I. Présentation

Ce plug-in pour WordPress permet d’améliorer la gestion native des bases de données au sein du CMS. Il permet de définir différents serveurs de bases de données à utiliser pour accéder à la base de données du site concerné.

Attention, ce plug-in ne permet pas de faire de la réplication de base de données, cette fonctionnalité devant être assurée en amont par MySQL directement avec la gestion master/slave. HyperDB est là uniquement pour permettre à l’application WordPress de basculer d’un serveur de base de données vers un autre en cas de panne.

Le failover est géré par HyperDB : Lorsque la connexion sur une base de données échoue, il tente d’accéder à un autre serveur contenant la base de données avec les mêmes données. Si la réplication n’est pas configurée, HyperDB effectue quelques tentatives de reconnexion avant de renoncer.

A voir également : Réplication MySQL

II. Infrastructure HyperDB

Voici l’infrastructure imaginée dans le cadre de la réalisation de ce tutoriel :

 

III. Configuration d’HyperDB

Le plug-in HyperDB ne s’installe pas comme un quelconque autre plug-in, à savoir en positionnant les fichiers dans le répertoire « /wp-content/plugins/ ».

A. Modèle de configuration

Après avoir téléchargé les sources sur la page WordPress du plug-in, placez le fichier « db-config.php » à la racine de votre installation WordPress et ouvrez-le.

Dans ce fichier, il faudra définir la configuration des différents hôtes à utiliser. Pour cela, on s’appuiera sur la variable $database qui est en fait un tableau contenant différents paramètres :

– host (requis) : Nom de l’hôte (attribué au sein de la configuration HyperDB) – Spécifier « :port » avec le bon numéro s’il est différent du port par défaut qui est 3306.

– user (requis) : Nom d’utilisateur MySQL

– password (requis) : Mot de passe de l’utilisateur définit

– name (requis) : Nom de la base de données

Ainsi que différents paramètres optionnels mais qui nous serons utiles :

-read : Indique si l’hôte est accessible en lecture (par défaut : 1 = oui)

-write : Indique si l’hôte est accessible en écriture (par défaut 1 = oui)

– dataset : Nom du dataset utilisé (défaut : global)

– timeout : Timeout en secondes pour une réponse TCP (défaut : 0.2 seconde)

Ainsi, on définira nos hôtes sous cette forme :

$wpdb->add_database(array(
'nom-option' => valeur,
));

B. Définir l’hôte maître

Commençons par créer la configuration pour le serveur MySQL Master. Nous obtiendrons :

$wpdb->add_database(array(
'host' => DB_HOST,
'user' => DB_USER,
'password' => DB_PASSWORD,
'name' => DB_NAME,
));

On peut laisser les différentes variables « DB_* » puisque cela permet d’aller chercher les valeurs directement définies au sein de la configuration de WordPress. Pour notre serveur master, cela fait très bien l’affaire. Par exemple, “DB_HOST” aura pour valeur ce que vous avez définit pour ce paramètre dans le fichier de configuration WordPress “wp-config.php“.

Note : On ne précise pas les directives « read » et « write » cela signifie que l’on indique que ce serveur est accessible aussi bien en lecture qu’en écriture comme la valeur par défaut est « 1 ».

C. Définir l’hôte esclave

Après avoir définit l’hôte master, on peut s’attaquer à la configuration de l’hôte slave. La principale différence sera au niveau de l’hôte, et, des accès autorisés sur le serveur.

Voici la configuration :

$wpdb->add_database(array(
'host' => DB_SLAVE1,
'user' => DB_USER,
'password' => DB_PASSWORD,
'name' => DB_NAME,
‘read’ => 1,
‘write’ => 0,
));

Les principales différences sont le changement du nom d’host, il faut définir un nom unique pour chaque hôte définit, on choisira donc « DB_SLAVE1 » dans ce cas. De plus, on indique que ce serveur est accessible en lecture (facultatif car implicite) mais pas en écriture.

Pas en écriture tout simplement car lors d’un processus de réplication MySQL, le serveur slave est accessible uniquement en lecture.

IV. Configuration de WordPress avec HyperDB

Après avoir configuré le fichier « db-config.php », il est nécessaire de configurer WordPress pour l’associer à HyperDB. Pour cela, éditez le fichier « wp-config.php » de WordPress.

Recherchez dans ce fichier la déclaration « DB_HOST » qui doit normalement avoir pour valeur l’adresse IP du serveur Master, correspondant probablement au serveur MySQL utilisé actuellement.

Définissez une seconde option pour le DB_SLAVE1 comme ceci :

/** MySQL master */
define('DB_HOST', 'localhost');
/* MySQL slave */
define('DB_SLAVE1', 'localhost');

Sauvegardez et fermez le fichier wp-config.

Enfin, copiez le fichier « db.php » du plug-in HyperDB dans le répertoire « wp-content » de votre installation WordPress. Donnez le propriétaire de ce fichier pour que ce soit l’utilisateur « www-data » qui le soit :

chown –R www-data:www-data wp-content/db.php

Maintenant, votre WordPress est désormais capable de gérer plusieurs serveurs MySQL afin d’améliorer la disponibilité de votre site web. N’oubliez pas de configurer correctement la réplication MySQL maître/esclave également pour assurer le bon fonctionnement de l’infrastructure (voir lien dans première partie).

L’application Wget utilisée mondialement sur les systèmes Linux, pour télécharger des données depuis différents types de source (HTTP, HTTPS et FTP), contient une vulnérabilité.

L’attaque porte sur les liens symboliques et la récursivité

Une connexion sur un serveur FTP malicieux distant, par l’intermédiaire de Wget. Cette connexion FTP pourrait autoriser le pirate à utiliser Wget pour télécharger, créer et écraser des fichiers existants et cela dans le contexte de l’utilisateur qui exécute Wget sur la machine grâce à la création d’un lien symbolique.

HD Moore, chercheur chez Rapid7, a reporté cette vulnérabilité identifiée sous CVE-2014-4877.

Rassurez-vous, un correctif est disponible pour wget !

Les développeurs du projet Wget ont corrigé cette vulnérabilité dans la version wget 1.16, qui bloque les paramètres par défaut qui autorise le paramétrage des liens symboliques locaux.

Metasploit a déjà son exploit !

L’outil de pentest Metasploit dispose déjà de son exploit qui permet d’exploiter simplement cette vulnérabilité dans Wget.

Vous pouvez consulter le rapport BugZilla si vous le souhaitez : BugZilla Wget

Et pour les détails techniques : Rapid7

I. Présentation de Clover

Parmi les améliorations auxquelles les développeurs de Windows devraient penser, c’est bien la centralisation des fenêtres de l’explorateur Windows “en mode navigateur web“. C’est ce que permet de faire Clover, il reprend la méthode “onglet” des navigateurs dans l’explorateur de fichier Windows et résout ainsi un problème gênant lorsque l’on est amené à gérer plusieurs fenêtres d’exploration, voyez plutôt :

Nous allons dans ce tutoriel voir son installation (très simple) et son utilisation courante. Pour ma part, j’effectue ce tutoriel sur une machine Windows 8.1 avec la version 3 de Clover.

II. Téléchargement et installation de Clover

Il faut commencer à télécharger Clover, on va d’ailleurs le trouver directement sur le site des développeurs de l’outil : Clover On pourra ensuite installer Clover, elle ne demande aucune configuration spécifique. À la fin de l’installation, votre explorateur de fichier va redémarrer, car Clover va prendre le relais.

Ça y est, Clover peut maintenant être utilisé !

III. Utilisation courante de Clover

L’utilisation de Clover en tant que navigateur par défaut se fait automatiquement.

Note : La désinstallation de Clover via “Programmes et fonctionnalités” va repositionner l’explorateur habituel de Windows par défaut de façon automatique sans poser de problème.

On peut alors voir que l’on peut facilement ouvrir plusieurs répertoires et que ceux-ci vont se mettre sous forme d’onglet dans l’explorateur :

On peut également utiliser des fonctions très pratique de Clover qui ne sont pas présentes dans l’explorateur par défaut, par exemple :

• Un clic central (clic de la molette de votre souris ou “troisième clic”) sur un répertoire va ouvrir ce répertoire dans un nouvel onglet, à la manière d’un navigateur
• Dans un répertoire, un double clique dans une zone vide va remonter au répertoire parent
• Un double clique sur un onglet représentant un répertoire va fermer celui-ci

Comme sur un navigateur, on pourra ouvrir un onglet facilement en cliquant sur le mini-onglet présent à droite de la barre d’onglet :

On peut changer quelques paramétrages en cliquant sur la clé à molette en haut à gauche de l’explorateur de fichier :

On peut alors exporter ou importer des favoris (que nous allons voir juste après) au format HTML ou alors activer ou désactiver certaines fonctionnalités comme la validation à la fermeture ou certains raccourcis expliqués plus haut :

On peut également gérer les Favoris qui sont une fonction très intéressante de Clover, car ils sont positionnés au même endroit que les favoris de navigateurs. Il faut pour cela activer l’affichage de la barre des favoris via Ctrl + Maj + B ou au clic :

On voit alors la barre de favoris vide apparaitre en dessous des onglets, on peut alors faire un clic droit sur celle-ci puis “Ajouter un dossier” ou “Ajouter un page” (par page, il faut comprendre répertoire). On peut alors avoir une barre assez complète :

Clover est un outil assez pratique, le seul problème est qu’une fois que l’on a pris l’habitude de l’utiliser, on a vite envie de l’installer sur tous les postes sur lesquels on travaille !

Si vous êtes propriétaire d’un smartphone Sony qui tourne sous Android 4.4.2 ou 4.4.4, sachez que votre appareil transmet des données sur des serveurs en Chine, sans aucune intervention de votre part.

C’est surprenant mais c’est une réalité. Il y a environ un mois, des utilisateurs de la communauté Sony ont détectés la présence d’un répertoire étrange, nommé “Baidu”. Ce répertoire est créé automatiquement, sans demander votre permission et il n’est pas possible de le supprimer (si vous le supprimez, il reviendra automatiquement).

Un utilisateur de Reddit précise : “A peine mon Sony Z3 Compact déballé, je n’ai pas installé d’application et il s’est connecté en Chine. Je ne suis pas concerné par le répertoire mais mon téléphone a maintenant une connexion constante sur une adresse IP à Beijing“.

Visiblement, le répertoire Baidu est utilisé par le service “my Xperia” à chaque fois que des pings sont envoyés à destination de la Chine. Par ailleurs, il s’avère que certains utilisateurs rapportent que le gouvernement Chinois est capable de récupérer certaines informations et d’effectuer des actions :

– Prendre des photos et vidéos
– Obtenir la localisation
– Changer les paramètres de sécurité, système et audio
– Gérer le réseau
– Lire le contenu de la mémoire USB
– Empêcher l’appareil d’entrer en mode veille
– Associer à un périphérique Bluetooth
– Obtenir la liste de vos applications

En ce qui concerne les appareils affectés, il s’agit des nouveaux modèles Sony, à savoir le Sony Xperia Z3 et le Z3 Compact. De plus, les utilisateurs de la communauté Reddit rapportent que ce répertoire (Baidu) et également présent dans d’autres smartphones que ceux de Sony. Ces utilisateurs rapportent les modèles suivants : HTC One M7, HTC One X mais aussi le OnePlus One.

De son côté, Sony n’a pas répondu officiellement quant à la présence du répertoire Baidu. Toutefois, l’entreprise reconnaît tout de même la présence de ce répertoire, et que ce problème sera corrigé dans la prochaine version.

Il existe une méthode relativement lourde pour désactiver le spyware Baidu. Voici les étapes à suivre :

1. Sauvegarder vos données importantes

2. Reset usine de l’appareil

3. Accédez à Paramètres > Applications > En cours > Forcer l’arrêt des applications My Xperia

4. Supprimer le répertoire Baidu avec un explorateur de fichiers

5. Accédez à Paramètres > A propos de l’appareil > Appuyez 7 fois sur le Build Number pour activer le mode développeur

6. Installer Android SDK sur votre machine et connectez votre appareil Sony

7. Exécutez le terminal : adb shell

8. Dans l’adb shell : exécutez la commande : pm block com.sonymobile.mx.android

9. Quitter l’adb shell

10. Redémarrer l’appareil

Source

Wooxo est une société située dans les Bouches du Rhônes, à la Ciotat (13), qui se spécialise dans la protection des données informatiques, elle prévoit d’agrandir ses effectifs d’ici 2015.

Cette société s’apprête donc à accueillir de nouvelles recrues dans ses rangs : “d’une trentaine de collaborateurs actuellement, nous allons passer à une cinquantaine pour 2015.” rapporte Marie-Christine Heilmann, responsable RH chez Wooxo sur Keljob.com.

Ces recrutements interviennent dans le cadre du lancement d’une nouvelle solution de protection des données qui est le métier de l’entreprise. Parmi les recrutements annoncés :

• Sept offres de responsables réseaux (ou channel manager), les profils recherchés sont des personnes provenant des écoles de commerce avec 3 ans d’expérience en bureautique, informatique/télécom
• Sept à destination de consultants, ici les profils recherchés sont des personnes étant des techniciens tout en ayant des connaissances commerciales, Wooxo est d’ailleurs pour ces postes ouverts aux jeunes diplômés et même aux alternants.

Une compétence requise pour tous ces postes est en tout cas l’anglais, car Wooxo est une société présente au niveau international, on trouvera d’ailleurs des postes à pourvoir en Belgique, Italie et Allemagne pour trois postes de responsable réseau.

Vous trouverez les postes à pourvoir en ce moment directement dans l’espace “Carrière” du site web de l’entreprise Wooxo.