Raspberry/Munin : Monitor d’un site WordPress distant ( httpresponsetime )

69 x served & 6 x viewed

Installation d’un plugin en python : https://github.com/arthur-debert/munin-httpresponse-plugin/blob/master/httpresponsetime

$ sudo vi /usr/share/munin/plugins/httpresponsetime
 -> Copie du script.
$ sudo ln -s  /usr/share/munin/plugins/httpresponsetime /etc/munin/plugins/httpresponsetime
$ sudo chmod +x  /usr/share/munin/plugins/httpresponsetime /etc/munin/plugins/httpresponsetime
$ sudo apt-get install python-setuptools python-dev build-essential
$ sudo easy_install pip
$ sudo pip install httplib2

Ajout dans le fichier :

$ sudo vi /etc/munin/plugin-conf.d/munin-node
...
[httpresponsetime]
    env.urls http://www.cyber-neurones.org
...

Et on relance :

$ sudo munin-node-configure --shell
$ sudo service munin-node restart

Et voici le résultat :

WordPress & PHPNET.ORG : Quel est le coût ?

49 x served & 3 x viewed

Le lien commercial de PHPNET.ORG : https://www.phpnet.org/hebergement-wordpress.php ( et https://www.phpnet.org/hebergement-mutualise.php ) .

La formule ECO est à 0,99 Euro HT , on va dire 14,26 Euros TTC/an ( Cette offre comprend un domaine offert en .fr ) :

Cela doit faire 6 ans que je fais mon blog :

En 6 ans, j’ai la taille de la base de donnée qui est de 65 Mo, pour 1102 posts :

L’espace disque est de 6 Go.

J’ai donc du payer environ : 6 ans x 15 Euros = 90 Euros ( pour WordPress.org à ne pas confondre avec WordPress.com ) . En fait j’ai payé plus cher car je n’ai pas un nom de domaine en .fr mais en .org . A l’époque le .fr n’était pas encore d’actualité …  ( cyber-neurones.org a été acheté il y a très longtemps chez Gandi.net )

Je préfère payer 90 Euros que d’avoir un site gratuit sur :

Avec ses sites on ne maitrise pas la publicité et on est limité dans l’évolution, rien à voir avec du VRAI WordPress. A mon avis le mieux c’est de rien faire … sinon on génère du trafic pour eux. A limite on doit pouvoir écrire un article contrôle la malbouffe et se retrouver avec une pub pour un fast food.

Sinon il existe aussi une autre fausse bonne idée, se monter un Raspberry Pi 3 Modèle B+ avec WordPress.

  • Quel est le cout du Raspberry ? on va dire 60 Euros pour un pack complet
  • Il va falloir mettre un disque SSD car la carte SD ne va pas tenir plus de 3 ans. Donc +30 Euros.
  • Il va falloir ouvrir les ports 22/tcp, 80/tcp, 443/tcp. On va donc faire un trou de sécurité.
  • Quel est le cout de la consommation électrique sur un an ?
  • Est-ce que la qualité de l’ADSL ou de la fibre permet réellement de faire cela ?
  • Est-ce que c’est onduler ?

L’option Raspberry n’est donc pas rentable et fiable si on fait une analyse …

Misère.

 

WordPress : Une vulnérabilité inhérente à PHP

46 x served & 16 x viewed

L’article à lire : https://www.developpez.com/actu/219553/Une-vulnerabilite-inherente-a-PHP-met-a-risque-des-millions-de-sites-web-WordPress-et-l-equipe-du-CMS-ne-l-a-toujours-pas-corrigee-depuis-2017/ .

La vulnérabilité en question est liée à un bogue PHP lié à la désérialisation des données (ou unmarshalling) a révélé un chercheur en sécurité. Le bogue a été rapporté à l’équipe de WordPress depuis le 28 février 2017 et n’a pas reçu de correctif pendant toute cette période (plus d’un an et demi).

Sur WordPress, le bogue de désérialisation affecte la fonctionnalité de traitement d’images miniatures, plus précisément la fonction wp_get_attachment_thumb_filese trouvant dans /wpincludes/post.php, avec la nécessité que le hacker ait la possibilité de téléverser une image déformée sur la plateforme.

Les problèmes de désérialisation ne datent pas d’aujourd’hui. Depuis 2009, des vulnérabilités pouvant aider à compromettre la sécurité de systèmes PHP ont été trouvées comme CVE-2017-12934, CVE-2017-12933 et CVE-2017- 12932.

A suivre.

WP-Spamshield : La mise à jour qui a tué le site … ( Erreur 500 )

205 x served & 95 x viewed

Je pense que l’équipe de WP-Spamshield manque vraiment de sérieux, leur dernière mise à jour a mis hors service un grand nombre de site sous WordPress. Il aurait pu faire des bêtas tests sur leur version.

Déroulement, à 18h37 la mise à jour ce fait.

[21/Jan/2017:18:37:56 +0100] "GET /wp-admin/update.php?action=update-selected&plugins=wp-spamshield%2Fwp-spamshield.php&_wpnonce=539f30c06d HTTP/1.1" 200 15142 "http://www.cyber-neurones.org/wp-admin/update-core.php?action=do-plugin-upgrade"

Et à 18h39 le site est H.S , a chaque test on a une erreur 500.

192.0.101.226 - - [21/Jan/2017:18:38:17 +0100] "HEAD / HTTP/1.1" 500 - "-" "jetmon/1.0 (Jetpack Site Uptime Monitor by WordPress.com)" "www.cyber-neurones.org" "mutu0174.phpnet.org »
192.0.101.226 - - [21/Jan/2017:18:39:20 +0100] "HEAD / HTTP/1.1" 500 - "-" "jetmon/1.0 (Jetpack Site Uptime Monitor by WordPress.com)" "www.cyber-neurones.org" "mutu0313.phpnet.org »
54.217.201.243 - - [21/Jan/2017:18:39:26 +0100] "HEAD / HTTP/1.1" 500 - "-" "jetmon/1.0 (Jetpack Site Uptime Monitor by WordPress.com)" "www.cyber-neurones.org" "mutu0174.phpnet.org »
122.248.245.244 - - [21/Jan/2017:18:39:27 +0100] "HEAD / HTTP/1.1" 500 - "-" "jetmon/1.0 (Jetpack Site Uptime Monitor by WordPress.com)" "www.cyber-neurones.org" "mutu0311.phpnet.org"

Au début j’ai cru à une panne de PHPNET.ORG, mais leur serveur fonctionnait correctement. En regardant les logs j’ai pu voir que c’était la mise à jours qui avait causé le problème. Mais pour avoir les logs chez PHPNET.ORG il faut attendre le jour suivant 🙁 .

Ensuite j’ai réussi a trouvé un forum de personnes qui avaient le même problème. Disons que j’aurai pu voir l’erreur si j’avais eu un fichier de logs avec toutes les erreurs PHP.

If you would like immediate relief, you can comment out the following line in the wp-spamshield.php file that have WPSS_Utils::append_log_data. Lines 2642, 7323, 7393 are the only ones you would need to edit. Just add “//” to the beginning of the line. This is a debugging function, so it’s safe to comment it out. (If anyone isn’t familiar with editing PHP files, just make sure you’re using a text editor like Notepad or Notepad++, and don’t use any Microsoft, Office, or word-processor-type apps. Also, always back up the original file first.)
Voici la traduction en Français :
Si vous souhaitez une correction immédiate, vous pouvez commenter les lignes suivantes dans le fichier wp-spamshield.php qui ont WPSS_Utils :: append_log_data. Les lignes 2642, 7323, 7393 sont les seules à éditer. Il suffit d’ajouter « // » au début de la ligne. Il s’agit d’une fonction de débogage, il est donc prudent de commenter. (Si quelqu’un n’est pas familier avec l’édition de fichiers PHP, assurez-vous simplement que vous utilisez un éditeur de texte comme le Bloc-notes ou le Bloc-notes ++ et n’utilisez pas d’applications Microsoft, Office ou de type processeur de texte. Le fichier d’origine d’abord.)
L’URL du support de WP-Spamshield est la suivante : https://www.redsandmarketing.com/plugins/wp-spamshield/support/ . Ils sont aussi présent sur Twitter ( @WPSpamShield ) , si vous avez envie de les féliciter 🙂 .
Voici donc les modifications que j’ai fait dans le fichier wp-content/plugins/wp-spamshield/wp-spamshield.php :
Ligne 2642 :
        if( !empty( $bclm_off ) ) { /* Turns Blocked Spam Logging Mode off and clears vaues */
WP_SpamShield::update_option( array( ‘comment_logging’ => 0, ‘comment_logging_all’ => 0, ‘comment_logging_start_date’ => 0, ‘comment_logging_end_date’ => 0, ) );
//if( !empty( $wpss_rsds ) ) { WPSS_Utils::append_log_data( NULL, NULL, ‘Blocked Spam Logging Mode has been disabled. ‘.'[‘.$bclm_oc.’]’ ); }
} else {
Ligne 7323: 

                if( FALSE === $valid ) {
//WPSS_Utils::append_log_data( NULL, NULL, ‘Error sanitizing IP address in method ‘.__CLASS__.’::’.__FUNCTION__.’ | Original IP: ‘.$str.’ | Sanitized IP: ‘.$tmp );
}

Ligne 7393 : 
                if( !is_string( $pattern ) || !is_string( $subject ) || FALSE === strpos( $pattern, ‘~’ ) || 0 !== strpos( $pattern, ‘~’ )  || 0 !== strpos( $pattern_rev, ‘~’ ) ) {
 //WPSS_Utils::append_log_data( NULL, NULL, ‘Error in regex pattern: ‘.$pattern );
return FALSE;
}

Ensuite il faut copier le fichier et écraser l’ancien.  Normalement cela permet de refaire fonctionner le fichier, ce qui a été le cas pour moi.

Et derrière il faut faire la mise à jour avec le correctif du correctif :

On nous avez promis le bordel avec Trump, cela n’a pas loupé 😉 .

Pour leur défense, ils ont étés très réactif sur la correction. Mais je pense qu’il ne faut pas faire de mise à jours le Samedi. Il devrait faire les mises à jours du lundi au jeudi, sauf s’il y a une faille critique.

Version 1.9.9.8.7, released 01/22/17

Fixed a bug affecting certain server configurations.
Made various code enhancements and improvements.
Version 1.9.9.8.6, released 01/21/17

Made various code enhancements and improvements.
Added an option to disable automatic plugin updates.
Maintenance: Updated the spam filters.

Version 1.9.9.8.5, released 01/19/17

Fixed a bug causing PHP Notices/Warnings.
Made various code enhancements and improvements.
Maintenance: Updated the spam filters.

Pour finir une petite commande curl pour voir le nombre d’erreur 500 par jour à partir des logs d’Apache :

cat access.log.201701* | awk '{print $4 " " $9}' | sed 's/:/ /g' | awk '{print $1 " " $5}' | sort -n | uniq -c | grep "2017 500"
  32 [01/Jan/2017 500
  28 [02/Jan/2017 500
 436 [03/Jan/2017 500
  45 [04/Jan/2017 500
  42 [05/Jan/2017 500
  48 [06/Jan/2017 500
  39 [07/Jan/2017 500
  33 [08/Jan/2017 500
  49 [09/Jan/2017 500
  71 [10/Jan/2017 500
  43 [11/Jan/2017 500
  52 [12/Jan/2017 500
 107 [13/Jan/2017 500
  62 [14/Jan/2017 500
  53 [15/Jan/2017 500
  64 [16/Jan/2017 500
  53 [17/Jan/2017 500
 102 [18/Jan/2017 500
  64 [19/Jan/2017 500
  56 [20/Jan/2017 500
1284 [21/Jan/2017 500
6365 [22/Jan/2017 500

Misère.

 

WordPress : Plugin JetPack mon avis sur Photon

256 x served & 138 x viewed

JetPack essaye encore de pousser sa technologie Photon que je déconseille vivement.

Voici leur SPAM :

Case Study: Photon for Business
In 2012, Jesse Friedman wasn’t part of the Jetpack team yet – but as the director of web development for an agency in Rhode Island, he was already a happy Jetpack user. Here’s how he describes his experience using Photon (our free CDN) for the first time:
Speed, security, and uptime were very important to our clients. At the time, their websites were powered by a third-party closed source CMS that had been experiencing a lot of downtime and abysmal load speeds. The new sites were to be hosted on a managed WordPress hosting solution, and initial tests showed a significant improvement in speed. I was considering a CDN, but I wasn’t sure whether the server and management costs would be worth it. Jetpack came with Photon, a free image CDN. But would it be enough?

Avant de l’occuper de Photon il ferait mieux de s’occuper des boutons de partage qui trop souvent sont en chargement en boucle. Voici ma configuration :

Voici bien souvent le résultat :

Le chargement est en boucle infini …

Misère.