Développement web

Lorsque l’on développe pour le web, passer par un FTP pour modifier ses fichiers et consulter le résultat sur son serveur n’est pas toujours ce qu’il y a de plus pratique notamment lorsque l’on veut peaufiner son thème ou tester des plugins. En installant un petit serveur local, on évite ainsi quelques désagréments à d’éventuels visiteurs qui pourraient tomber sur une page en travaux ou sur des erreurs de code. Si la manœuvre peut paraître complexe, elle ne l’est pas réellement. Il suffit de s’intéresser un minimum au sujet et vous devriez y arriver d’autant plus qu’il y a beaucoup de support sur la toile pour WampServer qui de toute façon fonctionne très bien dans la grande majorité des cas. Pas de panique donc !

Pour commencer, allez récupérer ce dont nous avons besoin :
Le logiciel WampServer
La dernière version de WordPress

Note : Il est possible que votre pare-feu demande des autorisations (ce qui est normal) ou bloque le logiciel, je vous invite donc à bien le configurer. Skype fait aussi des interférences sur le port 80, veillez à lancer le serveur AVANT Skype si vous souhaitez l’utiliser.

WampServerTout d’abord installez WampServer, logiquement en laissant les paramètres par défaut ça devrait fonctionner mais si vous êtes un utilisateur avancé, je vous laisse libre de modifier les options. Une fois lancé, le logiciel s’installe dans le SysTray (à coté de l’horloge Windows, en bas à droite). En fonctionnement normal, l’icone doit être verte (en rouge lorsque les services sont éteints). Effectuez un clic droit et changez la langue si l’interface est en anglais. Ensuite, le clic gauche propose l’ensemble des fonctionnalités du serveur. La première chose que l’on va faire, c’est activer la réécriture d’URL, pour ce faire, rendez-vous dans Apache > Modules Apache et trouvez rewrite_module (cliquez dessus). Voilà, votre environnement est prêt !

Pour fonctionner, WordPress a besoin d’une base de donnée que l’on va créer grâce à phpMyAdmin que vous trouverez toujours dans le menu de WampServer. Pour vous y connecter, utilisez le nom d’utilisateur root, par défaut il n’y a pas de mot de passe (Pas très utile en local). Ensuite, nous allons créer notre base de données. Cliquez sur « Base de données » en haut et un petit formulaire avec le titre « Créer une base de données » devrait s’afficher. Pour notre exemple, on va mettre wordpress puis appuyez sur « Créer ». Logiquement, une nouvelle base devrait s’afficher dans le menu de gauche. C’est bon ? Continuons alors !

Dans le menu de WampServer, cliquez sur « Répertoire www », c’est le dossier où vont se trouver vos pages web. Par défaut, on y trouve un index.php.Dézippez l’archive de WordPress, si possible dans un sous dossier « wordpress » (./www/wordpress). Et voilà !

Il faut maintenant se rendre sur localhost où vous trouverez la page d’accueil de votre serveur local. Vous devriez retrouver votre dossier wordpress sous « Vos Projets ». Cliquez dessus afin de lancer l’installation de WordPress et laissez-vous guider !

WordPress va alors vous demander quelques informations :
– Nom de la base de données : wordpress
– Identifiant : root
– Mot de passe : (Laissez vide)
– Adresse de la base de données : localhost
– Préfixe des tables : wp_

Si tout s’est bien déroulé, Vous devrez définir le nom de votre blog ainsi que créer votre utilisateur admin. Et voilà, votre blog WordPress est maintenant installé en local et vous pouvez l’utiliser normalement.

Si comme moi vous êtes fan des plugins pour Firefox vous avez déjà surement rencontré des versions obsolètes qui vous intéressaient que vous ne pouviez pas installer. Il est possible de les rendre compatible mais je vous préviens tout de suite il est possible que cela entraîne des bugs. Ceci-dit la plupart du temps ça fonctionne plutôt bien.

Mozilla Firefox

Le système d’installation de modules complémentaires utilise des fichiers .xpi que vous allez pouvoir télécharger sur le portail de Mozilla grâce à Internet Explorer, Google Chrome ou encore Safari. En effet, ces navigateurs ne comprennent pas ce format et vous pourrez donc les rapatrier sur votre disque dur.

Décompressez le .xpi comme n’importe quelle archive zip. En fait, les .xpi sont ni plus ni moins que des fichiers zippés, à l’intérieur vous y trouverez install.rdf qui contient les données de compatibilité. Trouvez la ligne <em:maxVersion>1.0</em:maxVersion>, cette balise donne la version maximale de Firefox où le plugin peut être installé, changez là et mettez votre numéro de version de votre navigateur (ou un numéro supérieur).

Rezippé le tout et renommez le fichier en .xpi, vous n’avez plus qu’à l’ouvrir avec Firefox et l’installation fonctionnera. Encore une fois attention car il est possible que certains plugins complexes puissent faire planter votre navigateur mais pour ma part je n’ai jamais eu de problèmes sauf avec certains thèmes qui ne s’affichaient pas correctement.

Informer vient de dévoiler sa nouvelle version de PunBB estampillée 1.4.4 qui apporte quelques changements intéressant notamment au niveau du thème Oxygen affiché par défaut qui passe au responsive design, il était temps. Le plugin OpenSearch a également été implémenté afin d’assurer un meilleur système de recherche. Quelques corrections et de petites amélioration au niveau de la sécurité font de cette nouvelle version un bon petit CMS afin de gérer vos forums de discussions. Toujours aussi léger, un système de dépôt de plugin va vous permettre d’ajouter les fonctionnalités dont vous avez réellement besoin.

PunBB

Si vous parlez la langue de Molière vous allez surement vouloir traduire le script, je vous propose ici les fichiers langue que vous devez décompresser dans le répertoire « lang » de PunBB. N’hésitez pas à y apporter vos corrections ou à poser vos questions dans les commentaires si vous rencontrez un problème.

Télécharger la traduction française de PunBB 1.4.4

Note : Cette traduction n’a été testée qu’avec la 1.4.4.

Je ne sais pas pour vous mais sur la plupart des blogs que j’ai mis en production qui ne sont pas spécialement dédiés à la photographie et/ou à l’image, les pages contenant les fichiers attachés ne sont pas très utiles sinon à augmenter artificiellement le nombre de pages de votre site. C’est d’autant plus désagréable que certaines requêtes en provenance des moteurs de recherche n’arrivent pas sur votre article mais sur une page vide contenant simplement une image. Difficile d’attirer de nouveaux lecteurs si vous faites dans le rédactionnel. Ces pages sont généralement indexées à partir du flux RSS qui fait pointer les images vers ces pages spécifiques, c’est plutôt une bonne idée afin d’éviter que l’utilisateur n’arrive pas directement sur l’image mais sur votre blog.

Comme je ne suis pas un grand fan de l’utilisation de plugins à outrance, j’ai donc mis en place cette simple ligne de code dans le fichier image.php de mon thème (Vous pouvez éventuellement la créer si elle n’existe pas) :

Comme par magie lorsqu’un utilisateur cliquera sur une image dans son lecteur de flux ou s’il arrive de Google, il tombera sur l’article lié et non plus sur la page du fichier.

Comme c’est un peu la fête du slip de la faille de sécurité sur les plugins WordPress en ce moment, il m’a semblé bon de rappeler qu’il est très important de maintenir ses plugins ainsi que son CMS à jour afin d’éviter les attaques. Toutefois, nous ne sommes jamais à l’abri et il arrive parfois que certaines brèches sont découvertes sur le tard. Récemment, ce sont les plugins All In One SEO et Jetpack qui ont été la cible des hackers. Comme quoi ça peut arriver aux meilleurs…

Tout d’abord, lors de votre choix de plugin, regardez bien de quand date la dernière mise à jour. Certains développeurs ont laissé à l’abandon leurs créations probablement par manque de temps. Il est donc plus judicieux de choisir ceux dont le développement semble être actif, les notes des utilisateurs sont aussi une bonne indication.

La plupart du temps, on a à faire à des attaques automatisées, le bot va scanner le code de votre blog pour y trouver les commentaires que laissent certains plugins. WP Super Cache par exemple va laisser un gros truc bien dégueulasse en pied de page de votre code HTML :

Dès l’annonce d’une faille, les bots vont aller chercher ce type de commentaires, en clair il est possible de savoir en quelques secondes si tel ou tel site a une faille ouverte… On se demande bien d’ailleurs pourquoi les développeurs continuent à ajouter ce genre de choses qui ne servent à rien sinon à alourdir le poids des pages. C’est d’autant plus absurde dans mon exemple car l’idée est d’accélérer l’affichage… Bref… Notez bien que ce n’est qu’une technique parmi tant d’autres.

Pour savoir si vous avez été victime d’un hack ou si un logiciel malveillant est présent sur votre site, vous pouvez utiliser Google Webmaster Tools qui vous avertira rapidement s’il trouve quelque chose. Il faut aussi faire un tour sur votre FTP pour y dénicher les fichiers qui n’ont rien à faire sur votre serveur. Un des plus courant c’est probablement le fameux « social.png » (et ses variantes) que l’on trouve généralement à la racine de son installation ou dans le dossier du thème. Il s’agit en fait d’un fichier PHP contenant du code malicieux qui généralement se fait inclure dans le functions.php de votre thème. Du code est rajouté tout en bas et fait référence à « social.png ». D’ailleurs, j’aime bien mettre un CHMOD 444 sur ce fichier par prévention, de cette manière il n’est plus éditable depuis l’interface WordPress.

Si vous trouvez effectivement ce bout de code et des fichiers « social.png » sur votre serveur, c’est que très probablement il y a eu une intrusion. Si vous savez de quel plugin cela provient, contactez directement le développeur par email, évitez de le faire publiquement afin de ne pas propager la nouvelle faille. C’est une opération délicate que de trouver le fautif car cela peut très bien venir d’un plugin, du thème ou du CMS en lui-même…

Autre cas récurrent, souvent lié au premier, c’est la création d’un nouvel admin nommé « system0 », « system1 »… Le mieux est de supprimer tout utilisateur que vous ne connaissez pas et qui possède tous les droits d’administration.

Afin de « nettoyer » votre installation, veillez à re-télécharger une archive de WordPress sur le site officiel et d’écraser tous les fichiers afin de s’assurer de repartir sur une base saine. Assurez-vous aussi que tous vos plugins et thèmes sont à jour et qu’ils ne datent pas.

Chaque hack est différent et il souvent difficile de trouver la faille c’est pourquoi il est important de faire des sauvegardes régulières et de les archiver afin de pouvoir « revenir en arrière » en cas de pépin. N’oubliez pas de changer votre mot de passe lorsque vous aurez comblé la faille.