Wordpress – Climb to the Stars

SOS WordPress: je suis là pour vous! [fr]

[en]

The cottage industry of cheap WordPress websites is leaving in its wake a huge number of small business owners who do not have the technical skill or know-how to maintain their installations: do updates, fix problems, avoid getting hacked -- hell, deal with being hacked. This article explains how we came to this and where I fit in (tl;dr I help people figure out how to fix their site or problems).

Votre site WordPress est cassé? Vous avez des soucis avec, ou n’arrivez pas à faire certaines choses?

La personne qui vous a mis en place le site il y a quelques années a disparu dans la nature? Votre webmaster est aux abonnés absents? Votre hébergeur vous fait des misères parce que votre site s’est fait hacker?

Si j’étais en train de faire de la pub, je dirais que je connais WordPress comme ma poche 🙂

Trève de rigolade: deux mandats récents m’ont fait réaliser qu’il y a un revers de la médaille à la facilité d’installation et de mise en place de WordPress. Créer un site c’est assez simple, mais gérer les problèmes qui viennent avec le fait d’héberger une usine à gaz (je dis ça gentiment) PHP/MySQL super populaire sur un serveur web, c’est une autre histoire.

Depuis des années d’ailleurs, j’essaie à tout prix de décourager mes clients de faire leur site avec un WordPress.org installé sur leur hébergement (Infomaniak est un hébergeur populaire en Suisse). Pas que ce soit un mauvais outil, au contraire, mais gérer sa propre installation requiert des compétences (ou les fonds pour les acheter) que la plupart de mes clients n’ont pas. Comprendre certaines bases de la sécurité informatique, par exemple, avoir des notions d’administration système, ou du moins comprendre comment tout ça se goupille, pouvoir suivre des instructions techniques en cas de problème.

A la place, il y a WordPress.com, ou même, ce que je recommande souvent aujourd’hui, Squarespace. WordPress.com (notez la nuance, .org vs. .com) est un service où l’on crée un compte, comme Facebook ou Gmail. Pas besoin d’installer quoi que ce soit. Pas besoin de prendre un hébergement. Même pas besoin, si on ne veut pas, de prendre un nom de domaine.

Les avantages incommensurables de WordPress.com:

pas besoin de gérer un serveur web
pas besoin de faire de mises à jour
pas besoin de s’occuper de la sécurité (mis à part avoir un mot de passe correct et activer la double authentification)
ça va pas “se casser”

Mais alors, pourquoi tant de gens ont-ils des sites faits avec WordPress.org, alors qu’ils n’ont pas les moyens d’en assurer la maintenance?

La réponse est simple: les avantages de WordPress.com sont invisibles, et ses désavantages sont visibles.

Je l’ai vécu cent fois. Quand on veut un site web, souvent on a des idées assez précises sur:

le design graphique (je veux mes couleurs, ma police, mon logo ici…)
certaines fonctionnalités (je veux un agenda, je veux un site bilingue, je veux disposer les images de telle ou telle façon…)

WordPress.org permet une liberté quasi-totale de ce point de vue là, pour autant qu’on sache installer les bons plugins, les bons thèmes, ou simplement coder ce qu’on veut.

WordPress.com est plus limité. Côté graphisme ça a beaucoup évolué ces cinq dernières années, et il y a maintenant vraiment beaucoup de choix et de possibilités de personnalisation. Par contre pour les fonctionnalités, on doit faire avec ce que la plate-forme nous offre.

Vous voyez le piège? On n’imagine pas le lot d’emmerdes (et le coût!) que peut amener le fait de devoir gérer sa propre installation de WordPress, réparer des accidents ou des erreurs, la sécuriser pour ne pas se faire hacker. Par contre on voit tout de suite qu’on ne pourra pas avoir l’agenda dont on rêvait. Donc on prend WordPress.org.

Je ne mets pas la faute sur les clients. Un peu plus sur ceux qui, souvent pleins de bonne volonté (et peut-être d’un peu d’ignorance) ne posent pas clairement pour leur client les avantages et inconvénients des différentes options, ou le prix à payer (le jour où ton installation WordPress se fait hacker ça va te coûter cher) pour avoir ce à quoi ils tiennent (l’agenda). Ça s’appelle, en anglais, “éduquer le client”. C’est quelque chose auquel je tiens beaucoup. Ça permet de prendre des décisions informées.

Après, chacun fait avec ses connaissances, c’est pourquoi je ne juge pas trop sévèrement toute l’industrie foisonnante de “sites WordPress pas chers”. Mais quand même.

Bref, vous voyez comment on en arrive à la situation d’aujourd’hui. Des tas d’indépendants, d’artistes, d’associations, de petites entreprises (ou pas si petites!) qui ont entre les mains des sites WordPress.org qui datent d’il y a quelques années. Sans contrat de maintenance. Sans personne vers qui se tourner quand ça va mal, ou alors les prix affichés font faire demi-tour avant même d’avoir commencé à parler. Parce que la personne qui vous a fait votre site il y a 3 ans pour pas trop cher, il y a toutes les chances que ce ne soit plus trop son business aujourd’hui (s’étant rendu compte que pas trop cher, c’est aussi pas trop viable, surtout s’il faut assurer la suite).

Il n’y a pas de solution miracle. Voici déjà quelques conseils que je peux vous donner si vous avez une installation WordPress “à vous”:

faites les mises à jour (de WordPress, des thèmes, et des plugins); WordPress est un outil populaire, il n’est pas parfait, et des failles de sécurité sont régulièrement mises à jour; si vous ne faites pas les mises à jour cela veut dire que vous avez sur votre serveur une application avec des failles de sécurité connues que des personnes malveillantes peuvent exploiter.
ayez de bons mots de passe pour votre hébergement, le FTP, votre nom de domaine, vos utilisateurs WordPress, et votre base de données; on ne le répétera jamais assez, les mots de passe ne sont pas là pour empêcher quelqu’un qui vous viserait personnellement de venir lire vos e-mails (vous vous en foutez, et vous avez bien raison). Un mot de passe, c’est là pour empêcher que quelqu’un s’introduise chez vous, planque de la drogue dans votre matelas, installe de la vidéosurveillance dans les murs, lance des bombes puantes sur les gens depuis votre fenêtre, et saccage tout en laissant la musique à coin pendant que vous êtes en vacances. Au final, c’est vous qui vous retrouvez viré de votre appart et en taule, parce que vous étiez le seul pigeon de votre immeuble à avoir laissé la clé sur la porte.
installez WordFence, un plugin de sécurité super complet; il est compliqué, mais vous pouvez déjà faire un scan et voir ce que ça raconte. Ils ont un service “SOS je me suis fait hacker”, à un prix qui semble raisonnable. Pas testé, donc je ne sais pas ce que ça vaut, faites-moi un retour si vous l’utilisez.
utilisez WordPress.com si c’est possible; réfléchissez bien aux choses que vous désirez pour votre site qui ne sont pas possibles avec WordPress.com, et mettez-les dans la balance avec toutes les responsabilités qui viennent avec le fait d’avoir sa propre installation. A moins d’avoir les compétences, le temps, ou les fonds, faites des compromis et optez pour WordPress.com (ou Squarespace! On peut exporter-importer facilement le contenu d’une installation WordPress vers une autre installation, ou vers Squarespace).

Je conçois bien que ces conseils basiques donnent déjà mal à la tête à la plupart des gens, et c’est là que je peux intervenir. Ce que je fais:

je m’assieds à côté de mes clients devant leur ordi (parfois le mien) et on regarde tout ça ensemble
comme je connais bien ce terrain, on gagne du temps
je ne suis pas mariée à WordPress, ni une spécialiste exclusive de cet outil, donc je suis susceptible de chercher des solutions auxquelles quelqu’un de plus spécialisé ne penserait pas
je comprends ce que les gens du support technique racontent (parfois mieux qu’eux!)
je ne cherche pas à faire des heures de travail, mais à trouver la solution la plus réaliste compte tenu de la situation spécifique de la personne avec qui je travaille
je comprends les trucs techniques et en même temps j’explique bien aux êtres humains
quand je travaille avec quelqu’un, mon but et que cette personne “suive” un peu ce qu’on fait; il ne s’agit pas de comprendre tous les détails techniques, mais de ne pas être largué — et d’apprendre ce qui est utile d’apprendre; mon approche convient donc bien aux gens qui essaient de faire un maximum eux-mêmes, même s’ils n’ont pas des connaissances techniques immenses.

Bon. Alors ma question à vous, lecteurs. Comment est-ce que je condense cette tartine en quelque chose de “vendable”, ou du moins “communicable”? Qu’est-ce qui à votre avis “parle” le plus à ceux qui auraient besoin de mon aide?

Je suis preneuse de vos idées/retours — et aussi bien entendu de vos connaissances en détresse de WordPress.

Geekeries du front [fr]

[en] Spent a lot of time fixing various server and device annoyances. Thanks to everyone who helped me for one thing or another! Everything seems to be running fine now, except for MySQL on the web server which continues to choke pretty regularly. Lesson learned in all these adventures: sometimes a clean reinstall is a better strategy than lengthy troubleshooting.

Ouh là, il faut vraiment que j’écrive un article. Je crois qu’un article sur deux de mon blog commence comme ça, ces temps.

Le temps.

Arbre et mauvais temps

Je suis perdue dedans. Les journées filent les unes après les autres. Déjà mi-janvier. Déjà six semaines depuis mon retour d’Inde. L’absence de structure, ça ne me réussit pas. Alors je suis en train de restructurer, mais c’est long, c’est long.

Je n’ai pas chômé, pourtant. J’ai passé des heures et des heures devant des écrans de machines récalcitrantes: mon petit serveur lubuntu qui sert surtout à recevoir des sauvegardes Crashplan, le NAS, dont les volumes partagés doivent être visibles par au moins trois machines avec des OS différents (la machine lubuntu, mon MacBook Air, et l’Android TV), l’Android TV Box, justement, dont le Kodi refusait de jouer quoi que ce soit, et pour finir mon serveur web, qui plante toujours allègrement.

Qu’est-ce que j’ai appris?

La principale leçon, vraiment la plus importante, c’est que c’est souvent moins de travail de réinstaller ou faire une mise à jour que de troubleshooter.

Sur l’Android TV Box, supprimer puis réinstaller Kodi a réglé le problème. Oui, il a fallu reconfigurer et reinstaller les extensions, mais c’est mieux de passer du temps à faire quelque chose qu’on a déjà fait et qui est du “terrain connu” que de rajouter encore des changements non maîtrisés dans le système.

Pour lubuntu, un problème de déconnexion du réseau local a été résolu par une mise à jour foireuse, qui a introduit d’autres problèmes, mais qui, après quelques commandes de réparation, de mise à jour partielle, de redémarrages, et de re-mise à jour, semblent avoir disparu.

Côté présence web, je bosse en priorité à terminer la migration de mon site web professionnel. Pas terrible, quand on désire de nouveaux mandats et développer des nouvelles offres, d’avoir un site web professionnel pas à jour et qui redirige une fois sur deux sur ce blog, suivant comment on en tape l’adresse.

Là, je me heurte à la difficulté suivante: un vieux WordPress et un vieux WPML, qu’il faut transférer dans un WordPress multisite à jour. L’importation toute bête ne marche pas. Il faut d’abord mettre à jour l’installation sur le vieux serveur avant de faire le transfert. Un post sur le forum de WPML me donne l’ordre pour les updates à faire. Je passe une demi-journée à faire tout ça, backups y compris. La home page se charge bien, je vérifie à chaque pas. Mais à la fin, misère, je réalise que tous les contenus “traduits” on disparu.

Le site contient une trentaine de pages. Au lieu de replonger pour tenter de voir quelle mise à jour “casse” l’installation, je vais copier-coller à la main les contenus. Ça me prendre quelques heures mais au moins je sais que ce sera réglé à la fin.

Côté serveur web qui se casse la figure, malgré quelques réglages à la configuration Apache faits déjà il y a un moment, puis l’installation de WordFence pour mettre un stop à d’éventuelles requêtes malicieuses (il y en a, mais pas de quoi en faire tout un fromage), ça continue. La dernière expédition spéléo a permis de mettre à jour une base de données WordPress de 250Mb (même pour 15 ans de blog et 8 “site” ça fait beaucoup).

En y regardant de plus près, c’est la table commentmeta qui pèse le plus lourd: près de 100Mb, si ma mémoire est bonne. 150’000 lignes. Cure d’amaigrissement grâce à un peu de googlage, ici et là, déjà. Je remarque aussi que Antispam Bee, un plugin anti-spam que j’avais essayé à un moment donné et que je croyais avoir supprimé, est encore actif et a aussi laissé tout un tas de chenit. Bref, après nettoyage, et vidage du spam, la table est vide.

Bon, c’est visiblement pas ce qui causait les problèmes avec le serveur, puisque c’est à nouveau arrivé depuis le nettoyage, mais ça fait plaisir d’avoir une base de données qui fait moins de 100Mb. Merci au passage à PhpMyAdmin, qui malgré toutes les critiques qu’on peut lui faire, est quand même un outil vachement pratique pour repérer et régler ce genre de chose. Les informations sur le status du serveur MySQL, ainsi que les stats, sont aussi présentées de façon accessibles et me donnent des idées pour la suite: peut-être une histoire de taille de cache pour les tables qui n’est pas optimale.

Etape suivante, donc, du coup, avant de faire l’apprenti-sorcière, c’est de voir ce que raconte l’utilitaire mysqltuner. Je vous ferai un rapport si je trouve ce que c’est!

Trying Ghost, A Blogging Platform [en]

[fr] Je teste Ghost, une plate-forme de blog (mais rien que de blog!). WordPress c'est génial, c'est puissant, ça permet de faire toutes sortes de sites, mais par la force des choses, c'est devenu un peu une usine à gaz.

This spring I backed a Kickstarter project for the development of a blogging platform, Ghost.

Wait– A blogging platform? Isn’t WordPress enough? Well… to be honest, it’s too much. Don’t get me wrong, I love WordPress. Chances are I’m going to continue using it. But WordPress is much more than a blogging tool. By now, it’s become a full-blown CMS you can build all sorts of sites with.

For somebody who just wants a simple blog… It’s a little bit overkill. I think it’s good that there is a little “competition”, and I also think that starting from scratch once in a while is not a bad idea.

So, I’ve installed my copy of Ghost on my mac and played with it a bit. It’s very bare-bones right now and a little geeky — for example, is a blogging platform with no visual editor really viable? — but I think it looks very promising and I’m looking forward to the hosted version being open to the public.

Basic Bilingual 1.0 Plugin for WordPress: Blog in More Than One Language! [en]

[fr] Le plugin WordPress Basic Bilingual que j'utilise depuis un nombre incalculable d'années pour fournir des résumés "dans l'autre langue" à mes articles a enfin été mis à jour. Grâce à Claude Vedovini, il passe à la version 1.0, que je vous conseille d'essayer tout de suite!

A huge huge thanks to Claude Vedovini who spent the last few days working on my really old plugin (but still used daily!) Basic Bilingual in order to release version 1.0. Download it now!

The plugin has been around since early 2005, and honestly, what it does hasn’t really changed: it allows you to specify a summary of your post in another language and label it as such, as you can see here on Climb to the Stars. If you want more complex handling of languages in WordPress, head over to WPML, the likes of which weren’t around when I first threw a few functions together to try and make my bilingual blogging life easier.

So, what’s new?

unlike me, Claude actually knows how to write code, so instead of being some horribly outdated collection of clumsy functions, the plugin’s code is now upto 2013 standards (hadn’t seen an update in 4 years, can you imagine?)
it’s now possible to have more than two languages in your blog, with two “different language” excerpts accompanying your main post
you can now choose the markup for your excerpts without having to wade through plugin code: there is a lovely settings page for that and other things you can configure
the language widget in the page editing screen is a drop-down now, and not an ugly text field where you need to type your language’s code
you can also filter excerpts based on your readers’ browser settings
…and the plugin has been tested with the latest version of WordPress! (not that it broke too much before…)

So thanks so much Claude, it feels good to have Basic Bilingual off life support and alive again!

If you use Basic Bilingual I’d really love if you could take a few minutes to write a review over on wordpress.org. Thanks! Oh, and if you have a crazy plugin idea that needs bringing to life, ping Claude about it 😉

Bien bloguer: l'art de faire des liens [fr]

[en] Some guidelines and advice for making links. Blogging is more than just shoving text in WordPress!

Pour bloguer, il ne suffit pas d’écrire des articles à la suite les uns des autres. Il faut apprendre à écrire en 2D — écrire en hypertexte. Bien maîtriser l’art du lien est indispensable pour celui ou celle qui veut bloguer un tant soit peu sérieusement.

Editeur visuel

Je donne ici les indications pour WordPress, que je vous conseille vivement d’adopter comme outil de blog.

Si nécessaire, aller chercher l’URL (=adresse web) de la page web de destination et la copier.
Dans le texte de son article, sélectionner les mots sur lesquels on veut mettre ce lien — ceux qu’on veut rendre cliquables.
Cliquer sur le bouton représentant un maillon de chaîne dans la barre d’outils.
Coller dans le pop-up qui apparaît l’adresse du lien précédemment copié, et appuyer sur entrée.

Editeur HTML

Si on écrit en HTML directement, on sait en principe ce qu’on fait. Il peut arriver néanmoins qu’on doive aller farfouiller dans le code pour réparer des accidents. Dans ce cas, c’est utile de comprendre un peu ce qu’on voit. Un lien comme “Climb to the Stars“, ça ressemble à:

<a href="http://climbtothestars.org" title="Le blog de Stephanie.">Climb to the Stars</a>

Les parties en gras sont les bouts à ne pas toucher. Ce qui n’est pas en gras peut être modifié à volonté (destination du lien, texte pour quand on survole le lien, texte cliquable).

Etre efficace

Quand on écrit article après article, et qu’on veut les enrichir de liens joyeusement, et qu’on ne veut pas que ça prenne des plombes, il faut absolument abandonner sa souris et utiliser le clavier. De façon générale, moins on utilise la souris, plus on est rapide.

Voici donc comment ajouter un lien sous WordPress avec le clavier (sous OSX). Pour apprendre, n’hésitez pas à exercer cette séquence 10-20 fois pour bien l’intégrer.

Seule manipulation à la souris autorisée (mais on peut aussi faire ça au clavier!): sélectionner les mots sur lesquels on veut mettre le lien 😉
⌘T — ouvre un nouveau tab de navigateur
Ouvrir la page vers laquelle on veut que notre lien pointe: taper l’URL, les mots-clés pour chercher dans Google… Ne pas oublier d’utiliser les flèches pour naviguer dans les suggestions de complétion et la touche entrée pour valider. Pas besoin de souris!
⌘L — sélectionne l’URL dans la barre de navigation
⌘C — copie l’URL
⌘W — ferme le tab qu’on avait ouvert pour charger l’URL de destination, et nous ramène donc sur notre page WordPress avec les mots sélectionnés
⌥⇧A — ouvre la petite boîte de dialogue pour insertion du lien
⌘V — colle l’URL de destination. Pas besoin d’appuyer sur quoi que ce soit pour effacer le “http://” déjà dans le champ, il est sélectionné et sera écrasé quand on colle
⏎ [entrée] — pour valider tout ça.

Ça peut sembler long et compliqué écrit comme ça avec tous les détails, mais quand on a mémorisé la séquence et qu’elle est bien entraînée, ça prend quelques secondes (et on remarque par exemple que les étapes 5-6-7 sont quasi instantanées: on garde la touche ⌘ enfoncée et on appuie sur L, C, W à la suite). Exercez-vous, cela en vaut la peine: vous vous en féliciterez bientôt!

Faire les choses proprement

On rentre un peu dans les détails. Ils sont importants même si tout le monde n’est pas capable de les identifier, parce que comme les finitions d’un meuble ou la typographie d’un document imprimée, ils influent sur la perception globale qu’on aura de votre blog ou de vos articles.

Choix du lien de destination: vérifiez que celui-ci est pertinent par rapport à votre texte.
Quand on fait un lien vers un article, attention de bien prendre l’adresse de l’article (en cliquant sur le titre) et non simplement l’adresse du blog ou de la page d’accueil du site.
Après avoir publié votre article (ou avant, si vous prévisualisez), cliquez sur vos liens pour vérifier s’ils mènent là où vous le désirez. Surtout si vous débutez 😉
Nettoyez l’URL du lien de destination (suivant comment vous y êtes arrivés, il peut contenir des indications de source, comme ?utm_source=fb&utm_medium=fb... etc.). Enlevez des morceaux, appuyez sur entrée, regardez si vous arrivez toujours sur la bonne page.
Choix des mots sur lesquels on met le lien: d’une part, le lien met en évidence les mots sur lesquels il est (c’est l’occasion de les faire ressortir pour le lecteur); d’autre part, ces mots vont compter pour l’indexation du site de destination (et possiblement du vôtre) par les moteurs de recherche. Des fois, il vaut la peine de remanier sa phrase pour avoir une jolie suite de mots sur laquelle mettre son lien.
Espaces et signes de ponctuation: ne jamais les inclure dans le lien sauf si le lien porte sur toute la phrase. Attention au mode “sélection automatique des mots” qui sélectionne toujours l’espace après le dernier mot. Ça fait chenit, les espaces qui traînent à la fin des liens!
Si on met un lien sur une expression ou un nom, éviter de remettre le lien à chaque fois qu’on cite ce nom ou cette expression.
Ne cochez jamais la case “ouvrir le lien dans une nouvelle fenêtre” — target="_blank" c’est très bien pour les applications web comme Twitter et Facebook, mais vraiment pas top pour un blog ou un site web.
Eviter d’utiliser les URLs raccourcies (bitly et autres). Une URL raccourcie a toujours une espérance de vie plus courte que l’URL originale. Réserver les URLs raccourcies à Twitter, là où le nombre de caractères compte.
Trouver le bon équilibre entre pas assez de liens et trop de liens…

Bloguez bien! Avec des liens!

A Plugin to Compensate for Flickr Broken Embed Suckage? [en]

[fr] Quand on met à jour une photo dans Flickr, Flickr change le nom du fichier. Idée de plugin WordPress pour faire la chasse aux liens cassés.

A few days ago I started noticing this kind of thing in my posts:

The explanation? I’ve used my week of holiday-at-home to fool around quite a bit in Lightroom. Lightroom publishes my photos directly to Flickr. When I change a published photos, Lightroom updates it. But Flickr changes the file name when you republish a photo. And that breaks embeds.

(And yeah, Lightroom replaces the whole photo even if you’ve just edited metadata.)

To make things worse, my browser cache shows me all my photos, even the missing ones. So I don’t see which ones are missing.

Idea! A plugin that would crawl through all the embedded Flickr images in a blog, and make sure that all the photos display correctly. Produce a list of the posts and photos that need updating. Or even better, do it automatically (even if the link to the displayed photo is broken, the link to the photo page still works, and it should be trivial to get the updated embed code and replace it in the post.)

Anybody?

Solar Impulse Has a New Blog! [en]

[fr] Solar Impulse a un nouveau blog, turbinant fièrement sous WordPress!

Great news! You’ve heard I’m working with Solar Impulse these days — one of the first results of our work together is a shiny new blog running on WordPress. We’ve imported all the articles from the existing home-made blogging platform, and installed WPML to make it all multilingual, as their articles are translated into French, English and German.

The whole thing went pretty smoothly thanks to all the people involved!

CTTS Upgraded, Jetpacked, and Roboted [en]

[fr] Mise à jour de WordPress. Installation de Jetpack et de Robots Meta. Comme toujours, faites signe en cas de comportement inhabituel du site!

Sorry for the neologisms in the title. I’ve upgraded CTTS to WordPress 3.1 (you should do it too if you haven’t done it yet, lest you fall prey to hackers as I did earlier this year). While I was at it, I also installed Jetpack, the plugin that brings to WordPress.org blogs goodness from WordPress.com.

I use WordPress.com for almost all my projects, and all my clients. For most of the people I work with, it’s just not worth the hassle to have to deal with upgrades, technical issues, and potential hackings. For CTTS, however, I do depend on plugins like Basic Bilingual which are not (yet?!) a part of the WordPress.com offering. Also, I admit the geek in me likes having her own installation and code to tinker with.

Finally, I installed the Robots Meta plugin. You know me, I’m always a bit wary of the fancy SEO stuff (specially as many people who write about it seem completely obsessed with it, rather than obsessing on doing and saying interesting things). I’m really unimpressed with all the panic over duplicate content for example, especially as it didn’t seem to sound like a huge issue in blogs when I heard Matt Cutts giving us SEO tips in 2007 — I happily cross-post a lot of my writing “elsewhere” back here and I don’t think I’ve suffered unreasonably from it.

Anyway: lately, I’ve read a few analytics/SEO articles that seemed sensible to me and I’m starting to take a tiny (tiny!) bit of interest in the subject.

I’ve been using the Google Sitemap Generator plugin for some time now, and hanging out in my Google Webmaster Central — particularly since my hacking incident.

Also, it was brought to my attention today that there are old articles lying around on CTTS which are ranked very highly for certain searches even though they are really not that relevant anymore. Though I’m loathe to remove them altogether, I could very well remove them from search engine listings — and the Robots Meta plugin allows me to do just that.

So, I’ve taken the plunge and am now only allowing search engines to index my home page (of course) and single article pages, blocking them from date, category and tag archives as well as comment feeds.

We’ll see what happens — I’m a bit worried I may have gone overboard and I wonder what the consequences of those settings can be to other crawlers like BackType and IceRocket. If you have any intel to give me on that topic, I’m happy to take it. I feel a bit like I’ve been giving orders to my robot blocker without really understanding all the consequences.

New, Shiny, and Hopefully Spam-Free Server [en]

[fr] Nouveau serveur. Sans spam, avec un peu de chance.

I’ve spent the last two weeks in a kind of blog-limbo. After thinking I had rooted out my spammers, I had the bad surprise to find my pages spam-riddled again a few days later (after having proudly demonstrated to my SAWI students the consequences of being hacked). Long story short, we found a cute little remote shell in PHP and removed it from the server, discovered that PhpMyAdmin was compromised (I know, no rude comments please), but had a hard time finding out exactly where the spam itself was hidden (all the obvious stuff listed in various “get rid of pharma hack” and “what to do when your WordPress install gets hacked” blog posts yielded nothing).

This whole “being hacked” thing was starting to feel unpleasantly like a flea infestation: you think you’re rid of them, but here they are again!

After many hours of digging, we decided it was not worth losing more time as a server move was in the works anyway. If you’re reading this post, you’re accessing Climb to the Stars from the shiny new spam-free server, yay! Needless to say security has been tightened up and we will be monitoring it closely for any suspicious activity.

Expect normal blogging to resume at some point.

On Being Hacked [en]

[fr] Hackée, et voilà, moi qui savais justement pas quoi faire de mon beau dimanche après-midi ensoleillé...

I’m currently battling with a hacked WordPress installation. You won’t see anything if you view source, but Google unfortunately sees a whole lot of spam right at the top of each of my pages.

Here’s some information in the hope somebody may have a bright idea to help me root out the hack.

I’m running 3.0.3 and would like to find the source of the problem before upgrading to 3.04 (bad idea?)
I’ve tried disabling all plugins, and the problem is still there when I do that.
I’m using the vanilla default Twenty-Ten theme
I’ve looked in the theme header (header.php) for anything obvious, and also in wp-content, wp-plugins, etc. for anything that looked out of place to my eyes
I’ve run greps for base64 (anything here look suspicious?), spammy keywords, and other things I could think of
It does not seem to be this pharma hack (have failed at finding any signs of it following the instructions there — wp_option keys, backdoor files…)
I have searched my database for spammy keywords (also backwards) and haven’t found any aside in spam comments caught in Akismet

I will update this post as I find out more. Thanks for your suggestions.

Update: at least a partial solution… running find . -iname *.php -print0 |xargs -0 grep base64 allowed us to identify a problem in l10n.php, which was promptly replaced by a new version (evil version available on request). One of my pages as viewed by Googlebot now looks like this. So, the site is cleaner, but are there any backdoors left?

Google Webmaster Central is definitely a place to visit regularly — I would have spotted this way sooner if I had, rather than wondering what was wrong with my robots.txt file when I stopped being able to “direct Google” my posts. View more scary screenshots.

Tag: Wordpress

Geekeries du front [fr]

Similar Posts:

Trying Ghost, A Blogging Platform [en]

Similar Posts:

Basic Bilingual 1.0 Plugin for WordPress: Blog in More Than One Language! [en]

Similar Posts:

A Plugin to Compensate for Flickr Broken Embed Suckage? [en]

Similar Posts:

Solar Impulse Has a New Blog! [en]

Similar Posts:

On Being Hacked [en]

Similar Posts: