Forcément, ce type de message ne met pas en confiance les internautes, mais pire que ça, les internautes venant du moteur de recherche Google avaient quant à eux, une page intermédiaire stipulant à peu près la même chose et les dissuadant de continuer.

L’attaque consistait à ajouter un code complémentaire en base de données pour chaque emplacement et chaque bloc de publicité répertoriés dans mon adserver. Ce code contenait une iframe pointant vers un site malveillant (quintivolt.com) et était ajouté dans les champs append ou prepend des tables banners et zones de la base de données OpenX.

Voici comment vous pouvez facilement le repérer sur votre installation :

SELECT bannerid, append, prepend FROM banners WHERE append != '' OR prepend != '';

SELECT zoneid, append, prepend FROM zones WHERE append != '' OR prepend != '';


Le hacker s’était également créé un compte administrateur sur mon instance. Vous pouvez le vérifier comme cela :

SELECT u.user_id, u.contact_name, u.email_address, u.username FROM users AS u, account_user_assoc AS aua WHERE u.user_id=aua.user_id AND aua.account_id = (SELECT value FROM application_variable WHERE name='admin_account_id');


Google Webmaster Tools m’a remonté le problème quand je m’y suis connecté, et une fois mon site « nettoyé » j’ai pu demander un réexamen via le menu Malware de Google Webmaster Tools. Les SERP de Google se sont remis à jour quelques heures plus tard.

Depuis j’ai supprimé la base et l’ancienne installation OpenX, puis réinstallé la version 2.8.7 de l’adserver et actuellement, le site aviresto.com (et d’autres) tournent sans publicité. Je ne vais pas me précipiter pour remettre de la publicité, et je vais en profiter pour faire des tests afin de voir si le comportement des internautes changent, si les performances du site s’améliorent et bien entendu si cela a des conséquences dans les SERP.

Au niveau des statistiques, cela s’est traduit par environ 10% de perte d’audience le samedi sur le site aviresto.com. Je vais aussi suivre si cela a des impacts sur les jours qui viennent (les stats du dimanche sont également sur une tendance d’environ -10%).

Liens :

• Page d’informations Google sur les malwares de Quintivolt.com
• Page de téléchargement de l’adserver OpenX

PS : si vous utilisez un système de cache sur votre site, n’oubliez pas de le vider avant de déclarer à Google que vous avez fait le nécessaire.
PS : si vous avez un autre adserver gratuit à me conseiller, je suis preneur. Je trouve OpenX assez lent et gourmand en ressource.

En savoir plus :

1. Impact de la publicité sur un site Internet Ce n’est qu’une ébauche de réflexion, mais le hack de...
2. DFP Small Business : Google AdManager évolue Pour le moment, on n’en sait pas grand chose, mais...
3. Mises à jour WordPress Voici un tutoriel complet vous expliquant comment mettre à jour...

• une règle de réécriture qui était sensible à la casse. Cela avait pour conséquence de ne pas rediriger les URLs raccourcies comprenant des lettres majuscules. Ce problème a été rapidement identifié et corrigé.
• une base de données MySQL 4.0 qui ne permet pas de choisir une collation sensible à la casse pour la comparaison des champs textes. La conséquence de ce problème était une redirection erronnée des URLs raccourcies : par exemple, shortin.com/1jC redirigeait en fait vers l’adresse mappée sur shortin.com/1jc. Ce problème a été corrigé en passant sur une base de données MySQL 5.0.

Voilà, je suis toujours preneur, si vous avez d’autres bugs à me remonter.

En savoir plus :

1. Alias personnalisés dans shortin.com Si vous êtes un fervent lecteur de ce blog, vous...
2. shortin.com, ca sert toujours à raccourcir une URL Un post très rapide pour vous ajouter deux petites précisions...
3. shortin.com : Raccoucir une URL A quoi ça sert de raccourcir une url ? Souvent...

Sur le blog de Vincent Abry (et surement ailleurs), on découvre que la version 2.8 devrait être disponible le 9 mars en téléchargement, mais surtout que les versions 2.9 et 3.0 devraient être disponibles à l’été 2009, ce qui fait tout de même 3 versions en moins de 6 mois. Heureusement, les mises à jour s’installent facilement.

Pour les nouveautés de la version 2.8 de WordPress, on retrouve :

-amélioration de l’interface widgets

• meilleure performance,
• nouveau navigateur et installateur de thème depuis la zone d’administration,
• mise à jour thèmes en 1 clic,
• éditeur avancé codepress…

Et vous, vous attendiez quoi comme nouveauté sur WordPress ?

Source : www.vincentabry.com

En savoir plus :

1. WordPress 2.8 est enfin arrivé L’outil de CMS et de blog WordPress en version 2.8...
2. Générateur de thèmes WordPress Vous ne savez pas par où débuter pour créer un...
3. WordPress comme outil de CMS Voici un article intéressant glané au passage sur le site...

Vous n’avez pas les droits suffisants pour accéder à cette page

Par défaut, le préfixe des tables d’une base de données WordPress est ‘wp_’, mais il peut arriver que pour une raison particulière (sécurité, plusieurs instances de WordPress sur une seule base de données…) vous ayez besoin de le changer.

J’imagine que comme moi, vous avez édité le fichier wp-config.php et modifier la valeur de la variable : $table_prefix. Une fois, cette modification effectuée, vous avez renommer toutes les tables avec votre nouveau préfixe en pensant que le tour était joué !

Effectivement la consultation du blog WordPress fonctionne, mais pas la connexion au panel d’administration et vous obtenez le message suivant :

Vous n’avez pas les droits suffisants pour accéder à cette page

Pour corriger ce problème dû à une mauvaise conception de WordPress, il faut se connecter à la base de données et éditer certaines informations :

• dans la table wp_options, vous devez recherche la ligne dont l’attribut option_name vaut wp_user_roles et le modifier avec votre nouveau préfixe de tables.
  
• dans la table wp_usermeta,vous devez rechercher et modifier de la même façon que précédemment les lignes dont l’attribut meta_key vaut wp_autosave_draft_ids, wp_capabilities, wp_usersettings, wp_usersettingstime.

Ceci devrait suffir pour vous redonner accès à la zone d’adminstration de votre blog WordPress, mais c’est vraiment dommage d’obtenir une erreur de conception de la sorte dans un produit aussi distribué et aussi bien fait par ailleurs que WordPress.

En espérant que ce petit article vous évite de perdre trop de temps pour changer les préfixes de tables de WordPress.

Source : Billet sur weblog.fairweb.fr

En savoir plus :

1. Mises à jour WordPress Voici un tutoriel complet vous expliquant comment mettre à jour...
2. Ressources, tutoriels et guides WordPress en français Grâce à cet article paru sur le blog Presse-Citron.net, WordPress...
3. WordPress 2.8 arrive Encore nouveau dans le monde WordPress, je ne pensais pas...