Problème lié aux cookies ou à la connexion sécurisée

WordPress :6.4
Statut : résolu

Ce sujet contient 19 réponses, 2 participants et a été mis à jour pour la dernière fois par Li-An, le il y a 1 année.

15 sujets de 1 à 15 (sur un total de 20)

1 2 →

Auteur

Messages
24 juin 2024 à 14 h 14 min #2475223
Phobos76
Participant

Initié WordPress
26 contributions
Bonjour,

Ma configuration WP actuelle
- Version de PHP/MySQL : PHP 8.2 / MySQL 5.7
- Thème utilisé : MH Magazine lite
- Extensions en place : (voir liste en bas de mon post)
- Nom de l’hébergeur : OVH
- Adresse du site : 2euros.org
Problème(s) rencontré(s) :

Bonjour à toutes et à tous.
Depuis assez longtemps, j’ai un souci sur mon site WordPress et je ne sais pas trop vers où m’orienter pour tenter de le résoudre.
En effet, lorsque je navigue sur le site, la plupart du temps, c’est fluide et je n’ai aucun soucis de navigation. Puis soudainement, j’ai un message d’erreur « Echec de la connexion sécurisée » de Firefox qui s’affiche, m’empêchant d’accéder à la page. Pour résoudre ce problème, je suis obligé de vider mon cache Firefox (CTRL + MAJ + SUPPR) et tout reviens dans l’ordre pour quelques temps (et rebelote, ça fini par recommencer).
J’ai remarqué que ce problème devient de plus en plus récurrent lorsque j’édite des articles via le back-end: souvent, quand je clique sur le bouton « Enregistrer », un message en rouge apparait en haut de la page, indiquant: « Mise à jour échouée. Vous êtes probablement hors ligne. » (je dois à nouveau vider mon cache, actualiser la page et recommencer les modifications). Malgré tout et malgré le vidage du cache de Firefox, je reste encore logué au site.
Je pense qu’il doit s’agir d’un problème de cookies ou lié au SSL.
De plus, lors du login d’un utilisateur, le temps pour se connecter est très long (ça charge pendant au moins 10 / 15sec avant d’être finalement logué)
J’ai cru constater (sans certitude) que ce problème se produit uniquement lorsque nous sommes logués au site (les visiteurs semblent ne pas avoir ce problème)

Auriez vous des pistes sur lesquelles je pourrais me pencher pour essayer de résoudre ce problème ?

En vous remerciant par avance!

Pour info:
– WP Version 6.5.4
– Php version 8.2
– Certificat SSL (chez OVH): LETSENCRYPT – DV
– MySQL 5.7

Extensions installées (36, oui je sais, ça fait beaucoup certains me diront):
Advanced Custom Fields
Akismet Anti-Spam: Spam Protection
All 404 Redirect to Homepage
Asgaros Forum
CBX Bookmark & Favorite (+ Pro Addon)
CBX User Online & Last Login
Donations via PayPal
Download MAnager
FG Joomla to WordPress Premium
GTranslate
Gutemberg
If Menu – Visibility control for menus
Image de menu
MonsterInsights – Google Analytics pour WordPress
OneSignal Push Notifications
PostX
Premium Packages – Sell Digital PRoducts Securely
Really Simple SSL
Site Kit by Google
Social Warefare
TablePress
Ultimate Member (+ extended features & functionalities, online, reCAPTCHA, Terms & Conditions)
UpdraftPlus
WP Mail SMTP
WP Migrate Lite
WP Statistics
WP-Optimize
WPForms Lite
XML Sitemap Generator for Google
Yoast Duplicate Post
Yoast SEO

Fichiers joints :
Vous devez être connecté pour voir les fichiers joints.
24 juin 2024 à 18 h 35 min #2475234

Li-An
Participant

Maître WordPress
29241 contributions

Bonjour, votre site a été piraté https://sitecheck.sucuri.net/results/2euros.org. Pour le nettoyer un lien utile https://wpfr.net/support/sujet/solutions-de-depannage-pour-un-site-hacke-pirate/

24 juin 2024 à 19 h 01 min #2475238

Phobos76
Participant

Initié WordPress
26 contributions

Merci pour votre retour. Vous pensez que mes problèmes sont liés à ça uniquement ?

Cordialement

24 juin 2024 à 21 h 17 min #2475246

Li-An
Participant

Maître WordPress
29241 contributions

Oui. Leur description m’a mis la puce à l’oreille. Après, il y a peut-être d’autres problèmes « masqués » par ce piratage mais autant commencer par le début : nettoyez votre site.

24 juin 2024 à 21 h 34 min #2475247

Phobos76
Participant

Initié WordPress
26 contributions

Merci pour votre retour, pourtant après avoir installé WordFence et fait un scan, aucun problème. Aucun problème non plus avec le scan sur https://unmask.sucuri.net

Je vais tenter de nettoyer mais réinstaller un wordpress « neuf », j’ai peur de perdre des données (et mon thème personnalisé) et que ce soit trop fastidieux …

24 juin 2024 à 21 h 54 min #2475248

Li-An
Participant

Maître WordPress
29241 contributions

Vous avez des problèmes qui ressemblent à un piratage, le lien Sucuri annonce des malwares et vous êtes en train de chercher des raisons de ne pas nettoyer. C’est comme vous voulez mais un site piraté, c’est un site qui va disparaître des moteurs de recherche et qui ne fonctionnera jamais correctement (et ça, c’est juste de votre côté).

Vous pouvez faire la politique de l’autruche mais, alors, ne venez pas demander conseil sur les forums spécialisés.

24 juin 2024 à 22 h 04 min #2475249

Phobos76
Participant

Initié WordPress
26 contributions

Attendez, je crois que l’on ne s’est pas vraiment compris.

Je n’ai pas dis que je ne le ferais pas, j’exprime juste mes craintes car c’est des mois de travail que je n’ai pas envie de perdre.
Et justement, si je viens sur un forum spécialisé, c’est pour trouver une solution et que l’on me guide pour réaliser avec brio la résolution de ce problème. Je veux juste m’assurer que c’est l’ultime solution pour réparer ce problème, car je n’ai pas envie de me lancer dans un travail « risqué » si c’est juste une supposition…

25 juin 2024 à 0 h 25 min #2475251

Li-An
Participant

Maître WordPress
29241 contributions

Si vous faites le nettoyage, vous ne perdrez rien a priori – on ne supprime aucun contenu créé par vous, uniquement les trucs chelous rajoutés par le piratage. Si vous avez peur de perdre quoi que ce soit, faites une sauvegarde de votre base de données et de wp-content/uploads. Ou passez par une extension dédiée.

Il faut quand même vous rendre compte que si le site est vérolé, il est comme mort. Il faut nettoyer et deviner d’où le problème peut venir.

25 juin 2024 à 7 h 23 min #2475254

Phobos76
Participant

Initié WordPress
26 contributions

Bonjour.

Après quelques modifs du site, visiblement le malware n’est plus présent. Je vous dirais si le problème survient toujours.

Cordialement

Fichiers joints :
Vous devez être connecté pour voir les fichiers joints.

25 juin 2024 à 8 h 50 min #2475256

Phobos76
Participant

Initié WordPress
26 contributions

J’ai quand même quelques trucs encore à corriger, je vais essayer de m’y pencher aujourd’hui, le problème de connexion sécurisée vient peut être de là

25 juin 2024 à 10 h 00 min #2475264

Li-An
Participant

Maître WordPress
29241 contributions

Le malware n’est pas arrivé là par hasard. Vous avez une faille quelque part et il faut la combler au risque de vous retrouver très rapidement dans le même pétrin. C’est à ça que sert le tuto : à checker et corriger tout ce qui pose problème.

J’espère que vous n’allez pas me sortir un truc du genre « déplacer l’url de login ». Il y a 0% de chances que la faille provienne de là sauf si vous utilisez les mêmes id et mots de passe sur d’autres sites. Les extensions de sécurité que je conseille : NinjaFirewall (léger sur le site et efficace), SecuPress (français) et Wordfence (la plus populaire mais lourde) cf mon billet https://www.echodesplugins.li-an.fr/plugins/un-wordpress-vraiment-protege/.

26 juin 2024 à 18 h 01 min #2475320
Phobos76
Participant

Initié WordPress
26 contributions
Bonjour, j’ai passé ma journée à tout remettre bien j’espère. J’ai également installé Wordfence qui a l’air d’être pas mal.

Malgré tout, mon problème de « mise à jour échoué », « vous êtes hors ligne », etc… semble persister…

Je me demande même si il ne s’est pas aggravé lorsque j’ai un peu touché au .htaccess en ajoutant cette partie là en fin de fichier:
```
		<IfModule mod_headers.c>
Header append Vary User-Agent
Header unset ETag
Header always set Content-Security-Policy “upgrade-insecure-requests”
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains;"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "same-origin"
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"  
Header always set X-XSS-Protection "1; mode=block"
		</IfModule>
```
J’ai même l’impression que maintenant, ça le fait à chaque fois que j’édite un article, avant c’était ponctuellement. Avez-vous une idée ?

Cordialement
26 juin 2024 à 19 h 11 min #2475327
Phobos76
Participant

Initié WordPress
26 contributions
Je vous laisse également une copie de mon .htaccess car je suis intimement persuadé qu’il n’est pas correctement paramétré, ça expliquerait le problème mais je n’ai que de piètres connaissances là dedans…
```
#BEGIN Really Simple SSL LETS ENCRYPT
RewriteRule ^.well-known/(.*)$ - [L]
#END Really Simple SSL LETS ENCRYPT

#Begin Really Simple Security
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteCond %{REQUEST_URI} !^/\.well-known/acme-challenge/
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>

#End Really Simple Security
# BEGIN WordPress
# Les directives (lignes) entre « BEGIN WordPress » et « END WordPress » sont générées
# dynamiquement, et doivent être modifiées uniquement via les filtres WordPress.
# Toute modification des directives situées entre ces marqueurs sera surchargée.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress
# BEGIN FRedirect_ErrorDocument
# Les directives (lignes) entre « BEGIN FRedirect_ErrorDocument » et « END FRedirect_ErrorDocument » sont générées
# dynamiquement, et doivent être modifiées uniquement via les filtres WordPress.
# Toute modification des directives situées entre ces marqueurs sera surchargée.
ErrorDocument 404 /index.php?error=404
# END FRedirect_ErrorDocument
RewriteRule ^.* - [F,L]
RewriteCond %{SERVER_PORT} 80
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
ErrorDocument 403 /403.html

# BEGIN WP-Optimize Gzip compression
<IfModule mod_filter.c>
	<IfModule mod_deflate.c>
# Compress HTML, CSS, JavaScript, Text, XML and fonts
		AddType application/vnd.ms-fontobject .eot
		AddType font/ttf .ttf
		AddType font/otf .otf
		AddType font/x-woff .woff
		AddType image/svg+xml .svg
		
		AddOutputFilterByType DEFLATE application/javascript
		AddOutputFilterByType DEFLATE application/rss+xml
		AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
		AddOutputFilterByType DEFLATE application/x-font
		AddOutputFilterByType DEFLATE application/x-font-opentype
		AddOutputFilterByType DEFLATE application/x-font-otf
		AddOutputFilterByType DEFLATE application/x-font-truetype
		AddOutputFilterByType DEFLATE application/x-font-ttf
		AddOutputFilterByType DEFLATE application/x-font-woff
		AddOutputFilterByType DEFLATE application/x-javascript
		AddOutputFilterByType DEFLATE application/xhtml+xml
		AddOutputFilterByType DEFLATE application/xml
		AddOutputFilterByType DEFLATE font/opentype
		AddOutputFilterByType DEFLATE font/otf
		AddOutputFilterByType DEFLATE font/ttf
		AddOutputFilterByType DEFLATE font/woff
		AddOutputFilterByType DEFLATE image/svg+xml
		AddOutputFilterByType DEFLATE image/x-icon
		AddOutputFilterByType DEFLATE text/css
		AddOutputFilterByType DEFLATE text/html
		AddOutputFilterByType DEFLATE text/javascript
		AddOutputFilterByType DEFLATE text/plain
		AddOutputFilterByType DEFLATE text/xml
		
# Remove browser bugs (only needed for really old browsers)
		BrowserMatch ^Mozilla/4 gzip-only-text/html
		BrowserMatch ^Mozilla/4\.0[678] no-gzip
		BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
		<IfModule mod_headers.c>
Header append Vary User-Agent
Header unset ETag
Header always set Content-Security-Policy “upgrade-insecure-requests”
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains;"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "same-origin"
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"  
Header always set X-XSS-Protection "1; mode=block"
		</IfModule>
	</IfModule>
</IfModule>
# END WP-Optimize Gzip compression
```
- Cette réponse a été modifiée le il y a 1 année par Phobos76.
26 juin 2024 à 22 h 20 min #2475330

Li-An
Participant

Maître WordPress
29241 contributions

Vous pouvez copier, supprimer le contenu et générer un nouveau htaccess via « enregistrer les permaliens » – ou ne garder que ce qui concerne le core de WP pour voir ce que ça donne.

Si vous utilisez Wordfence, il vous faut désactiver ce qui a trait à la sécurité dans Really Simple SSL, ça risque de faire des nœuds.

Vous savez à quoi correspond FRedirect_ErrorDocument ? Je ne trouve pas grand chose sur le Web.

27 juin 2024 à 9 h 03 min #2475335

Phobos76
Participant

Initié WordPress
26 contributions

Bonjour,

J’ai effectivement désactivé bon nombre de fonctions de sécurité dans Really Simple SSL et j’ai activé la redirection via php et non via le .htaccess.

Concernant FRedirect_ErrorDocument, je pense que ça a été introduit par le plugin All 404 Redirect to Homepage.

Je vais tenter de régénérer le fichier .htaccess. Si je le fais, les plugins qui ont ajouté des règles dans le fichier .htaccess vont le remettre automatiquement ?

Cordialement
Auteur

Messages