altaneus

Pensées pour moi-même...

Multiples domaines avec la messagerie Infomaniak

par

Avec la messagerie Infomaniak, il est possible d’associer plusieurs adresses de mail à une boîte aux lettres, que ce soit pour l’envoi ou la réception de mails.

Marche à suivre :

  1. Renseigner le type MX pour le nouveau domaine

    🚀 Enregistrement MX – Infomaniak

    Cette opération est à effectuer sur le serveur DNS

    Ajouter un enregistrement MX pour diriger le trafic mail vers Infomaniak :
    mta-gw.infomaniak.ch avec la priorité 5

  2. Procédér à l’enregistrement SPF pour le domaine

    🚀 Enregistrement SPF – Infomaniak

    Cette opération est à effectuer sur le serveur DNS

    D’ailleurs Infomaniak préconise “SPF strict” lors de la création d’un Service Mail :
    v=spf1 include:spf.infomaniak.ch -all

  3. Lier un domaine au service mail

    🚀 Lier un nom de domaine supplémentaire au Service Mail – Infomaniak

    Cette opération est à effectuer sur le Manager Infomaniak

  4. Ajouter une nouvelle adresse d’envoi ou réponse

    🚀 Envoyer des messages à partir d’une autre adresse email – Infomaniak

    Cette opération est à effectuer dans le client de messagerie kMail ou sur le Manager Infomaniak

Outils pour webmaster

par

Parmi les nombreux outils que j’utilise régulièrement dans le cadre de mes activités de webmaster (amateur), je voudrais citer ceux-ci :

WinSCP

https://winscp.net/eng/index.php

Notepad++

Notepad++ (notepad-plus-plus.org)

GNU Wget

GNU Wget for Windows (eternallybored.org)

Nirsoft

Plusieurs outils forts utiles en libre service (freeware).

NirSoft – freeware utilities: password recovery, system utilities, desktop utilities

Quelques outils que j’utilise parfois :

DNS lookup tool for Windows (NSLookup with GUI) (nirsoft.net)

DomainHostingView – Show domain hosting information (nirsoft.net)

Préchargement d’images

par

Les versions récentes des browsers, permettent de précharger des images avant même que celles-ci aient été trouvé dans le code HTML.

Cette fonctionnalité est utile pour précharger l’image à la une (featured image ou thumbnail) d’un billet en avance de phase.

// add_action( 'genesis_meta', 'summit_preload_post_thumbnail' );
add_action( 'wp_head', 'summit_preload_post_thumbnail' );
function summit_preload_post_thumbnail() {
	
	global $post;
  
    if ( is_singular() && has_post_thumbnail( $post->ID ) ) {  
        $featured_id = get_post_thumbnail_id( $post->ID );
        $img_src = wp_get_attachment_image_src( $featured_id, 'single-post-thumbnail' )[0];
        $img_srcset = wp_get_attachment_image_srcset( $featured_id, 'full' );
        $img_sizes = wp_get_attachment_image_sizes( $featured_id, 'full', null );

		if ( $img_srcset && $img_sizes ) {
			$img_attr = sprintf( ' imagesrcset="%s" sizes="%s"', esc_attr( $img_srcset ), esc_attr( $img_sizes ) );			
        }
		
	  	if ( $img_src && $img_attr ) {
			echo '<link rel="preload" as="image"' . $img_attr . '>';
		}
	}
}

Jetpack : vérifier les erreurs de connexion

par

J’ai remarqué dans les logs Apache de mon site, des erreurs récurrentes avec le service XML-RPC.

J’avais en effet bloqué ce service grâce aux filtres suivants :

// Disable XML-RPC. Beware, it causes issues with Jetpack.
add_filter( 'xmlrpc_enabled', '__return_false' );
add_filter( 'pre_update_option_enable_xmlrpc', '__return_false' );
add_filter( 'pre_option_enable_xmlrpc', '__return_zero' );
Code language: JavaScript (javascript)

La raison principale du blocage de ce service, était les vulnérabilités avec XML-RPC et les risques d’attaques par force brute.

J’ai donc suivi les instructions de l’équipe de Jetpack (Check Your xmlrpc.php File) : Fixing Jetpack Connection Issues

J’ai ensuite testé la disponibilité du service avec l’outil de validation du service : WordPress XML-RPC Validation Service et j’avais effectivement des erreurs…

Moralité, j’ai commenté les trois filtres et le service marche à nouveau correctement.

Comment je me protège donc des vulnérabilités avec XML-RPC et les risques d’attaques par force brute ?

1) Le module Protect de Jetpack
Jetpack: Protection From Brute Force XML-RPC Attacks

2) Le WAF de Cloudflare (j’ai un abonnement Pro)
A Look at the New WordPress Brute Force Amplification Attack (cloudflare.com)

3) Des filtres Workpress

// Disable pingback.ping XML-RPC method.
add_filter( 'xmlrpc_methods', 'dottaware_remove_xmlrpc_pingback_ping' );
function dottaware_remove_xmlrpc_pingback_ping( $methods ) {
unset( $methods['pingback.ping'] );
unset( $methods['system.multicall'] );
return $methods;
}Code language: PHP (php)

Cloudflare – Implementer Authenticated Origin Pulls

par

L’Origin Certificate, est un certificat généré par Cloudflare, qui est installé sur le serveur source (Apache dans mon cas).

Il permet d’une part de forcer le chiffrement entre Cloudflare et le serveur source, et d’autre part de s’assurer que seul Cloudflare puisse se connecter sur le serveur source.

A noter que mon hébergeur Infomaniak offre des certificats gratuits “Let’s Encrypt” (c’était ce que j’utilisais avant cette manip) ou des certificats payants Comodo, et permet aussi de déployer des certificats d’autres autorités de certification (et donc ceux de Cloudflare aussi).

Les étapes que j’ai dû suivre sont les suivantes :

1) Depuis l’interface de management de mon hébergeur Infomaniak, j’ai dû générer une demande de certificat (CSR)
https://faq.infomaniak.com/2027

2) Une fois la demande de certificat prête, je l’ai sauvegardée en local, puis j’ai ouvert le fichier CSR avec Notepad++, sélectionné tout le texte et copié dans le presse-papier.

3) Sur le dashboard de Cloudflare, il faut sélectionner le domaine concerné, puis choisir SSL/TLS et l’option Origin Server

4) Cliquer sur “Create Certificate”, puis choisir l’option “I have my own private key and CSR”, et copier le contenu du fichier CSR généré plus haut.

J’ai aussi défini le nom du host, plutôt qu’un certificat qui s’applique à tout le domaine. Aussi, j’ai été raisonnable avec la validité du certificat (c’est tout de même 15 ans par défaut).

5) Après quelques secondes, Cloudflare vous génère un certificat.
Sélectionner tout le texte et le copier dans le presse-papier.

6) Retourner sur le site de l’hébergeur et importer le certificat.

7) Si tout va bien, le certificat est pris en compte, avec la validité spécifié plus haut.

8) Importer ensuite le certificat intermédiaire “Origin Pull Certificate” de Cloudflare, qui nous permettra ensuite d’activer l’authentification de toutes les demandes de mise en cache depuis le serveur source.
https://support.cloudflare.com/hc/en-us/articles/204899617

Le résultat final est ceci :

9) Depuis le dashboard de Cloudflare, activer la fonctionnalité “Authenticated Origin Pulls” (voir étape numéro 3 plus haut)

Une fois ces étapes effectuées, non seulement tout le trafic entre le serveur source et Cloudflare sera chiffré, mais seul Cloudflare sera autorisé à se connecter sur le serveur source.