consiste à installer une extension qui fait une page 404. Avec ce genre d’extension, vous n’avez qu’à faire une page 404, demander à l’extension d’utiliser cette page, et l’identifiant disparaît. Notez aussi que certains thèmes font cette option.

Pour les plus aventureux d’entre vous, vous pouvez aussi passer par le code, en travaillant le php de la page 404. Mais je voulais surtout donner la solution la plus simple, pouvant aider même ceux qui ne codent pas.

Sécurisez vos sites s’il vous plaît ! C’est effrayant à quel point il est facile d’accéder à vos informations !

Les nouveautés de WordPress 5.8

Nous sommes sur le point de découvrir une nouvelle version de WordPress, la version 5.8. Cette dernière apporte des nouveautés très intéressantes dont nous allons faire le tour.

Le full site editing : la perle de WordPress 5.8 !

Vous avez envie de changer tous les blocs présents sur votre site mais votre thème ne vous permet pas d’en changer certains ? Vous avez un thème gratuit et vous ne pouvez pas modifier votre site comme vous voulez ? Vous ne savez pas coder, donc vous ne pouvez pas faire ce que vous voulez sur le site ?

Le full site editing est l’option qui va vous permettre de faire plein de modifications, sans mettre la main dans le code ou sans changer de thèmes.

Cela va passer par les blocs, comme ceux que vous pouvez voir sur cette image.

1

Mais vous aurez encore plus de blocs ! En plus, vous pourrez sauvegarder ces blocs dans un modèle, pour les réutiliser partout où vous le souhaitez.

Ces blocs pourront aussi devenir des widgets. Vous pourrez donc les placer aux endroits où vous placez vos widgets habituellement. Vos widgets pourront devenir des blocs aussi ! Avant, vous ne pouviez pas mettre vos widgets partout facilement mais cette mise à jour va vous permettre de le faire.

Améliorations de l’éditeur

L’éditeur va avoir un certain nombre de corrections et d’améliorations, comme à chaque mise à jour.

Notons l’apparition d’une fonctionnalité permettant de repérer les parents de vos blocs, utiles si vous faites des blocs avec des colonnes.

Vous pourrez aussi mieux voir tous les blocs qui composent votre page, pour mieux sélectionner celui qui vous intéresse.

La mise à jour nous offre aussi des améliorations des blocs et des filtres en plus pour travailler les images.

Et apparemment, il y a des nouveautés qui devraient plaire aux développeurs, alors j’ai hâte de pouvoir jouer avec tout ça !

Petite astuce avant d’installer cette mise à jour tout de même : attendez deux trois semaines… Quand la mise à jour est très récente, il peut y avoir de nombreux bugs. Attendez que les développeurs installent la mise à jour sur leur site, trouvent et remontent les bugs !

Découverte de Divi

Découverte de Divi : comment j’ai cassé mon site avant de l’avoir vraiment commencé

C’est quoi Divi ? Une belle découverte…

logo de divi

Divi est un outil pour vous aider à avoir un site WordPress plus joli, qui fonctionne mieux au niveau de l’expérience utilisateur, et qui en met plein les yeux de vos visiteurs. Présenté de cette manière, Divi semble donc être l’outil parfait pour construire un site WordPress !

Et pourtant, je le découvre maintenant alors que mes propres sites sont en ligne depuis longtemps… Pourquoi ? Parce qu’il coûte de l’argent (et que je voulais aussi étudier les propositions gratuites pour mes futurs clients). Puis personnellement, je voulais attendre un peu avant d’investir de l’argent dans mes sites. Cela dit, Divi a une particularité au niveau tarif qui est très appréciable… Vous pouvez l’acheter « à vie ». Vous payez une fois et vous obtenez les mises à jour futures. Alors que beaucoup de plugins WordPress demandent un paiement tous les mois, j’apprécie d’avoir Divi à vie !

Mes premiers pas avec Divi : découverte

Alors ce n’est pas le plus intuitif et facile au début. Un thème tout fait m’intéressait alors j’ai voulu partir de celui-là… Et j’ai tout cassé ! Plus rien n’apparaissait comme il fallait, tous mes réglages avaient disparu. Une amie connaissant mieux Divi a tenté de réparer, en vain. J’ai voulu supprimer mes pages et recommencer, mais cela gardait le thème installé… J’ai fini par supprimer le site pour en refaire un.

J’ai donc recommencé de zéro et quelle puissance ! Je peux faire tout ce que je veux, à condition de savoir comment le prendre en main… Mais je peux faire des choses que je ne pouvais pas faire avec un thème gratuit. Comme la mise en forme en grille du blog. Ou encore, mettre un blog sur plusieurs pages. Pratique pour séparer les thématiques !

Bien entendu, c’est encore mieux de coder soi-même, mais je veux pouvoir étendre le panel d’options que je propose à ma clientèle…

Conclusion

Même si ce n’est pas forcément intuitif au début, je suis ravie d’avoir Divi entre les doigts. C’est une option que je proposerai très sûrement à mes futurs clients une fois que je l’aurai bien apprivoisé. Et je vous en parlerai plus quand ce sera le cas !

Publier des articles WordPress sur vos réseaux sociaux automatiquement

Votre site WordPress peut travailler tout seul et publier ses articles sur vos réseaux sociaux automatiquement ! Elle est pas belle la vie ? Gagnez du temps sur l’animation de vos réseaux sociaux !

Pourquoi publier des articles WordPress sur vos réseaux sociaux automatiquement ?

Vous avez un site WordPress et un blog ? Et vous devez publier du contenu sur les réseaux sociaux pour votre activité ?

L’animation de votre blog et de vos réseaux sociaux est une activité chronophage. Utiliser des processus d’automatisation permet de gagner du temps pour se concentrer sur d’autres activités.

De plus, cela vous libère de l’espace mental pour autre chose. WordPress travaille tout seul, vous n’avez pas à vous rappeler de poster votre nouvel article.

Comment faire ?

WordPress dispose d’une option qui permet de le faire automatiquement, sans plugin. Ce sera peut-être suffisant pour votre stratégie de contenus.

Allez sur votre tableau de bord, sur la colonne de gauche :

1

Cliquez sur « Réglages » dans la zone réservée à Jetpack. Vous obtiendrez cette page :

1

Activez le bouton « Partager automatiquement vos articles sur les réseaux sociaux ».

Puis allez sur « Connecter vos comptes de réseaux sociaux ». Voici la page suivante :

1

Ici, vous pouvez choisir les réseaux sociaux sur lesquels vous voulez partager vos articles.

Il n’y a plus qu’à revenir sur votre article, le terminer et aller dans la zone Jetpack avant de publier…

1

Et à partir d’ici vous avez certaines options de personnalisation.

Maintenant il n’y a plus qu’à publier. Gagnez du temps avec cette astuce !

Planifier à l’avance votre contenu sur WordPress !

Avez-vous penser à planifier à l’avance du contenu sur votre site WordPress ? C’est une bonne idée et facile à mettre en place. Et en plus, cela peut vous sauver la mise !

Pourquoi planifier du contenu sur WordPress

Cela demande du travail. Préparer du contenu à l’avance prend du temps. Pourquoi le faire alors ? Pour gagner du temps ! C’est un peu paradoxal et pourtant. Si vous possédez un blog, et je vous le conseille fortement, il y a de fortes chances que vous soyez tombé sur cette règle : la régularité. D’après cette règle, il faut poster du contenu régulièrement, et toujours au même moment. Moi par exemple, je publie quelque chose tous les vendredi matin.

Mais il y a peut-être un jour où vous ne pourrez pas être présent devant votre ordinateur le vendredi matin. Si vous possédez une entreprise dont le blog fait la promotion, alors vous courrez probablement partout. Comment prendre le temps de se poser et d’écrire un article alors ? C’est aussi valable pour ceux d’entre vous qui possédez un blog personnel. Vous apprécierez avoir des contenus programmés en avance et être tranquille.

Prenez le temps quand vous l’avez ! Vous avez un peu de temps et des idées d’articles ? Allez-y, vous pouvez programmer l’article en avance ! Et avec un petit stock d’articles déjà programmé, vous serez plus serein. Encore plus si vous avez automatisé leur publication sur les réseaux sociaux ! Ils se publieront tout seul sur WordPress et sur les réseaux que vous avez programmé.

De plus, cela vous permet de passer plus de temps sur un article. Si vous publiez tous les vendredi matin à 9h par exemple, et que vous vous rendez compte une heure avant que vous avez oublié de faire un article… Vous aurez forcément moins de temps pour faire du contenu de qualité.

Comment faire ?

Avez-vous vu la colonne à droite de la zone où vous écrivez vos articles ?

zone où l'on peut programmer son contenu en avance sur WordPress. La colonne à droite du texte. Il faut être sur "publier", "articles" et aller à la ligne "publier". En cliquant sur immédiatement, vous trouvez un calendrier pour programmer votre contenu.

Il faut être sur « Publier », « Article » et aller à la ligne « Publier ». En cliquant sur « Immédiatement », vous obtenez un calendrier qui vous permet de programmer vos articles.

Grâce au calendrier vous pouvez aussi publier du contenu « avant » la date du jour. Pratique si vous avez oublié de poster un article… Ou pour ceux d’entre vous qui souhaitez lancer un site et un blog. Vous pourrez ainsi démarrer votre site avec quelques articles déjà postés.

Vous pouvez aussi passer par un plugin de calendrier éditorial, grâce auquel vous obtiendrez aussi des fonctions supplémentaires. Mais la fonction déjà présente sur WordPress peut être suffisante et rajouter un plugin risquerait de surcharger votre site pour rien.

Vous avez tout ce qu’il vous faut pour programmer vos articles en avance maintenant. Alors profitez-en !

Imagify, le plugin pour optimiser vos images sur WordPress

Optimiser vos images sur WordPress est d’une importance capitale ! Découvrez pourquoi et comment faire !

Pourquoi optimiser ses images sur WordPress

Vous voulez que tout le monde visite votre site, lise votre blog, achète vos produits et vos services. Vous voulez remplir les objectifs que vous vous êtes fixé par le biais de votre site web. Et pour cela, il faut que les visiteurs viennent le voir et restent dessus.

Un des facteurs les plus importants, si ce n’est le premier, est le temps de chargement de votre site. Lorsque votre visiteur arrive sur votre site, il doit charger le plus vite possible. S’il met trop longtemps à s’afficher, votre visiteur va partir.

Et vous pouvez accélérer la vitesse de chargement de votre site en optimisant vos images. Ce sont souvent les éléments les plus lourds de votre site web.

Imagify, le plugin qui vous change la vie

1

C’est ce plugin qui nous intéresse pour cet article. En créant un compte sur leur site internet, vous pourrez aussi gérer vos images à partir de leur plateforme. Par exemple vous pouvez souscrire à un abonnement vous offrant la possibilité d’optimiser plus d’images que prévu dans le plan, ou acheter des crédits pour traiter une seule fois des images que vous possédez.

Et son utilisation est vraiment très simple. Imagify va traiter toutes les images que vous ajouterez.

Pour les anciennes, vous pourrez lui demander de le faire au fur et à mesure. Si vous en avez trop, il faudra probablement que vous payez un crédit supplémentaire ou que vous attendiez le mois suivant.

Cette astuce vous permettra d’accélérer votre site web en réduisant son poids, favorisera votre référencement et participera à l’amélioration des statistiques de votre site. Alors n’attendez plus, optimisez vos images !

WordPress : créer un espace membre sans le plugin dédié

Sur un autre site WordPress, j’ai eu besoin de créer un espace membre pour les personnes abonnées à ma newsletter. Dans cet espace, je voulais pouvoir publier du contenu exclusif avec la possibilité de faire la mise en page que je souhaite, et de pouvoir préparer mon contenu à l’avance. Comment ai-je fait ?

Détails et hésitations sur les moyens de créer un espace membre

Dans la newsletter, je rappelle les derniers articles du mois et je poste du contenu exclusif. Pour cela, j’utilise MailChimp.

Détails de ce que je voulais :

  1. Pouvoir préparer mon contenu en avance. Il me fallait donc un espace sur lequel je puisse stocker mes contenus et mes brouillons de contenus ;
  2. Avoir plus d’espace que celui que je me réservais sur MailChimp. Et ce n’est jamais agréable d’avoir un contenu de trente mètres de long !
  3. Avoir plus de possibilités au niveau de la mise en page
  4. Ne pas faire migrer mes lecteurs sur des solutions logicielles qu’ils n’ont peut-être pas
  5. Ne pas être dépendante de Facebook
  6. Faire ça sans plugin si possible, pour ne pas surcharger ce WordPress
  7. Ne pas mettre des articles à mot de passe, pour éviter de stigmatiser les visiteurs non abonnés à la newsletter

Forcément, tout cela me laissait peu de solutions !

Mon espace membre sur WordPress : la solution retenue

Elle m’a été suggéré par un collègue, qui m’a donné plusieurs possibilités avec les avantages et les inconvénients !

Grâce à ses suggestions, il me suffisait de créer une catégorie sur WordPress et de la rendre invisible. Je pouvais ainsi y poster mes articles de blog et donner les liens à mes lecteurs. Puis, la page de la catégorie sauvegarde les contenus exclusifs des newsletters précédentes. Je peux ainsi donner le lien à tous les abonnés, même les nouveaux ! Tout est sauvegardé ici.

Mise en oeuvre

Il suffit de créer une catégorie. Mais si vous utilisez des widgets de catégories sur votre blog WordPress, les visiteurs verront cette catégorie cachée. Même problème si vous avez des widgets contenant vos derniers articles.

Pour le widget des derniers articles, vous pouvez décider de n’afficher qu’une seule catégorie. Vous pouvez aussi supprimer le widget. Ou passer par le code.
Pour le widget des catégories… Il va falloir passer par le code. Ou effacer le widget.

Mais cela ne règle pas le problème suivant : lorsque vous publiez un article sur votre blog en utilisant votre catégorie cachée, il va apparaître sur le blog… Il vous faut donc cacher cette catégorie, et lui demander de ne plus apparaître sur le blog !

Pour faire cela, vous pouvez passer par le code… Ou par un plugin. Prévoyant une refonte de mon site, j’ai choisi l’option plugin que je vous montre :

1

Il s’agit du plugin Ultimate Category Excluder. Comme son nom l’indique, il exclut les catégories.

Et il est très simple à régler ! Installez-le et allez le voir dans les réglages. Voici l’interface :

1

Il vous suffit de cocher les zones dans lesquelles la catégorie ne doit pas apparaître. Je n’ai pas coché Archives parce que sinon je perds la page de la catégorie dont je veux transmettre l’url.

Grâce à cette solution vous obtenez un espace réservé à vos membres. Même si j’utilise un plugin, la solution est beaucoup moins lourde et convient à ce que je veux en faire.

Je vous expliquerai comment j’ai transformé cette page de catégorie et cet espace membre par la suite.

Comment j’ai hacké le WordPress d’un collègue

Je regardais le site d’un collègue lors d’une discussion banale et amicale… Et j’ai voulu tenter quelque chose… Qui s’est transformé en piratage « virtuel ».

La récolte d’informations : première étape du piratage

Il m’a bien dit que son site était un WordPress. Mais j’avais aussi des moyens de le savoir en regardant son site.

Je sais que WordPress présente certaines « failles » qu’il faut combler manuellement pour mettre des bâtons dans les roues des pirates. Mon collègue connaît-il ces failles ?

Première faille : la page de connexion

Une de ces failles concerne la page où l’utilisateur rentre son identifiant de connexion. L’adresse url de cette page est nom-du-site/wp-admin. En rentrant /wp-admin sur le site de mon collègue… Je peux accéder à sa page de connexion pour le piratage !

Pour me bloquer, mettez l’extension WPS Hide login ! Cette application change l’url de la page de connexion. Ce sera plus long et ennuyeux pour la personne désirant vous pirater… Avec un peu de chance elle passera son chemin !

Suite de la récolte d’informations

Pour trouver l’identifiant de connexion, j’ai plusieurs hypothèses. Il a sûrement dû utiliser son nom et son prénom combiné d’une certaine manière, comme c’est son site professionnel et que ces informations sont dans son nom de domaine. Pour vérifier ça, je regarde son site. Je cherche s’il a posté des articles de blog. Avec un peu de chance, son nom d’auteur d’articles, c’est aussi son identifiant ! WordPress permet de mettre un nom d’auteur d’articles différent de l’identifiant de connexion. Faites-le ! Mettez-moi des bâtons dans les roues !

1

Mon collègue n’avait pas d’articles. Je peux donc tenter le nom et le prénom, combinés de certaines manières.
Pour le mot de passe, une simple attaque par force brute suffit. Ce procédé consiste à tester plein de combinaisons de mots de passe possibles. Pour me faciliter la tâche, je peux aussi chercher d’autres informations sur lui. Peut-être que son mot de passe est le nom de son animal de compagnie, de ses proches, des personnes qu’il aime, des dates de naissance… Je ne dois pas pouvoir deviner votre mot de passe de cette manière ! Mettez quelque chose de compliqué et qui n’est pas en lien avec votre vie !

Un autre moyen aussi de mettre des bâtons dans les roues consiste à limiter le nombre de tentatives de connexion. Si je fais trop d’erreurs, je ne pourrais plus continuer.

Conclusion du « piratage »

Mon « piratage » n’était que « virtuel » parce que je ne suis pas allée jusqu’au bout. J’ai quand même trouvé la page de connexion et l’identifiant de mon collègue en quelques secondes. Je crois même que je lui ai fait un peu peur !

Le risque zéro n’existe pas, mais mettez le maximum d’obstacles sur le chemin des pirates ! Limitez les possibilités des hackers !

Medium : plateforme de blog

Connaissez-vous Medium, la plateforme de blog ? Est-ce que ça pourrait vous intéresser dans votre stratégie de communication ?

Petit tour sur Medium

Pour écrire sur Medium, il vous suffit d’un compte. Ensuite, vous obtenez une interface vraiment très simple pour écrire. Elle est tellement simple qu’elle ressemble à une page blanche. La quantité de distraction est ainsi très réduite. C’est vraiment appréciable !

Vous disposez ensuite d’options pour mettre en forme votre article, comme la possibilité de mettre un titre ou une image. Pour les images, en cliquant sur la loupe, vous pouvez avoir des images venant directement du site Unsplash, avec les crédits dans la légende. Cette option est pratique et permet d’être en règle rapidement.

Ensuite, vous pouvez programmer votre publication ou la publier directement. Vous pouvez aussi choisir de participer au partner program. Ce programme consiste à rémunérer les auteurs des articles. Si un lecteur avec un abonnement payant vient lire votre article, vous toucherez 10 % de son abonnement. C’est plutôt attirant. Encore faut-il être lu par des lecteurs abonnés !

WordPress ou Medium ?

Alors devez-vous avoir votre propre site ou créer un compte sur Medium ? Personnellement, j’ai commencé à écrire sur Medium il y a quelques jours à peine et je vous expliquerai pourquoi.

Néanmoins je peux tout de même remarquer qu’un site web a de gros avantages. Vous pouvez le faire à votre convenance, avec votre image de marque. Vous contrôlez tout dessus et vous êtes le maître du SEO. Vous êtes le maître de la maison que vous avez construit, fait construire.

Sur Medium c’est un peu comme si vous louez un logement. Quand vous arrivez, vous n’avez plus qu’à mettre les pieds sous la table. Par contre vous ne pouvez pas rajouter une pièce et la décoration est vraiment très limitée. Et vous ne maîtrisez pas grand-chose. Par contre Medium a déjà une grande base de lecteurs. Si vous arrivez à attirer des gens, ça peut être sympa. Et le programme de rémunération semble attirant. Mais il faut réussir à obtenir des lecteurs… En réussissant à être visible dans la masse !

Que choisir alors ?

Cela dépend de votre temps, de vos moyens, de vos compétences, de vos objectifs. Si vous avez peu de temps, de moyens, de compétences, Medium semble être une bonne option. Par contre, il faut voir vos objectifs. Promouvoir votre marque sur le site semble extrêmement difficile. Pensez plutôt à créer votre propre site pour un blog professionnel.

Pourquoi ai-je commencé à écrire sur Medium alors ? Parce que j’avais envie de tester premièrement. Puis je cherchais une plateforme sur laquelle travailler une nouvelle thématique et je ne voulais pas faire un énième site. Peut-être que je changerais d’avis dans quelques mois.

Dans tous les cas, je vous ferai un retour de mon utilisation de Medium au bout d’un certain temps.

« Mes derniers articles ne s’affichent pas ! »

Vous avez un WordPress et les derniers articles ne s’affichent pas ? Cela peut venir de plusieurs problèmes, mais étudions-en un en particulier. Cela vous aidera peut-être.

Le plugin de cache

La mise en cache est une astuce qui vous aide à améliorer la vitesse de votre site web. Pour cela, il sauvegarde les informations de votre site sur le serveur. Ainsi, votre site s’affichera beaucoup plus vite, puisqu’il suffira d’aller récupérer ces informations stockées. Ceci à la place de les calculer. Le calcul est déjà fait et stocké, il suffit de récupérer le résultat !

Le plugin de mise en cache vous permet donc d’accélérer la vitesse de votre site, et c’est un facteur essentiel actuellement !

Pensez à vider le cache de temps en temps…

Imaginez. Votre cache sauvegarde la version 1er janvier 2021 de votre site. Ce sera donc tout le temps cette version qui sera affichée, même en avril ! C’est donc pour cela que votre site peut ne pas afficher vos derniers articles ! Videz le cache et cela devrait peut-être régler le problème.

Pensez à vider le cache après chaque mise à jour de votre site pour être sûr que tout fonctionne bien. Votre plugin de mise en cache peut sûrement le faire.