Automatiser les mises à jour sur WordPress

By | sauvegarde wordpress, Sécurité, Wordpress 3.7, Wordpress 4.2 | No Comments

L’une des grandes avancées de WordPress 3.7, c’est la mise à jour automatique du programme. S’il reste la mise à jour des plugins à faire, la mise à jour du CMS se fait automatiquement. Ceux qui utilisent la fonction recevront même un email directement dans leur BAT.

C’est désormais une nécessité depuis la version 4 de WordPress et des malheureuses, mais régulières failles de sécurité. Ne serait ce que la dernière faille de sécurité de wordpress en date qui n’était pas violente, à condition de faire la mise à jour 4.1.2 qui a permis de régler le problème tout de suite.

Cependant, une mise à jour doit être optimisé et ne doit pas vous bloquer votre site. C’est pourquoi que l’automatisme c’est bien, mais à condition de mettre en place un système de sauvegarde automatique de votre base de données, chaque semaine, qui permettra de vous aider si la mise à jour automatique fait planter WordPress.

D’autres ont préféré refuser ces automatismes pour avoir la main et garder le contrôle sur un éventuel plantage. Solution idéale c’est vrai, mais à condition d’avoir un seul site à gérer. Nous qui en avons une centaine, c’est plus compliqué.

Dans ce cas précis on organise en parallèle des sauvegardes automatiques, le nécessaire pour connaître les sites à risque et les autres.

Du coup, les automatismes, nous les réglons à la main : Démarrons par la plus simple, le réglage des mises à jour plugins et thèmes:

Pour cela il faut aller dans le fichier functions.php, pour rajouter les deux lignes suivantes:

add_filter( 'auto_update_plugin', '__return_true' ); // Plugins
add_filter( 'auto_update_theme', '__return_true' ); // Thèmes

La première ligne activera la mise à jour automatique des plugins, la deuxième la mise à jour automatique des thèmes.

 

Ensuite, le réglage du core, des réglages plus avancés et bien précis.

Pour activer les mises à jour mineures:

add_filter (‘allow_dev_auto_core_updates’, ‘__return_true’);

Pour l’activation des mises à jour majeures:

add_filter (‘allow_major_auto_core_updates’, ‘__return_true’);

Attention, à bien noter : Si les mises à jour majeures sont plus importantes dans le fonctionnement du site, les mises à jour mineures sont souvent des mises à jour d’ajustement et de sécurité : Donc si la différence est faite pour wp, nous vous conseillons d’activer les deux, et même plus les mises à jours mineures, security first !

Créer-un-plugin-Wordpress

Créer un plugin WordPress

By | Aide et astuces, Plugin Wordpress | No Comments

Le guide du développeur pour créer un plugin WordPress.

 Avant-propos

Pour créer un plugin WordPress, il est nécessaire de connaitre au minimum les bases des langages PHP et HTML. Il est bien entendu possible d’y ajouter d’autres langages tels que le CSS, JavaScript et XML pour ne citer que les plus couramment utilisés.

A ce jour, WordPress compte plus de 36 000 plugins.

 

Pour illustrer ce tutoriel, les exemples porteront sur un plugin nommé, formation-wp. Il ne possèdera pas de fonctionnalité particulière. Il peut être considéré comme un gabarit regroupant les indispensables pour créer un plugin WordPress.

L’arborescence des plugins

La première étape consiste à trouver un nom unique à votre plugin. Choisissez-le bien, car il figurera à différents endroits: dans le code est dans l’arborescence. De plus, si le plugin est voué à être publié sur le site officiel de WordPress, la publication de ce dernier pourrait être refusé si le nom est déjà pris.

Enfin, les plugins sont à placer dans le dossier /wp-content/plugins.

Le minimum vital

Créez un fichier PHP ayant pour nom celui du plugin (ici, formation-wp.php), ajoutez-y l’entête suivant:

<?php
/**
 * Plugin Name: Formation-WP.
 */

A ce stade, le plugin est considéré comme valide par WordPress. Il est désormais possible de taper du code à la suite de cet en-tête.

Pour aller plus loin

Bien que valide, notre plugin n’est pas suffisamment fourni pour être publié sur le site officiel de WordPress. L’en-tête du fichier formation-wp.php n’est pas complet et un fichier readme.txt manque à l’appel.

Dans la mesure où notre plugin contient plus d’un fichier, il faut également créer un dossier racine qui reprend le nom du plugin.

/wp-content
/plugins
/formation-wp
formation-wp.php
readme.txt

Reprenons l’entête du fichier formation-wp.php comme dans l’exemple ci-dessous:

<?php
/**
 * Plugin Name: Formation-WP.
 * Plugin URI: URL du site officiel du plugin.
 * Description: Description courte qui figurera dans le tableau de bord de wordpress
 * Version: 1.0.0
 * Author: Jeremy SPAETH
 * Author URI: URL du site de l'auteur.
 * Text Domain: Optionnel. Plugin's text domain for localization. Example: mytextdomain
 * Domain Path: Optionnel. Chemin relatif vers les fichiers de traduction .mo - Example: /languages/
 * Network: Optionnel. Valeurs: true/false. Si true, le plugin peut être activé/désactiver indépendamment sur chaque sites d'une structure Mulitsite.
 * License: Tout les plugins WordPress doivent être sous licence GPL2
*/

Pour ceux qui ont déjà eu l’opportunité de rédiger un fichier readme.txt savent que c’est une tache longue est ingrate. Heureusement le site GenerateWP se propose de le créer à votre place.

L’internalisation du plugin

Dans l’en-tête du fichier formation-wp.php il est mentionné l’informaiton Domain Path qui pour rappel indique le chemin relatif vers les fichiers de traduction. La ligne de code ci-dessous permet le chargement des fichiers .mo contenu dans le sous-dossier languages.


load_plugin_textdomain('your-unique-name', false, basename( dirname( __FILE__ ) ) . '/languages' );

Ressources externes

codex.wordpress.org

Template_Tags

Plugin_API

wpscan

WPScan – Le guide

By | Sécurité, Wordpress 3.6, Wordpress 3.7, Wordpress 3.8, wordpress 3.9, wordpress 4.0, Wordpress 4.1 | No Comments

WPScan est un logiciel très puissant, permettant de déceler les failles de sécurité de votre site WordPress.

Ce guide n’a pas pour vocation de faire de ses lecteurs des hackers chevronnés du type black hats, bien au contraire. L’idée est de se positionner du coté des white hats. C’est pourquoi, la fonction brut force de WPScan ne sera pas décrite dans ce guide.

Dans ce guide consacré à WPScan, il sera abordé les thèmes suivants: l’installation sur les systèmes Unix, l’analyse des failles de sécurité des thèmes et des plugins WordPress ainsi que quelques conseils pour combler ces failles.

 Installer WPScan

Il faut savoir que WPScan fonctionne exclusivement sur les systèmes Linux et Mac OS X. Par conséquent aucun fichier d’installation n’est prévu pour Windows.

Codé en Ruby, WPScan nécessite l’installation de certains logiciels qui varie entre Linux et Mac OS.

1 – Pous Linux :

  • Ruby >= 1.9.2 – Recommended: 2.2.0
  • Curl >= 7.21 – Recommended: latest – FYI the 7.29 has a segfault
  • RubyGems – Recommended: latest
  • Git

2 – Pous Mac OS X :

  • Apple Xcode
  • Command Line Tools
  • libffi

Téléchargez, puis installez WPScan en suivant les instructions décrites sur le site officiel.

Pour ceux qui ne souhaitent pas installer WPScan sur leur système, il est possible de télécharger l’une des distributions Linux suivante:

WPScan y est déjà installé, et ces distributions Linux fonctionnent parfaitement en live CD/USB.

Une fois l’installation terminée, il faut tout d’abord mettre à jour la base de données de WPScan afin que le logiciel puisse effectuer ses analyses avec les dernières failles de sécurité connues.

Pour cela ouvrez votre terminal en tant que root et taper la ligne de code suivante:


# wpscan --update

Utiliser WPScan

Pour commencer, lancez une simple analyse de votre site à l’aide de la commande suivante:


# wpscan -u www.votre_site.com

Dans la liste qui s’affiche, doit apparaitre des informations telles que: la version de WordPress, les thèmes installés, les plugins installés précédé des pictogrammes suivants:

[+] Aucune vulnérabilité détécté.

[+] Vulnérabilité faible. A corriger tout de même.

[!] Vulnérabilité forte. A corriger de toute urgence.

La plupart des failles détectées ici peuvent être comblées en effectuant des mises à jour ou bien en supprimant certains fichiers tels que les readme.

Une fois tous les pictogrammes [+] au vert, taper la ligne de code suivante pour faire une analyse plus poussée:


# wpscan -u www.votre_site.com -e

Plus poussive, cette analyse est bien plus longue que la précédente. De plus lors de la un nouveau pictogramme apparaît [ i ]. Précédé du pictogramme [!], il indique que la faille détectée a été corrigée dans une version plus récente du plugin.

Le mot de la fin

Pour plus d’informations sur WordPress est la sécurité, un article intitulé Sécuriser WordPress dès l’installation est disponible sur ce site. En effet certaines failles peuvent être corrigées dès l’installation. Elle concerne notamment la base de données SQL. Ces failles ne sont pas analysées par WPScan.

De plus, même si l’utilisation de la fonction brut force de WPScan n’est pas expliqué ici, il n’est pas hors de propos de regarder la liste de plugins réputés sûrs pour empêcher cela.

Personnaliser l'accès au tableau de bord Wordpress

Personnaliser l’accès au tableau de bord WordPress

By | Aide et astuces, côté serveur, Plugin Wordpress, Wordpress 3.6, Wordpress 3.7, Wordpress 3.8, wordpress 3.9, wordpress 4.0, Wordpress 4.1 | One Comment

Pour personnaliser l’accès au tableau de bord WordPress il existe deux méthodes:  le plug’in HC Custom WP-Admin URL et la redirection 301.

 

Je n’apprendrais rien à personne en disant que l’accès au tableau de bord de WordPress se fait en ajoutant /wp-admin à la suite de l’adresse de votre de blog. Tout le monde le sait, même les hackers ! D’où l’intérêt de personnaliser cette dernière. Car si le hacker ne sait pas comment parvenir jusqu’à la page du login, alors sa tentative de piratage de votre blog se compliquera très sérieusement.

L’idée est de trouver un bon compromis entre simplicités pour vos collaborateurs ou clients et complication pour les hackers. Donc choisissez bien le mot de substitution à /wp-admin.

Pour personnaliser sa page de connexion WordPress deux solutions possibles : à l’aide du plug’in HC Custom WP-Admin URL ou bien en éditant le fichier .htaccess situer à la racine du serveur.

Dans tous les cas l’idée est de faire une redirection 301. C’est pourquoi votre serveur Apache doit impérativement avoir le module mod_rewrite d’activer.

 

Le plugin HC Custom WP-Admin URL

C’est sans conteste la méthode la plus simple. Dans Extensions -> Ajouter recherchez HC Custom WP-Admin URL installez-le puis activez-le.

Personnaliser l’accès au tableau de bord WordPress, rendez-vous dans le menu Réglage -> Permaliens.

En bas de la page localisez le champ wp-admin slug, puis ajouter complétez-le avec le mot de votre choix.

Une fois remplacé fait un test avec le nouveau mot puis avec le bon vieux /wp-admin. Il y a de forte chance que cela fonctionne encore avec /wp-admin et /wp-login, car il ne faut pas oublier que WordPress génère un cookies lorsque l’on ouvre une session. Par conséquent, supprimez vos cookies et refait un test.

Pour ceux qui viennent d’activer le module mod_rewrite, modifier les permaliens est un excellant moyen de savoir si cela a été fait correctement.

Le fichier .htaccess

Localisez ou créez un fichier .htaccess à la racine de votre site WordPress puis ajouter la ligne de code suivante :


RewriteRule ^pseudo-text$ http://VOTRE_BLOG.com/wp-admin [NC,L]
RewriteRule ^pseudo-text$ http://VOTRE_BLOG.com/wp-login.php [NC,L]

Pour rappel, le fichier .htaccess permet de passer des instructions à Apaches lorsque l’on n’a pas accès au fichier de configuration d’Apache.

pseudo-texte$ est le mot qui remplacera /wp-admin.

http://VOTRE_BLOG.com/wp-admin  et http://VOTRE_BLOG.com/wp-login.php sont les liens par défauts.

Ultimate Coming Soon Page

Ultimate Coming Soon Page – Faire un page de maintenance d’attente pour un site wordpress

By | Aide et astuces, Le graphisme et wordpress, Plugin Wordpress, Thèmes Wordpress | No Comments

Votre site est en travaux ? Faites patienter vos internautes avec Ultimate Coming Soon Page.

Qu’ils soient en développement, en maintenance en refonte totale ou en attente d’événement particulier, nos sites Web sont un peu comme des vitrines de magasins. Toujours en évolution. Ce qui impose de rendre temporairement nos sites WordPress inaccessible au public.

Ultimate Coming Soon Page est un plugin de type freemium (entendez par cela, gratuit pour les fonctions principales, donc largement utilisables) permettant de substituer l’intégralité des pages de votre site Web par une page unique qu’il est possible de personnaliser à l’extrême.

Pour ceux qui ne se sentent pas l’âme d’un intégrateur Web, la version payante offre des modèles de pages avec décompteur intégré de qualité.

 Installer Ultimate Coming Soon Page : Un choix efficace et personnalisable

L’installation est très classique. Rendez-vous dans le tableau de bord de WordPress, -> Extensions -> Ajouter : taper Ultimate Coming Soon Page. Puis activer le plugin. A ce stade, la page indiquant aux internautes que le site est en travaux n’apparaît pas encore.

Configurer Ultimate Coming Soon Page : Voici les quelques astuces de réglages rapides.

Pour activer et configurer Ultimate Coming Soon Page, allez dans Réglages -> Coming Soon.
La page est divisé en deux panels : les réglages (Settings) et l’apparence (Style).

1. Les réglages:

Le premier réglage de ce panel (Enable : Yes) permet d’activer la page Coming Soon. Par cette page en entièrement blanche. Cliquez sur preview pour en avoir un aperçu.
A présent votre site n’est plus visible par les internautes. Seuls les utilisateurs connectés peuvent le voir.
Le texte est l’image seront à renseigner dans les champs suivants: Image, Heading, Description.
Avec Custom HTML il est possible d’utiliser n’importe quelles balises HTML, y compris la balise <script>. Ce qui est très pratique pour insérer du code JavaScript.

2. Style:

Inutile de présenter ce panel, le titre parle de lui-même. Tout ce qui aura été saisi dans Les réglages pourra être mis en forme ici : couleur ou image de fond, effet de bruit sur l’image de fond, personnalisation de la couleur du texte, choix de la police d’écriture via Google WebFont, copyright et même un champ Custom CSS.
Ce plugin est vraiment à la hauteur des plus exigeants en matière de Web design.

Sortie de WordPress 4.1 pour des améliorations très appréciables

By | Aide et astuces, Wordpress 4.1 | No Comments

WordPress sort donc sa nouvelle mise à jour, et même s’il ne s’agit que d’une mise à jour face aux changements qu’on a pu voir sur la version 4.0 ou pour le lancement de WordPress 3.0, beaucoup de nouveautés se présentent à nous, et plutôt agréables.

Donc, à retenir de façon exhaustive:

  • L’arrivée du nouveau thème annuel : Twenty Fifteen.
  • L’intégration d’un changement de langage directement à travers l’interface, plus besoin de copier-coller les fichiers  en .po et .mo.
  • Quelques changements techniques mineurs mais appréciables, comme le suivi du WYSIWYG (le distraction-free) lorsqu’on descend une page, pour plus d’efficacité dans le traitement du contenu. C’est d’ailleurs un point clair qui indique une nouvelle fois que le contenu reste la première des choses à bien traiter sur un site web (je ne parle pas de Google vous le pensez bien !)
  • La possibilité d’ajouter directement les vidéos vine, les fameuses vidéos courtes de type twitter, qui nous rappel l’importance des réseaux sociaux.

Un maj qui portent un message également à travers l’intégration du thème Twenty Fifteen et l’intégration Vine : C’est l’importance prépondérante du responsive, au service du mobile qui va devenir la première plate forme de consultation web à partir de l’année prochaine, loin devant le PC qui va prendre la troisième place.

Les sites se doivent donc d’être responsive, adaptés au mobile, tout autant que les boutiques en lignes qui doivent faire l’object d’une attention toute particulière sur ce point.

 

MP6 ou comment profiter du nouveau design à venir de la version 3.7 de WordPress.

By | Aide et astuces | No Comments

wordpress-sans-mp6wordpress-avec-mp6C’est un secret! Mal gardé mais un secret qui permet aussi à la futur version 3.7 de wordpress de faire du bruit.

Nous avons donc tester cette version de MP6 qui s’avère effectivement plutôt agréable.

Après avoir fait la recherche du plugin, la description nous indique un plugin secret mais surtout simplificateur de notre habituel administration de wordpress.

Cette administration n’est autre que celle que l’on connait depuis quelques mois sur l’administration de « wordpress en ligne ». A nouveau la version final serveur attend les tests de la version online pour s’approprier le style et les nouveautés de wordpress.
Alors qu’on attends avec impatience la version 8 de drupal, il semble que wordpress préparer également une version avec de gros changements.

MP6 permet donc d’administrer votre site comme le sera l’admin de WordPress 3.7.

Pour résumé les grands changements, c’est plus noir, plus jolie et un gros effort a été fait du côté des ico, ce qui rend l’administration plus agréable. Ceux qui passes du temps dessus comme les blogeurs pourront donc profiter d’un espace plus agréable à la rentrée.

Pour les développeurs rien de nouveau hormis le fait de présenter à ses clients, un outil plus affiné et donc plus agréable.

Télécharger l’extension MP6

wp-editor-wordpress

Editeur de code pour WordPress : Modifier ses thèmes et ses plugins comme sur Dreamweaver ou Notepad +

By | Aide et astuces, Plugin Wordpress, Référencement Wordpress, Thèmes Wordpress | No Comments

Le meilleur éditeur de code à l’intérieur de WordPress : Le choix de Wp-Editor.

editeur code couleur wordpressNotre solution après en avoir essayé de très nombreuses extensions dédiées à la personnalisation de l’environnement du code, c’est le plug-in WP editor.

Il remplace ce qui est installé par défaut dans l’éditeur de thème de la page PHP ou de votre feuille de style CSS. Cette fonction en place nativement dans WordPress depuis 2 ans, ne permet néanmoins pas une vue habituelle, telle que le permettent des logiciels comme Dreamweaver ou Notepad +.
Avec les intégrations de couleurs, l’environnement vous permet tout de suite de faire des modifications puisque les balises HTML, les balises PHP, et tout type de code apparaissent directement pour permettre de faire des modifications comme si vous étiez sur un éditeur de type Dreamweaver.

Au delà des couleurs dans le code, vous pourrez également apprécier la numérotation des lignes dans l’éditeur de texte.

La numérotation de lignes est bien pratique, puisque désormais, beaucoup font les modifications directement à partir de l’inspecteur d’élément proposé par Firefox ou par Chrome. Cette éditeur de texte intégrant la numérotation de lignes, il est alors plus facile de faire un copier coller de l’inspecteur à l’éditeur, puis de faire le modification ajustée pour la validation définitive.

Rapide et efficace il s’agit de la meilleure solution d’aujourd’hui sur WordPress pour administrer son code.
Au-delà l’avantage est également de pouvoir aller dans les fichiers CSS même si ces derniers sont localisés dans des dossiers. Après avoir changé les droits d’écriture et de permissions sur vos fichiers à partir de votre logiciel ftp, il vous sera alors possible de modifier l’intégralité du code présent sur votre site.
Cette extension fait partie des 10 meilleurs plugins à utiliser systématiquement dans un site WordPress.

Quelque soit le thème ou le plugin sur lequel vous travaillez, Wp-Editor s’associe à votre feuille et vous permettra ainsi la modification pour une personnalisation plus rapide et plus efficace. Vous allez donc grâce à cela progressivement quitter vos éditeurs de texte, et ainsi travailler de plus en plus directement en ligne pour laisser au local que les débuts de votre site.

Au delà, n’oublions pas que le référencement sur WordPress passe par une optimisation du code, c’est donc l’un des outils nécessaire pour tous ceux qui souhaitent avancer sur le sujet;)

wordpress-3.6

Mise à jour de WordPress 3.6 disponible

By | Wordpress 3.6 | No Comments

WordPress 3.6est sortie la semaine dernière et vous permettra de profiter de quelques ajustements nécessaire aux exigences des utilisateurs.

Les principales nouveautés de WordPress 3.6.

    • Un nouveau thème, Twenty-Thirteen. Le thème est pour la première fois, coloré, ce qui va faire du bien aux puristes. De même il conserve sa forme responsive qui avait marqué l’évolution de l’ancien thème.
    • Blocage et sauvegarde des articles révisés : cette révision répond à l’exigence des sites ou blogs multi auteurs. Les sauvegardes et le verrouillage se font désormais par auteur, un bon moyen de rendre chaque auteur indépendant sur son travail et sur son article.
    • La gestion HTML5 est améliorée et intégrée nativement. Plus besoin de plugins tiers, la gestion HTML5, pour l’audio et la vidéo sont désormais parfaitement gérées

.Pour le reste, c’est surtout un avant-goût de la version 3.7 qui engagera des changements plus profonds. Il répond en attendant à des exigences de Google qui donne de plus en plus de place à l’auteur pour qualifier la qualité d’un blog ou d’un site internet. Un moyen précieux de répondre de façon automatique à cette question de l’authorrank.

erreur 500 internal server error

Erreur 500 Internal Server Error chez OVH après l’installation de wordpress

By | côté serveur, Plugin Wordpress | No Comments

Erreur 500 internal server error n’a rien de grave, mais il peut être désagréable d’être bloqué pour cela !

Lors de l’upload de votre site WordPress, vous devrez obligatoirement ouvrir les droits en écriture pour permettre la mise en place du fichier wp-config.php.

Si certains le font manuellement, un simple transfert FTP suffira. Sinon, l’ouverture des droits se fera en réglant vos droits d’écriture en 777.

Mais attention de ne pas laisser ces mêmes droits sur tous les dossiers en 77, surtout si vous êtes sur un hébergement mutualisé de type OVH, amen ou 1&1.

Si c’est le cas, vous aurez alors le fameux Erreur 500 internal server error. Si cela arrive, en réécrivant les droits à l’intérieur de votre fichier www en 705, tout devrait revenir dans l’ordre. Par la suite, pour faire évoluer votre site et le modifier à souhait, les droits d’écriture devront être en place que pour le fichier concerné.

Le fichier thème peut donc ensuite être mis en 777, vous permettant de faire les modifications CSS et PHP directement grâce à l’éditeur de code intégrer à l’admin de wordpress.

Bref, ne vous affolez donc pas sur cette erreur, que vous aurez très certainement sur ce type d’hébergement.