Déjà 28 jours que la version 2.3 de Worpress est sortie, sans qu’un correctif pour un problème de sécurité ne soit recommandé d’installer. Cela en est presque étonnant, on avait tellement pris l’habitude, avec les versions précédentes, de voir immédiatement fleurir des patch qui corrigeaient les problème de sécurité. Apparemment cette nouvelle version serait bien née à part ses petits problèmes lors de la mise à jour.

Une version beta V2.3.1 est proposée mais elle corrige des problèmes assez mineurs.

Vous êtes un blogueur et votre blog se trouve sur une plateforme communautaires. Avez-vous déjà pensé à la sécurité de votre blog ?

Quels sont les risques spécifiques encourus ?

Une petite liste non exhaustive des dangers potentiels.

• Le mot de passe du compte d’administrateur de votre blog est découvert.
• La plateforme qui héberge votre blog arrête son service ou décide de vous expulser.
• Le non respect des conditions fixées par votre hébergeur.
• Une erreur de manipulation de votre part comme par exemple l’effacement d’un article.
• Les textes des articles, les commentaires des visiteurs ou les publicités diffusées sur votre blog ne respectent pas les prescriptions et obligations légales.
• Un tiers qui abuse de votre confiance, par exemple une régie publicitaire qui affiche une publicité ne respectant pas les obligations légales ou utilise des scripts malicieux.
• Votre réputation qui peut être ternie par vos propos que vous tenez dans votre blog.
• La copie de vos œuvres (textes et photos) malgré votre droit d’auteur.
• Votre hébergeur qui efface et modifie des données.
• Un pirate qui exploite une faille de la plateforme de votre blog pour un usage malintentionné.
• Un mauvais filtrage de la saisie des commentaires qui permettent l’injection de code html qui modifie la présentation ou permet l’enregistrement de scripts malicieux.
• Des données confidentielles de votre blog, comme par exemple les adresses d’email postées dans les commentaires qui peuvent être lues par des personnes externes.
• Le site web est en panne ou les pages prennent du temps à charger.
• L’insertion de publicité, compteur ou gadget ralenti le chargement ou dans certains cas bloque le chargement de vos pages.
• Victime d’une Cross-Site Request Forgeries, dans le cas d’une session où vous avez travaillé avec votre compte d’administrateur de blog ou que vous faite mémoriser l’accès en utilisant des cookies

Quelles sont les règles à appliquer ?

Précision que vous êtes dépendant de la plateforme de votre hébergeur, vous n’avez aucun moyen de corriger les faiblesses et failles du système. Par contre je vous conseil d’appliquer les règles suivantes pour diminuer les risques.

• Utiliser un mot de passe difficile à deviner.
• Sauvegarder tous vos articles et photos. Si la plateforme ferme du jour au lendemain ou par inadvertance vous effacer un article vous aurez un moyen de les récupérer.
  Par exemple sauvegarder la page de votre article en utilisant la fonction d’enregistrement de votre browser ou copier et coller le texte dans un fichier.
• Surveiller les commentaires de vos visiteurs, effacer ou corriger ceux qui n’ont rien à faire sur votre blog.
• Attention de vous conformer aux lois pour le contenu de vos texte et des photos. Respectez les droits d’auteur si vous copiez des textes et des photos.
• Il n’existe aucun moyen technique de protéger votre création (textes, photos, etc.). Néanmoins un texte affiché rappelant aux visiteurs que vos créations sont soumises aux droits d’auteur peut être dissuasif. Afficher des photos en petite taille qui ne soient pas exploitables pour d’autres médias.
• Attention à vos propos, le texte affiché, même si il est retiré, risque de se retrouver mémorisé dans les moteurs de recherche ou repris par d’autres sites. Votre blog est votre carte de visite et vos visiteurs se feront une opinion d’après ce qu’ils liront et verront sur votre blog. Si vous êtes en colère, ne publier pas votre texte tout de suite, mais laissez-le « reposer » avant publication. Pensez qu’il est fort probable lors d’un changement d’emploi votre blog sera consulté pour évaluer votre candidature.
• Vous diffusez de la pub, vous utilisez compteurs statistiques ou vous affichez des gadgets, en faisant cela vous offrez à une société externe la possibilité d’insérer des images et d’exécuter des scripts qui peuvent modifier le comportement de votre blog. Choisissez un partenaire de confiance et expérimenté qui soit conforme aux obligations légales.
• Quand vous travaillez avec le compte administrateur de votre blog, à la fin déconnectez-vous de manière à ce que le système demande votre nom et mot de passe si vous retourner dans votre blog. De la même manière, n’utiliser pas la fonction se souvenir de moi, qui mémorise par un cookie votre accès à l’administration du blog. Cela vous protège d’une attaque par Cross-Site Request Forgeries. Un pirate va essayé de vous faire ouvrir un URL qui peut contenir une commande d’administration de votre blog, comme par exemple l’effacement d’un article.

Une petite comparaison entre les revenus réalisés par la diffusion de publicité entre les régies publicitaires Google AdSense et la nouvelle régie française BlogBang.

La période va du 1 août au 15 octobre 2007, ce sont les gains en franc suisse réalisé par un blog qui a environ 10′000 visiteurs/mois. Les prix sont nets :

Google AdSense : 50.51 Frs et Blogbang : 27.26 Frs

Quelques remarques :

• AdSense paie le plus, mais depuis un an le prix payé par pub diffusée baisse continuellement.
• AdSense n’est pas très intéressant pour les sites à faible trafic, il faut un gain cumulé de 100$ pour que le paiement soit effectué.
• BlogBang donne un gain moins élevé que Google AdSense, pour le site analysé la pub BlogBang figure sur une seule zone du blog, ( 3 zones pour google).
• Avec Blogbang 50% des revenus sont retenus par l’agence, et 30% retenus pour impôts, ce qui ne laisse plus grand chose au blogueur.
• A la différence d’AdSense, les paiements ont lieu tous les 3 mois indépendamment du montant, ce qui est intéressant pour un petit site.
• Comme vous le voyer, un blog de fréquentation moyenne ne peut pas vivre de la publicité, elle permet de payer les frais d’hébergement du site.

Ces derniers jours, les temps de réponse pour obtenir une page de mon photoblog étaient très long. Ce qui est particulièrement pénible pour mes lecteurs et ne les incite pas à naviguer dans mon blog.

Le problème vient que j’ai eu une forte augmentation du trafic et du serveur de base de donnée mySQL qui était chargé.

Le problème du serveur base de donnée vient d’être résolu. Mon blog étant en hébergement mutualisé chez Infomaniak.ch, je leur ai signalé ce problème, et ils ont rapidement trouvé une solution en me déplaçant sur un autre serveur mySQL moins chargé. Si vous cherchez un bon hébergeur, je vous recommande la société Infomaniak.

Pour pallier à l’augmentation de trafic j’ai installé un cache. Si vous utilisez WordPress je vous recommande le plugin wp-cache. Ce plugin garde en cache les pages de votre blog ce qui évite de trop solliciter le serveur de base de donnée de votre blog. Ce plugin s’installe sans problème et est paramétrable, il améliore grandement les temps de réponse.

Un autre facteur qui peut ralentir le chargement des pages, est l’utilisation de gadget et bannières fournies par d’autres site web. Elles peuvent prendre énormément de temps au chargement et si elles sont mal conçues peuvent quasiment empêcher le chargement de vos page en cas de défaillance. (Voir le cas blogbang)

Une faille de sécurité a été découverte dans le plugin de FeedBurner utilisé par WordPress.  Un utilisateur mal attentionné pourrait configurer et contrôler à distance ce plugin.  La bonne nouvelle, un jour après que cette faille potentielle a été découverte, FeedBurner à corrigé ce problème et propose une nouvelle version 2.3 de son plugin.

La nouvelle version 2.3 de ce plugin peut être téléchargée à l’adresse suivante : http://www.feedburner.com/fb/a/help/wordpress_quickstart 

J’ai effectué le passage de ce blog de la version 2.2 à 2.3 de Wordpress pour tester la nouvelle version. J’avais envie de faire un essai avant de faire l’upgrade sur mon photoblog.

L’upgrade s’est assez bien passé, mais j’ai eu un petit problème. L’éditeur en mode visuel ne marchait plus !!

Surement un paramètre de configuration de la base de donnée qui devait le bloquer. Pour résoudre le problème, j’ai fait une installation complète en partant à zéro et en important tous les articles. J’ai aussi du  ré-installer les thèmes et les plug-in et paramétrer le système .

Cette version 2.3 apporte des changements de tables dans la base de donnée. Avant de faire l’upgrade, il est vivement recommandé de désinstaller tous les plug-ins (ce que je n’ai pas fait…) et je me suis retrouvé avec ces désagréments.