De la sécurité des extensions selon WordPress

WordPress

Encore un coup de gueule, j’aimerais bien de temps en temps remplir un peu plus souvent les autres catégories que celle-là sous peine finalement de passer pour un éternel râleur (même si je le suis quand même un peu).

Depuis quelque temps sur ce site présentait un défaut, le texte des articles, ne s’affichait plus, ce qui sur le principe ne facilite pas la lecture. Je décidai donc de prendre le problème à bras le corps, prodiguant à moi-même les (bons) conseils que je donne aux autres sur le forum de support francophone WordPress. J’identifie assez rapidement l’extension à l’origine du problème et là, je me rends compte, par hasard, d’une petite subtilité.

Dans la page de gestion des extensions, au niveau de l’extension en question, je n’ai pas la mention « Afficher les détails » mais « Aller sur le site de l’extension » qui pointe sur une page 404. Pour ceux qui ne le sauraient, « Afficher les détails », permet, comme son nom l’indique d’aller sur le dépôt officiel WordPress des extensions pour obtenir des informations. Logiquement, lorsque vous achetez une extension sur un site quelconque, comme elle n’est pas dans le dépôt officiel WordPress, on vous propose d’« Aller sur le site de l’extension ». Sauf que… Toutes mes extensions proviennent du dépôt officiel WordPress, je n’en prends pas ailleurs. Vous commencez à voir où je veux en venir…

Donc en clair, on retire du site WordPress une extension – généralement il faut une bonne raison comme une faille de sécurité non corrigée et après vérification c’est bien le cas – vous n’êtes pas informé du retrait. Pire que cela, son retrait du dépôt ne lève aucune alarme d’aucune sorte et passe même inaperçue puisque cela apparaît simplement comme une extension externe au dépôt.

On nous rebat les oreilles – ce que je fais d’ailleurs moi-même – sur la sécurité des extensions et thèmes, qu’il faut les choisir avec attention, ne pas les prendre n’importe où et surtout les mettre à jour. Et les développeurs WordPress, pourtant à la pointe de la sécurité, virent discrètement des extensions avec des vulnérabilités sans même informer des risques les utilisateurs qui l’utilisaient. D’un point de vue sécurité, oui, ça me fait vraiment râler, j’aurais bien aimé le découvrir autrement, un mail par exemple. Le dépôt WordPress est capable de quantifier le nombre d’utilisateurs utilisant une extension, est aussi capable de pousser une mise à jour de faille de sécurité sur une extension largement utilisées mais est incapable de signaler le retrait d’une extension aux utilisateurs chez qui elle est installée !

Donc, pour conclure, afin de maintenir votre la sécurité sur votre site, ne choisir que les extensions du dépôt officiel de WordPress n’est pas suffisant. Il vous faut les inspecter une à une régulièrement pour rechercher la disparition de la mention « Afficher les détails ». Vous voilà averti.

Récupérer un fichier pdf dans le cache de Chrome

Logo Chrome

Sur un site Web, un des administrateurs avait changé un fichier pdf sans prévenir, rendant impossible – cela reste toutefois très relatif dans le domaine de l’informatique – toute comparaison avec le précédent. Me vint alors l’idée apparemment simple d’aller voir dans le cache du navigateur, le fichier ayant été consulté quelques mois auparavant. Malheureusement, la consultation avait été faite avec Chrome.

Chrome a la pénible habitude d’enregistrer son cache dans un format hexadécimal, ce qui pose un problème si vous cherchez à récupérer un fichier joint dans une page Internet. Impossible de le lire ni de l’enregistrer. La page dans l’historique n’est pas lisible laissant apparaître un mélange d’informations liées à la page HTML et de données en hexadécimal.

Sur Internet – comme d’habitude – on trouve plein d’astuces, de petits utilitaires qui ne fonctionnent pas et font perdre plus de temps qu’autre chose. Voici donc après beaucoup de recherche la solution pour s’en sortir obtenue de haute lutte.

Bon ceux, qui me connaissent, savent que mes solutions passent généralement par Linux, pour d’autres systèmes d’exploitation, il vous faudra l’adapter, mais le principe reste le même.

1/ Commencez par enregistrer la page contenant la pièce jointe depuis le cache de Chrome pour obtenir un fichier pdf. À ce stade, ne cherchez à l’ouvrir avec un lecteur de PDF, il n’est pas lisible.

2/ Ouvrez le fichier avec un simple éditeur de texte pour retirer toutes les informations relatives à la page Web (les en-têtes HTTP) pour ne conserver que le code hexadécimal. En clair, cela doit commencer avec l’adresse 00000000 qui contient « %PDF-1.5 » correspondant au format du fichier. Il doit se terminer avec la ligne contenant « %EOF » indiquant la fin du fichier (End Of File).

3/ Il suffit donc ensuite d’utiliser dans un terminal (sous Linux) la commande « xxd -r » pour convertir le fichier hexadécimal généré précédemment en un fichier binaire qui sera lisible par n’importe quel lecteur de PDF.

Et voilà, c’est terminé. En gros 5 minutes pour éviter de passer des heures à tester des extensions de Chrome et autres utilitaires inefficaces.

Installation Windows 10 & Ubuntu Gnome 16.04 LTS

Logo Windows

Suite à un problème technique impromptu, sur mon PC un peu trop ancien, j’ai dû le renouveler en catastrophe en profitant d’une promotion fort opportune. Le problème, c’est que dans ce cas de figure, on a pas trop de choix, c’est Windows 10… À partir de ce moment, il est proposé chez ce constructeur, le remboursement du système d’exploitation, mais il faut retourner le PC au support et attendre une bonne semaine ; plutôt pénible lorsque votre PC est hors service. J’ai donc pris la décision comme la fois précédente, un double boot Windows / Linux, c’était sans savoir à quoi je serai confronté.

Les premiers écueils s’appellent « Bios UEFI » et « Secure Boot ». Les désactiver empêche l’installation Windows par défaut de démarrer, et toutes les versions d’Ubuntu (Ubuntu Gnome) ne gèrent pas cette configuration (seules les dernières versions le peuvent). Cerise sur le gâteau, il n’était pas possible de désactiver ces fonctions sans avoir mis à jour le Bios.

Une fois ces problèmes réglés, l’installation Linux peut enfin se faire, et Grub, permet de tout faire démarrer correctement. Sauvé !

Enfin presque. Au fur et à mesure que j’utilise l’ordinateur, je lève de nouveaux loups. Impossible, par exemple, sous Linux de lire des partitions Windows, ce qui ne posait aucun problème auparavant. En cherchant un peu, je découvre la « bidouille » des ingénieurs Microsoft pour améliorer le démarrage de Windows : ne plus arrêter les disques durs ! Il ne reste plus qu’à trouver dans le fouillis des paramètres celui gérant le démarrage rapide, dans la gestion des boutons de la gestion de l’alimentation. Encore un exemple ? Chaque fois que je démarre sous Windows, je me retrouve systématiquement avec 2 heures de retard. Encore quelques recherche pour découvrir que l’un se base sur l’heure GMT et l’autre sur l’heure UTC. Encore des modifications à faire dans la base de registre Windows.

Windows 10 le meilleur Windows jamais construit ? Euh… Non, mais c’est vraiment celui qui m’a fait perdre le plus temps pour faire un simple double boot. D’une certaine façon, ils ont gagné, la prochaine fois je ne ferai pas de double boot, je prendrai un ordinateur sans système d’exploitation et y installerai Linux et me contenterai de subir Windows… au bureau.

1 2 3