Étiquette : Wordpress

Vincent Lecomte
[Dossier] Le format WebP sur WordPress

[Dossier] Le format WebP sur WordPress

Suite à la lecture d’un article du site Cachem, je suis passé au format d’images WebP sur mes deux blogs WordPress. Ce format existe depuis 2010 et est désormais plutôt bien supporté par les navigateurs récents. Quant à Internet Explorer, il est tout simplement incapable d’afficher ces images. L’un des avantages du WebP est qu’on réduit significativement la taille des images, ce qui permet de les charger plus rapidement.

Pour effectuer une transition sans accroc je suis passé par l’extension WebP Express. Celle-ci est très complète et permet notamment de décider quel format d’image afficher en fonction du navigateur. Elle convertit également les images lors de l’upload. Cependant, sa prise en main n’est pas forcément aisée, déjà parce qu’elle n’est pas traduite en français, mais aussi parce qu’elle propose énormément de paramètres.

Réglages

Depuis l’administration de WordPress, rendez vous dans Réglages puis WebP Express.

Mode de fonctionnement

Dans mon cas, j’ai choisi la méthode « Varied image responses » qui me permettra de fournir la bonne image en fonction du navigateur. Comme je n’utilise pas de CDN, et comme je n’ai pas voulu me prendre la tête avec trop d’options à configurer, c’est ce qui semblait être le meilleur choix.

Général

Depuis cette catégorie, il faudra tout d’abord indiquer la portée (paramètre Scope). L’extension peut gérer les thèmes. Dans mon cas j’ai préféré m’en tenir aux images Le seque j’envoie via la médiathèque de WordPress (paramètre « Uploads only« ).

Le second paramètre à définir concerne les types de fichiers sur lesquels l’extension doit travailler. Autant voir grand et choisir à la fois PNG et JPG.

Ensuite il faut déterminer où les images seront stockées. Le mode « Mingled » indique que les images se trouvent dans le même dossier, côte-à-côte. Le paramètre suivant, « File extension« , indique si on utilise le nom du fichier suffixé par « .webp » ou s’il faut utiliser le nom complet et l’extension originale en y rajoutant « .webp ». Par facilité j’ai choisi « Set to .webp » pour avoir des noms d’image parfaitement identiques.

Enfin les options suivantes importent peu. Je les ai donc laissées par défaut. Je n’ai pas défini la politique de cache (celle-ci est gérée par une autre extension sur mon blog).

Règles du fichier .htaccess

L’extension vous propose d’activer les deux premiers modes, mais dans le cas où il resterait des images non converties sur votre blog, la première suffira (à savoir « Enable direct redirection to existing converted images« ).

Si vous n’avez pas l’extension Apache mod_header activée sur votre hébergement, cela pourrait ne pas fonctionner correctement.

Conversion

L’extension propose des paramètres pour gérer la qualité de la conversion des images. Il est même possible de modifier l’ordre des méthodes de conversion en fonction de ce qui est disponible sur votre hébergement.

Dans mon cas j’ai également coché la case « Convert on upload » pour activer la conversion à partir de l’outil d’upload de WordPress. Attention que cela a un impact sur les performances d’envoi, en fonction des miniatures à générer.

Altérer le code HTML

La dernière option permet de modifier le contenu de la page pour l’affichage des images en WebP. L’auteur recommande d’activer l’option en plus de la redirection via .htaccess.

Pour maximiser la compatibilité avec de vieux navigateurs, j’ai coché l’option « Replace image URLs » ainsi que « Only do the replacements in webp enabled browsers« .

Le dernier paramètre modifie le comportement de l’extension lors de la modification du code. La première option, « Use content filtering hooks« , est recommandée d’après la bulle d’aide affichée.

Conclusion

L’extension offre de multiples possibilités pour convertir et gérer vos images au format WebP pour votre site WordPress. Si vous avez des commentaires ou si vous connaissez bien WebP Express, n’hésitez pas à donner vos astuces de configuration pour en améliorer le comportement.

[WordPress] L’extension Ninja Forms également touchée par plusieurs failles de sécurité

[WordPress] L’extension Ninja Forms également touchée par plusieurs failles de sécurité

L’un des avantages de WordPress, c’est la possibilité d’installer des extensions pour en étendre les fonctionnalités. En 2019 on en comptait plus de 55.000 rien que dans le dépôt officiel. Et parmi celles-ci la populaire extension Ninja Forms fait parler d’elle. En effet c’est via Clubic que nous apprenons qu’elle est touchée par plusieurs failles de sécurité.

wordpress ninja forms failles

Pour ceux qui ne connaissent pas cette extension, Ninja Forms est en fait un gestionnaire de formulaires pour vos sites (exemple basique : pour créer facilement une page de contact pour vos visiteurs). D’après la page descriptive, il y aurait plus d’un million d’installations actives.

Les failles découvertes sont au nombre de quatre, et sont très bien détaillées par le site Threatpost. La première permettrait d’intercepter le trafic des e-mails envoyés via SendWP. Cela fait repenser au bug qui avait été découvert dans l’extension Easy WP SMTP Settings. Nous en parlions il y a quelques semaines. Le score CVSS de cette vulnérabilité est de 9.9 sur 10.

Ensuite deux failles concernent l’outil de gestion des modules complémentaires, intégré à Ninja Forms. L’une d’entre elle permettrait de mettre fin à une connexion autorisée via OAuth. Enfin, la dernière faille – considérée comme moyennement grave avec un score CVSS de 4,8 – permettrait de rediriger aisément un utilisateur vers une URL malveillante après sa connexion.

Un correctif rapide

Heureusement tous ces problèmes seraient résolus depuis la version 3.4.34.1 publiée le 8 février 2021. Depuis l’extension a reçu d’autres mises à jour. Les statistiques nous montrent qu’actuellement 64,2 % des versions actives sont en 3.4 (sans spécifier le numéro précis). 13% d’entre elles sont en version 3.2 ou inférieur. Cela fait donc potentiellement un paquet de sites vulnérables.

Si vous utilisez WordPress et en particulier Ninja Forms, vérifiez vite les mises à jour, sauf si vous avez activé l’automatisation de celles-ci pour vos extensions (ce qui peut être utile dans ce cas précis). De manière générale il est bon de rappeler de faire attention à ce que vous installez. Par exemple, une extension ou un thème dont le développement n’est plus suivi, pourrait être problématique.

Sources

[WordPress] Découverte d’une faille dans l’extension Easy WP SMTP Settings

[WordPress] Découverte d’une faille dans l’extension Easy WP SMTP Settings

WordPress est un CMS – Content Management System, ou « Système de gestion de contenu » en français – largement utilisé sur de nombreux sites. Il offre notamment aux utilisateurs la possibilité d’installer des extensions développées par des tiers. Celles-ci ne sont pas toujours sans défaut. C’est en tout cas ce qu’a démontré la découverte d’une faille dans l’extension Easy WP SMTP Settings, heureusement déjà corrigée.

faille plugin smtp

Comme son nom le suggère, l’extension permet aux propriétaires de leur site de configurer les paramètres pour l’envoi d’e-mail. Cela concerne notamment ceux envoyés par WordPress. Par exemple, quand un utilisateur veut réinitialiser son mot de passe, un lien est généré puis transmis à l’utilisateur par e-mail.

C’est malheureusement à cause de ceux-ci que des personnes mal intentionnées ont été capables d’intercepter les liens et réinitialiser les mots de passe de comptes. En effet, dans la version 1.4.2 (et inférieures) le dossier de l’extension ne contient pas de page « index.html » ou similaire. Cela a pour conséquence de permettre l’affichage du contenu du dossier si la fonctionnalité est active sur le serveur.

Il est ainsi possible d’accéder à un fichier journal, qui contient toutes les traces d’envoi des mails. Il reprend évidemment le contenu de ceux-ci. Ainsi il ne reste plus qu’à récupérer les liens de réinitialisation… et le tour est joué !

L’auteur de l’extension a d’ores et déjà corrigé le problème dans la version 1.4.4 d’après les notes de version. On soulignera cependant que le nombre d’installations actives est de plus de 500.000. Si vous consultez la vue avancée sur la page de description de l’extension, vous pourrez constater que 43% de versions actives sont en 1.3, ce qui est relativement inquiétant. Cela signifie que de nombreux sites sont encore vulnérables aux attaques.

Si vous utilisez donc cette extension sur votre site, procédez rapidement à sa mise à jour!

Sources