Comment j’ai hacké le WordPress d’un collègue

Je regardais le site d’un collègue lors d’une discussion banale et amicale… Et j’ai voulu tenter quelque chose… Qui s’est transformé en piratage « virtuel ».

La récolte d’informations : première étape du piratage

Il m’a bien dit que son site était un WordPress. Mais j’avais aussi des moyens de le savoir en regardant son site.

Je sais que WordPress présente certaines « failles » qu’il faut combler manuellement pour mettre des bâtons dans les roues des pirates. Mon collègue connaît-il ces failles ?

Première faille : la page de connexion

Une de ces failles concerne la page où l’utilisateur rentre son identifiant de connexion. L’adresse url de cette page est nom-du-site/wp-admin. En rentrant /wp-admin sur le site de mon collègue… Je peux accéder à sa page de connexion pour le piratage !

Pour me bloquer, mettez l’extension WPS Hide login ! Cette application change l’url de la page de connexion. Ce sera plus long et ennuyeux pour la personne désirant vous pirater… Avec un peu de chance elle passera son chemin !

Suite de la récolte d’informations

Pour trouver l’identifiant de connexion, j’ai plusieurs hypothèses. Il a sûrement dû utiliser son nom et son prénom combiné d’une certaine manière, comme c’est son site professionnel et que ces informations sont dans son nom de domaine. Pour vérifier ça, je regarde son site. Je cherche s’il a posté des articles de blog. Avec un peu de chance, son nom d’auteur d’articles, c’est aussi son identifiant ! WordPress permet de mettre un nom d’auteur d’articles différent de l’identifiant de connexion. Faites-le ! Mettez-moi des bâtons dans les roues !

Mon collègue n’avait pas d’articles. Je peux donc tenter le nom et le prénom, combinés de certaines manières.
Pour le mot de passe, une simple attaque par force brute suffit. Ce procédé consiste à tester plein de combinaisons de mots de passe possibles. Pour me faciliter la tâche, je peux aussi chercher d’autres informations sur lui. Peut-être que son mot de passe est le nom de son animal de compagnie, de ses proches, des personnes qu’il aime, des dates de naissance… Je ne dois pas pouvoir deviner votre mot de passe de cette manière ! Mettez quelque chose de compliqué et qui n’est pas en lien avec votre vie !

Un autre moyen aussi de mettre des bâtons dans les roues consiste à limiter le nombre de tentatives de connexion. Si je fais trop d’erreurs, je ne pourrais plus continuer.

Conclusion du « piratage »

Mon « piratage » n’était que « virtuel » parce que je ne suis pas allée jusqu’au bout. J’ai quand même trouvé la page de connexion et l’identifiant de mon collègue en quelques secondes. Je crois même que je lui ai fait un peu peur !

Le risque zéro n’existe pas, mais mettez le maximum d’obstacles sur le chemin des pirates ! Limitez les possibilités des hackers !

Comment ne pas réussir à bénéficier du chèque numérique

Je vous avais parlé de l’aide du gouvernement, le fameux chèque numérique de 500 euros. Après en avoir parlé avec une collègue qui a réussi à l’avoir, j’ai décidé de tenter ma chance. Chronique d’un échec cuisant.

Étape préliminaire indispensable : avoir connaissance de l’aide

Parce que la communication autour de ce chèque numérique ne touche pas suffisamment de gens… Je n’aurais pas été au courant sans l’aide de collègues. Je n’aurais pas pu transmettre à d’autres l’existence de cette aide !

Étape préliminaire suivante : comprendre qui est éligible, quelles sont les conditions, comment faire

En écumant les groupes et pages Facebook, en discutant avec des collègues qui ont tenté le coup et en demandant à des entreprises potentiellement concernées…
Puis en rajoutant la lecture de toutes les pages internet à ce sujet…

Je ne suis toujours pas sûre de comprendre quelles factures peuvent passer ni toutes les conditions à remplir !

Mais je décide quand même de tenter ma chance ! L’aide du chèque numérique finit le 30 juin ou quand toute l’enveloppe aura été consommée. Il n’y a pas de temps à perdre et aucun indicateur ne me dit si l’aide est terminée ou pas !

Première étape : récupérer les factures et compter

Il fallait s’assurer que les factures soient entre octobre 2020 et juin 2021. Puis que l’ensemble atteigne le plafond des 450 euros d’aides minimums.

Pour mon cas, cela n’atteignait pas le plafond minimum. C’est dommage parce que j’ai passé de grosses factures pendant les vacances d’été et en septembre ! J’aurais pu obtenir le remboursement si elles étaient prises en compte !

Mais je me suis souvenue que je voulais investir dans des plugins WordPress « plus tard ». C’est l’occasion idéale, je vais pouvoir me les faire rembourser ! Ces outils me serviront à développer mon entreprise et mon expertise (puisque je vais me former dessus et pouvoir en faire profiter des clients). Il a fallu quelque temps pour retrouver ces outils et faire mes comptes pour atteindre le plafond minimum.

Puis faire les conversions de dollars en euro et découvrir des taxes de 20 % pour la France et TOUT RECALCULER !

Le site de l’ENFER

Deuxième étape : remplir la demande et mettre toutes les factures

J’ai mis des factures relatives à la partie site web (comme les noms de domaine) et Imagify pour l’optimisation des images.

Puis, ayant lu que la publicité Facebook fonctionnait, j’ai donc rentré mes factures Facebook…

Et les factures des nouveaux outils que j’ai achetés : Divi et Wp Rocket.

L’étape se fait malheureusement en deux fois : il faut rentrer une première fois le montant, la date et le type de facture, puis dans une autre zone mettre la facture.

Pour me rendre compte que j’ai mis trop de factures, le site ne l’accepte pas… C’est partie pour supprimer des factures dans les deux secteurs et les deux encadrés !! Puis tout recalculer !

C’est long !

Troisième étape : l’attestation sur l’honneur sous forme de cases à cocher

Lire et relire les cases, vérifier que tout est bon… S’arrêter sur une case indiquant que les factures doivent être émises par des entreprises venant de l’Europe ou de France… Mais comment savoir ? Internet n’indique pas tout… Le texte en bas des factures me donne l’information !

Divi, venant d’Elegant Theme, vient de Californie. Wp Rocket de Lyon. Facebook… N’est pas d’ici…

C’est impossible pour moi de bénéficier de l’aide !

Conclusion

Je lisais il y a quelques jours un article s’étonnant du peu d’entreprises ayant profité de l’aide. Je comprends pourquoi ! Il faut avoir l’information, comprendre le système, pouvoir en bénéficier malgré les nombreuses contraintes…

Je me fais aussi une réflexion, totalement biaisée par mon échec mais je vous l’apporte tout de même : pourquoi faire une aide de ce type avec si peu de communications et autant de contraintes ? L’objectif est quand même que le plus d’entreprises puissent en bénéficier… Normalement…

Tentez le coup juste ici, mais attention aux critères…

Drupal : retour d’expérience

Pourquoi utiliser Drupal ? Choisir Drupal ou WordPress ? Mais tout d’abord, c’est quoi ?

C’est quoi Drupal et à quoi ça sert ?

Ce site est un CMS (plus que ça oui, mais commençons simple) comme WordPress ou Jomla (commençons simple). Ce système vous permet de créer votre site internet, pour pas exemple, afficher votre entreprise. Vous pouvez ainsi customiser votre site avec de la « décoration » et ajouter des modules en fonction de vos besoins.

Mais c’est aussi plus qu’un CMS. Il faut aussi y rajouter le F pour « Framework« , transformant ainsi Drupal en CMF. Lorsque vous voulez modifier quelque chose sur WordPress, vous avez le risque de devoir passer par du code. Sur Drupal, vous pouvez modifier plein de choses à la souris ! Pratique pour les personnes qui ne codent pas !

Fini le code ! Beaucoup de choses se font au clic !

Retour d’expérience

Je suis actuellement en train d’apprendre à travailler sur Drupal. Je vous propose donc un retour d’expérience. Personnellement, je ne suis pas habituée à ce CMS et je travaille plus sur WordPress.

Dans l’enfer des procédures

Déjà ce titre ne vous donne certainement pas envie… C’est l’apprentissage le plus important que je retiens. Pour travailler sur ce site, il faut suivre la procédure de A à Z et dans le bon ordre ! Ne pas respecter les procédures et l’ordre va amener à des erreurs. Erreurs qui amèneront à d’autres erreurs.

Renseignez-vous donc bien sur les actions que vous souhaitez faire sur votre site Drupal. Il y a beaucoup de documentations ! Prenez votre temps et respectez bien les tutos !

Une logique obscure

Pour certaines procédures la logique est, pour mon cerveau, illogique. J’imagine qu’à force de travailler sur ce CMS, je finirai par intégrer la logique. Mais pour l’instant, certains recoins du site fonctionnent étrangement pour moi.

La courbe d’apprentissage

Lorsque j’ai ouvert un WordPress pour la première fois, j’ai été surprise de la facilité avec laquelle je pouvais apprendre à utiliser ce site. Et je l’adore aujourd’hui.

Pour l’instant ce « nouveau » CMS ne me fait pas le même effet ! J’ai hâte d’avoir cette illumination !

La conclusion

Pour l’instant, nous n’allez pas trop avoir envie d’utiliser Drupal après cet article… Et pourtant Drupal a l’air tellement puissant ! Gardez Drupal dans un coin tout de même…

Rendez-vous dans quelques semaines, lorsque j’aurais plus d’expérience ! Lisons la documentation officielle en attendant…

Le chèque numérique : une aide de 500 euros

Avez-vous pris connaissance de cette aide du gouvernement ? Le chèque numérique vous permet d’obtenir une aide de 500 euros pour numériser votre activité.

Une aide pour créer un site web

Le chèque numérique peut vous aider dans la création de votre site web. Les confinements successifs et mesures sanitaires ayant diminué voire arrêté le flux de clients dans de nombreux magasins, le site web devient essentiel.

D’une simple présence sur internet à une boutique en ligne, ou encore zone de communication avec vos clients, le site web sera une boite à outils qui va vous sauver la mise !

Une aide pour d’autres prestations numériques

Ce n’est pas forcément très clair au début, mais vous pouvez bénéficier de cette aide pour tout ce qui peut vous aider à développer votre activité en ligne. Les sites de réservation, comme Doctolib par exemple, sont éligibles à ce chèque numérique.

L’aide peut aussi concerner ce qui permet d’être plus visible sur Internet, comme la création de contenus. Les logiciels de publication de posts sur les réseaux sociaux sont eux aussi comptés.

Il y a des conditions à suivre, notamment de dates. Je vous renvoie sur le site du gouvernement pour plus d’informations.

Pour ma part, je peux vous fournir une facture afin de bénéficier de cette aide si nous travaillons ensemble sur votre site internet.

Votre téléphone sait où vous êtes

Votre téléphone sait où vous vous trouvez et vous le fait même savoir, même en coupant la géolocalisation. En quoi est-ce inquiétant ?

Mes parcours de balade canine

Les confinements réduisant mon périmètre de balade, je me suis concentrée avec ma compagne canine sur une zone plus restreinte. Et j’emportai mon téléphone, au cas où nous avions un souci, besoin de quelque chose ou tout simplement pour cette fichue attestation (et économiser du papier !).

Puis de toute façon, il suffit de couper la géolocalisation hein ?

Non. J’ai reçu plusieurs notifications de Google me demandant des avis sur les lieux que je visitais.

Je retrouve aussi un historique de mes trajets.

En quoi c’est important ?

Votre téléphone connaît toutes vos habitudes. C’est votre stalker personnel. Vous perdez votre téléphone, votre compte google se fait pirater, et quelqu’un d’autre arrive à tout savoir de vous.

Google peut aussi utiliser ce qu’il sait de vous pour vous faire des publicités ciblées. Ou revendre vos données à une entreprise. Pareil pour tous les autres logiciels qui tournent sur le téléphone et consomment ces données, comme Facebook.

Il faut aussi partir du principe que tout ce qui est sur internet est piratable. Vous êtes traçable avec votre téléphone.

Alors pensez-y avant de l’emmener lors de votre prochaine virée autour de chez vous !

Medium : plateforme de blog

Connaissez-vous Medium, la plateforme de blog ? Est-ce que ça pourrait vous intéresser dans votre stratégie de communication ?

Petit tour sur Medium

Pour écrire sur Medium, il vous suffit d’un compte. Ensuite, vous obtenez une interface vraiment très simple pour écrire. Elle est tellement simple qu’elle ressemble à une page blanche. La quantité de distraction est ainsi très réduite. C’est vraiment appréciable !

Vous disposez ensuite d’options pour mettre en forme votre article, comme la possibilité de mettre un titre ou une image. Pour les images, en cliquant sur la loupe, vous pouvez avoir des images venant directement du site Unsplash, avec les crédits dans la légende. Cette option est pratique et permet d’être en règle rapidement.

Ensuite, vous pouvez programmer votre publication ou la publier directement. Vous pouvez aussi choisir de participer au partner program. Ce programme consiste à rémunérer les auteurs des articles. Si un lecteur avec un abonnement payant vient lire votre article, vous toucherez 10 % de son abonnement. C’est plutôt attirant. Encore faut-il être lu par des lecteurs abonnés !

WordPress ou Medium ?

Alors devez-vous avoir votre propre site ou créer un compte sur Medium ? Personnellement, j’ai commencé à écrire sur Medium il y a quelques jours à peine et je vous expliquerai pourquoi.

Néanmoins je peux tout de même remarquer qu’un site web a de gros avantages. Vous pouvez le faire à votre convenance, avec votre image de marque. Vous contrôlez tout dessus et vous êtes le maître du SEO. Vous êtes le maître de la maison que vous avez construit, fait construire.

Sur Medium c’est un peu comme si vous louez un logement. Quand vous arrivez, vous n’avez plus qu’à mettre les pieds sous la table. Par contre vous ne pouvez pas rajouter une pièce et la décoration est vraiment très limitée. Et vous ne maîtrisez pas grand-chose. Par contre Medium a déjà une grande base de lecteurs. Si vous arrivez à attirer des gens, ça peut être sympa. Et le programme de rémunération semble attirant. Mais il faut réussir à obtenir des lecteurs… En réussissant à être visible dans la masse !

Que choisir alors ?

Cela dépend de votre temps, de vos moyens, de vos compétences, de vos objectifs. Si vous avez peu de temps, de moyens, de compétences, Medium semble être une bonne option. Par contre, il faut voir vos objectifs. Promouvoir votre marque sur le site semble extrêmement difficile. Pensez plutôt à créer votre propre site pour un blog professionnel.

Pourquoi ai-je commencé à écrire sur Medium alors ? Parce que j’avais envie de tester premièrement. Puis je cherchais une plateforme sur laquelle travailler une nouvelle thématique et je ne voulais pas faire un énième site. Peut-être que je changerais d’avis dans quelques mois.

Dans tous les cas, je vous ferai un retour de mon utilisation de Medium au bout d’un certain temps.

« Mes derniers articles ne s’affichent pas ! »

Vous avez un WordPress et les derniers articles ne s’affichent pas ? Cela peut venir de plusieurs problèmes, mais étudions-en un en particulier. Cela vous aidera peut-être.

Le plugin de cache

La mise en cache est une astuce qui vous aide à améliorer la vitesse de votre site web. Pour cela, il sauvegarde les informations de votre site sur le serveur. Ainsi, votre site s’affichera beaucoup plus vite, puisqu’il suffira d’aller récupérer ces informations stockées. Ceci à la place de les calculer. Le calcul est déjà fait et stocké, il suffit de récupérer le résultat !

Le plugin de mise en cache vous permet donc d’accélérer la vitesse de votre site, et c’est un facteur essentiel actuellement !

Pensez à vider le cache de temps en temps…

Imaginez. Votre cache sauvegarde la version 1er janvier 2021 de votre site. Ce sera donc tout le temps cette version qui sera affichée, même en avril ! C’est donc pour cela que votre site peut ne pas afficher vos derniers articles ! Videz le cache et cela devrait peut-être régler le problème.

Pensez à vider le cache après chaque mise à jour de votre site pour être sûr que tout fonctionne bien. Votre plugin de mise en cache peut sûrement le faire.

Comment faire le plus beau site internet de tous les temps ?

Vous voulez faire un site internet qui en jette, qui épate tout le monde, qui vous attire plein de visiteurs et vous rend riche et célèbre ? Suivez le guide

La plateforme de gestion de contenu

WordPress. Je vous dis pourquoi ici.

La mise en beauté du site

Quid de la peinture, du brushing, de la première couche de vernis sur l’ongle ? Et pour rajouter des paillettes et de la musique ?

Rien de tout ça chers lecteurs. Faites simple, s’il vous plaît. Je vois beaucoup trop de sites qui essaient d’être jolis mais qui sont ultras pénibles à visiter.

Ou des sites qui essaient de faire plein d’effets partout qui surchargent la lecture et dans lesquels l’information recherchée est noyée.

Faites simple. Mais assurez-vous que l’utilisateur puisse trouver l’information qu’il cherche. Parce que le visiteur pose une question à Google, et le moteur de recherche apporte une liste de sites pouvant y répondre. Et il faut que votre visiteur puisse trouver l’information qu’il désire.

Il y a des gens qui arrivent à faire des sites très beaux et très fonctionnels. Il y a des professionnels aussi qui font des sites spectaculaires. Et il y a beaucoup de sites qui essaient. Mettre la priorité sur la beauté du site au détriment de l’information n’est pas une bonne idée ! Certes, nous sommes dans un monde où nous sommes beaucoup trop évalués sur la beauté et pas sur le contenu… Mais si votre visiteur n’arrive pas à trouver son information cachée sous les paillettes… Il va partir et ne jamais revenir.

Alors faites simple !

Answer the public : trouvez des idées d’articles !

Vous connaissez sûrement le syndrome de la page blanche. C’est ennuyeux pour les créateurs de contenus. Devoir rédiger des articles de blog régulièrement implique souvent d’épuiser toutes ses idées. Rassurez-vous, nous avons un site pour nous aider !

Answer the public : les questions que les internautes se posent

Les internautes posent beaucoup de questions à Google, de manière directe ou indirecte d’ailleurs. Et ils tombent alors sur une liste de sites promettant de répondre à leur question.

Et Answer the public permet de savoir quelles questions les internautes se posent sur un thème précis. Si vous savez quelles questions les gens se posent, alors vous pouvez faire un article pour y répondre ! Ce site vous donne plein d’idées pour votre stratégie de contenus. En plus de ça, il vous aide à améliorer votre positionnement SEO. En effet, quelqu’un qui obtient la réponse à sa question sur votre site sera plus enclin à visiter tout le site et votre travail sera noté comme plus pertinent par Google.

Je vous mets le lien juste ici.

Connaissiez-vous cet outil ? Qu’en pensez-vous ?

L’incendie des serveurs d’OVH et la sauvegarde de vos données…

Je vous parle souvent de la sauvegarde de vos données. Mais nous n’en parlons pas assez à mon avis, comme le prouve l’incendie chez OVH. Faisons le point.

C’est quoi un datacenter ?

Restons simples. Un datacenter, c’est la machine qui va permettre d’afficher votre site sur internet. Vous pourriez acheter une machine (et il y en a des petites) pour afficher vous-même votre site sur internet. Mais il faudrait qu’elle soit allumée en permanence et vous seriez obligé de réaliser plein d’opérations compliquées sur la machine pour que tout fonctionne. Heureusement, le datacenter gère tout ça.

De fait, lorsque vous prenez un abonnement chez un hébergeur, vous obtenez un endroit pour stocker votre site web. Et en plus, cela permet de l’afficher sur le web dans la foulée. Vous avez aussi accès à une messagerie et à d’autres services. Par exemple, vous pouvez stocker d’autres données qu’un site web. Ou envoyer des newsletters.

Quand les données partent en fumée…

Sauf que les datacenters d’OVH à Strasbourg ont pris feu… Les services cités ne sont donc plus accessibles.

C’est donc la catastrophe pour 3,6 millions de sites web d’après netcraft. Les sites ne sont plus accessibles. Et les autres services cités, comme les mails.

C’est là tout l’intérêt de la sauvegarde de vos données. Et sur une autre plateforme que celle qui gère toutes vos activités ! Si vous prenez OVH, stockez vos données ailleurs ! Comme ça en cas d’incendie chez OVH…

Actuellement, certains sites ont actuellement tout perdu, n’ayant pas de sauvegarde de secours. Et c’est la catastrophe.

La catastrophe

Les dégâts sont impressionnants. Fort heureusement, il n’y a pas de blessés. L’équipe d’OVH va avoir fort à faire pour réparer les dégâts et relancer de nouveaux serveurs.

La quantité de sites web affectée est impressionnante aussi. Tous ces sites ont-ils des sauvegardes récentes de toutes leurs données ? Si la réponse est non, nous allons tous devoir attendre que les personnes derrière ces sites retrouvent un serveur et refassent un site.

La solution

Il suffit qu’OVH remette les sites non ? En vrai… Non. OVH ne réalise pas de sauvegardes des données. Et c’est écrit dans le contrat signé par l’utilisateur…

C’est donc à l’utilisateur de réaliser les sauvegardes ! Avec une sauvegarde, il aurait juste suffi d’aller sur un autre serveur pour relancer le site !

Pensez donc à sauvegarder vos données régulièrement et à réfléchir à des plans d’action contre les incidents, qui peuvent arriver !

Même si vous tombez sur un hébergeur qui réalise des sauvegardes automatiques de vos données… Pensez à sauvegarder !

Parce qu’on ne sait jamais ! La sauvegarde automatique peut ne pas fonctionner. La sauvegarde que vous réalisez peut être corrompue. Donc, mieux vaut avoir plusieurs sauvegardes.

La paranoïa ?

Je n’ai jamais été confronté à l’incendie de mon datacenter favori, fort heureusement.

En revanche, dans certains projets web, j’ai rencontré des problèmes en cascade. Des problèmes qui ne sont en rien liés à mon hébergeur, je tiens à le préciser.

De ces problèmes découlaient d’autres soucis, entrainant des conséquences paralysant toute l’équipe. Coupables matériels et coupables humains s’entrechoquant dans un « duel de qui causera le plus de problèmes ? ». Il faut alors en tirer des enseignements pour optimiser les prochains projets, et comment éviter les prochains problèmes.

Cela peut passer par des actions de vérification, de triples sauvegardes dans différents formats, de tests matériels et autres… Cela ressemble fortement à de la paranoïa. Mais c’est la seule solution.

Et pour toutes les personnes n’ayant pas sauvegardé leurs données… Bon courage. Je reste à votre disposition si besoin d’un coup de main !