- WordPress :6.7
- Statut : résolu
- Ce sujet contient 24 réponses, 4 participants et a été mis à jour pour la dernière fois par
, le il y a 5 mois et 2 semaines.
-
Messages
-
Oui NinjaFirewall est installé sur le site parent et le site enfant. Hier j’ai ajouté une application de CAPTCHA en me disant que celà compliquerait la tâche du bot. J’ai supprimé Askimet sur les 2 sites puisque celà fait double emploi avec NijaFirewall et j’ai supprimé les 2 ou 3 appli venat de wordpess.org.
J’ai découvert que sur le wp-config du site enfant il y avait des clés de salage. Je les ai supprimées pour le moment. Quand je serai sorti de ce mauvais pas je rétablirai des clésde salage. Voici ses caractéristiques et le wp-config de l’enfant :
Ma configuration WP actuelle :
– Version de WordPress : 6.7.1
– Version de PHP/MySQL : 8.3.9 / 8.0.40
– Thème utilisé : Twenty Twenty-Five Child
– Thème URI : https://wordpress.org/themes/twentytwentyfive/
– Extensions en place : Forum_wordpress_fr (4.2), La Sentinelle antispam (3.1.1), NinjaFirewall (WP Edition) (4.7), Really Simple CAPTCHA (2.3), WP-Members (3.4.9.7)
– Adresse du site : https://nous.rehve.fr
– Nom de l’hébergeur : ApacheAh, la gestion de sites web… un job à temps complet :). Heureusement qu’on vous a pour nous guider.
Édit modération : retrait du blocage (message considéré comme spam par erreur car contenant 2 liens et du code)
Voci la config du site-enfant :
Ma configuration WP actuelle :
– Version de WordPress : 6.7.1
– Version de PHP/MySQL : 8.3.9 / 8.0.40
– Thème utilisé : Twenty Twenty-Five Child
– Thème URI : https://wordpress.org/themes/twentytwentyfive/
– Extensions en place : Forum_wordpress_fr (4.2), La Sentinelle antispam (3.1.1), NinjaFirewall (WP Edition) (4.7), Really Simple CAPTCHA (2.3), WP-Members (3.4.9.7)
– Adresse du site : https://nous.rehve.fr
– Nom de l’hébergeur : Apacheet son wp-config :
J’ai trouvé des clés de salage sur le wp-config du site enfant. Je les ai supprimée. Je rétablirai tout ceci lorsque j’aurai réglé ce problème de temps d’accès.
Ah, le gestion de site… un job à temps complet :). Heureusement qu’on vous a pour nous guider.
Merci
Édit modération : retrait du blocage (message considéré comme spam par erreur car contenant 2 liens et du code)
Voici 2 fois que « j’envoie » ma réponse mais elle n’apparait pas dans le fil de discussion. J’essaye en 2 parties.
Configuration du site enfant
Ma configuration WP actuelle :
– Version de WordPress : 6.7.1
– Version de PHP/MySQL : 8.3.9 / 8.0.40
– Thème utilisé : Twenty Twenty-Five Child
– Thème URI : https://wordpress.org/themes/twentytwentyfive/
– Extensions en place : Forum_wordpress_fr (4.2), La Sentinelle antispam (3.1.1), NinjaFirewall (WP Edition) (4.7), Really Simple CAPTCHA (2.3), WP-Members (3.4.9.7)
– Adresse du site : https://nous.rehve.fr
– Nom de l’hébergeur : ApacheLe wp-config du site enfant
Si on arrive pas à régler ce problème je peux essayer de rendre indéendant le site enfant, moins important pour moi que le parent.
Édit modération : retrait du blocage (message considéré comme spam par erreur car contenant du code indiqué HTML alors que c’est du PHP)
Le wp-config du site enfant que je vous adresse en copier-coller car l’envoi semble bloqué lorsque j’utilise la fonction Code :
<?php
/**
* La configuration de base de votre installation WordPress.
*
* Ce fichier est utilisé par le script de création de wp-config.php pendant
* le processus d’installation. Vous n’avez pas à utiliser le site web, vous
* pouvez simplement renommer ce fichier en « wp-config.php » et remplir les
* valeurs.
*
* Ce fichier contient les réglages de configuration suivants :
*
* Réglages MySQL
* Préfixe de table
* Clés secrètes
* Langue utilisée
* ABSPATH
*
* @link https://fr.wordpress.org/support/article/editing-wp-config-php/.
*
* @package WordPress
*/// ** Réglages MySQL – Votre hébergeur doit vous fournir ces informations. ** //
/** Nom de la base de données de WordPress. */
define( ‘DB_NAME’, ‘XXX’ );/** Utilisateur de la base de données MySQL. */
define( ‘DB_USER’, ‘XXX’ );/** Mot de passe de la base de données MySQL. */
define( ‘DB_PASSWORD’, ‘XXX’ );/** Adresse de l’hébergement MySQL. */
define( ‘DB_HOST’, ‘XXX’ );/** Jeu de caractères à utiliser par la base de données lors de la création des tables. */
define( ‘DB_CHARSET’, ‘utf8mb4’ );/**
* Type de collation de la base de données.
* N’y touchez que si vous savez ce que vous faites.
*/
define( ‘DB_COLLATE’, » );/**#@+
* Clés uniques d’authentification et salage.
*
* Remplacez les valeurs par défaut par des phrases uniques !
* Vous pouvez générer des phrases aléatoires en utilisant
* {@link https://api.wordpress.org/secret-key/1.1/salt/ le service de clés secrètes de WordPress.org}.
* Vous pouvez modifier ces phrases à n’importe quel moment, afin d’invalider tous les cookies existants.
* Cela forcera également tous les utilisateurs à se reconnecter.
*
* @since 2.6.0
*/
define( ‘AUTH_KEY’, ‘put your unique phrase here’ );
define( ‘SECURE_AUTH_KEY’, ‘put your unique phrase here’ );
define( ‘LOGGED_IN_KEY’, ‘put your unique phrase here’ );
define( ‘NONCE_KEY’, ‘put your unique phrase here’ );
define( ‘AUTH_SALT’, ‘put your unique phrase here’ );
define( ‘SECURE_AUTH_SALT’, ‘put your unique phrase here’ );
define( ‘LOGGED_IN_SALT’, ‘put your unique phrase here’ );
define( ‘NONCE_SALT’, ‘put your unique phrase here’ );/**#@-*/
/**
* Préfixe de base de données pour les tables de WordPress.
*
* Vous pouvez installer plusieurs WordPress sur une seule base de données
* si vous leur donnez chacune un préfixe unique.
* N’utilisez que des chiffres, des lettres non-accentuées, et des caractères soulignés !
*/
$table_prefix = ‘wpNous_’;/**
* Pour les développeurs : le mode déboguage de WordPress.
*
* En passant la valeur suivante à « true », vous activez l’affichage des
* notifications d’erreurs pendant vos essais.
* Il est fortemment recommandé que les développeurs d’extensions et
* de thèmes se servent de WP_DEBUG dans leur environnement de
* développement.
*
* Pour plus d’information sur les autres constantes qui peuvent être utilisées
* pour le déboguage, rendez-vous sur le Codex.
*
* @link https://fr.wordpress.org/support/article/debugging-in-wordpress/
*/
define( ‘WP_DEBUG’, false );/* C’est tout, ne touchez pas à ce qui suit ! Bonne publication. */
/** Chemin absolu vers le dossier de WordPress. */
if ( ! defined( ‘ABSPATH’ ) )
define( ‘ABSPATH’, dirname( __FILE__ ) . ‘/’ );/** Réglage des variables de WordPress et de ses fichiers inclus. */
require_once( ABSPATH . ‘wp-settings.php’ );Édit modération : retrait du blocage (message considéré comme spam par erreur car contenant plusieurs liens et du code collé sans mise en forme PHP)
Le wp-config du site enfant (…) l’envoi semble bloqué lorsque j’utilise la fonction Code
Non, c’est parce que vous ne sélectionnez pas le langage PHP dans la liste déroulante « choisir une syntaxe« . Par défaut, c’est réglé HTML, alors que le fichier wp-config, c’est du PHP. Donc, l’outil anti-spam du forum croit que vous voulez injecter du PHP « caché » … et vous bloque.
Édit : et je viens de supprimer votre dernier message, qui n’était que la répétion des précédents. Quand vous voyez que le message est rejeté, inutile de recommencer x fois
*************************
Et comme déjà dit, il faut des clés de salage. Vous pouvez les modifier, si vous pensez que le fichier est corrompu.
Ah, OK pour le blocage. Du coup je vous l’ai adressé plusieurs fois, désolé. Accesoirement j’ai regardé la liste déroulante de la fonction ‘Code’ : quel item faut-il choisir pour envoyer du PHP ?
Je vais rétablir les clés de salage sur les wp-config des deux sites. Et j’ouvre un ticket chez OVH pour comprendre à quelles conditions ils peuvent me réinstaller sur l’hébergement mutualisé puisque j’en ai été exclu et que celà semble être à l’origine de ce temps qui empêche wp-config d’accéder au WP.
Bonjour,
Accesoirement j’ai regardé la liste déroulante de la fonction ‘Code’ : quel item faut-il choisir pour envoyer du PHP ?
Il faut choisir « écrire du code » et dans la liste déroulante PHP.
Les choses rentrent dans l’ordre pour le site parent et son site enfant grâce à tous vos bons conseils. J’ai :
- Installé NinjaFirewall sur les deux sites avec un paramétrages un peu intuitif car je ne suis pas sûr d’avoir tout compris des options proposées…
- Changé les mots de passe des bases de données chez OVH, de mon compte OVH et d’accès aux deux sites hébergés chez OVH. J’ai l’impression que c’est cette action qui a bloqué les attaques. A tout le moins je ne reçois plus des dizaines d’emails de NinjaFirewall m’informant avoir bloqué un demande d’enregistrent sur le ou les sites.
- Actualisé ces mots de passe changés dans les 2 fichiers wp-config.
- Intégré des clés de salage dans les deux fichiers php wp-config (il n’y en avait pas).
- Ouvert un ticket chez OVH pour lenteurs d’accès. Ils m’ont renvoyés une liste d’actions à suivre et des liens vers des procédures écrites que j’ai plus ou moins lues/suivies, plutôt moins que plus d’ailleurs.
Après ces actions le temps de réponse pour l’accès aux sites semble redevenu « normal » et OVH m’a confirmé avoir retransféré le site parente et son enfant sur l’hébergement mutualisé. J’ai l’impression que c’est le changement des mots de passe qui a réglé le problème. Sans doute pour générer ces demandes d’enregistrement le bot avait cracké le wp-config ou mon compte OVH ? Mais celà dépasse mes compétences.
Tout semble redevenu normal. Jusqu’ici TVB :).
- Vous devez être connecté pour répondre à ce sujet.