Journal Let's Encrypt, Nginx et Wordpress

Posté par (page perso) . Licence CC by-sa.
Tags : aucun
11
24
juil.
2017

Bonjour mon petit journal,
Je voulais te dire que je me suis enfin penché sur le sujet du passage de sites web en https. J'ai trouvé plein d'informations sur le web, des documentations très bien faites, mais jamais exhaustives. J'ai donc décidé d'écrire moi-même deux articles sur le sujet.
Le premier traite de l'installation d'un certificat Let's Encrypt sur un serveur nginx (en l'occurrence un reverse-proxy mais ça marche aussi sur un serveur web).
https://w3.nonsenz.org/2017/06/lets-encrypt-nginx-https/

Le second traite de la problématique spécifique de migration d'un site Wordpress en https.
https://w3.nonsenz.org/2017/07/site-wordpress-en-https/
Il complète directement le premier. Avec ces deux articles, on est donc accompagné pas à pas pour passer un site web Wordpress en https. J'espère que ça pourra aider certaines personnes. N'hésitez pas à me faire des retours si vous avez des difficultés lors de l'application de ces how-to.

  • # Exhaustivité toute relative de ton premier article

    Posté par . Évalué à 5.

    Pour info : Tu ne précises nul part le système d'exploitation concerné par ton article alors que tu utilises des lignes de commande qui ne fonctionneront pas sur tous les serveurs. (ppa donc ubuntu seulement ?)

    Tu devrais le préciser dans ton titre.

  • # Distrib ?

    Posté par (page perso) . Évalué à 5. Dernière modification le 24/07/17 à 16:41.

    Tu devrais préciser quelle distribution tu utilises. Les commandes que tu donnes dans le premier article (je n'ai pas lu l'autre) ne marchent pas partout…

    edit : grilled.

  • # C'est fort

    Posté par . Évalué à 3.

    La partie où tu fais un dump de la bdd pour ensuite faire un grep sur le fichier obtenu, c'est quand même balèze xD

    • [^] # Re: C'est fort

      Posté par (page perso) . Évalué à 3.

      Au cas où tu n'es pas ironique, j'ai déjà vu ça pour du Wordpress. Il semble que ce soit le seul moyen sûrement atteignable en temps fini pour changer l'URL de base d'une installation Wordpress.

      • [^] # Re: C'est fort

        Posté par . Évalué à 4.

        Non en revanche j'imagine que c'est plus pratique pour rechercher dans l'intégralité des tables d'une base mysql.

        • [^] # Re: C'est fort

          Posté par (page perso) . Évalué à 2.

          Pour faire plus simple, il y a moyen d'utiliser wp-cli pour faire des 'search and replace'
          Je suppose qu'au final, ça revient à faire un grep, mais on évite le dump et reload de la db

          • [^] # Re: C'est fort

            Posté par . Évalué à 3. Dernière modification le 25/07/17 à 11:35.

            Ou alors tu fais un UPDATE table SET row1='value' WHERE row1 LIKE '%pattern%', c'est tout l'intérêt d'une base de données (manipuler des données), c'est pour ça que je postais le commentaire (tu dump ta bdd pour faire un grep dedans au lieu de faire directement un SELECT * FROM table WHERE row1 LIKE '%pattern%'). En l’occurrence il semble que le problème soit que MySQL n'a pas de moyen simple de faire une recherche dans l'intégralité des tables.

            • [^] # Re: C'est fort

              Posté par (page perso) . Évalué à 3. Dernière modification le 25/07/17 à 13:06.

              D'accord donc je faisais bien de poser la question, tu n'as jamais vu la gueule d'une base WP. Franchement le dump/sed/reload est la solution la plus simple et rapide pour faire ça. De toute façon en SQL tu feras la même chose mais en plus lent.

      • [^] # Re: C'est fort

        Posté par . Évalué à 2.

        J'ai eu le problème, je suis passé par un plugin : http://www.velvetblues.com/web-development-blog/wordpress-plugin-update-urls/

        Il a fait correctement son boulot.

        Faut pas gonfler Gérard Lambert quand il répare sa mobylette.

        • [^] # Re: C'est fort

          Posté par (page perso) . Évalué à 3.

          Jusqu'au jour où quelqu'un l'utilise sur une installation de WP qui utilise des plugins qui font des trucs pires que la norme de saleté des plugins WP et que ce plugin de migration ne saura pas gérer.

      • [^] # Re: C'est fort

        Posté par (page perso) . Évalué à 4. Dernière modification le 25/07/17 à 13:17.

        Attention avec Wordpress, beaucoup d'extensions et de thèmes enregistrent des données sérialisées dans la base de données, les chaînes de caractères sont suivies du nombre de caractères. En ajoutant un "s" à "http" sans recalculer les longueurs tu pètes les thèmes. J’utilise l'extension "Search-Replace-DB" pour passer en https ou changer l'adresse d'un site Wordpress, le script remplace les chaînes de caractères et mets à jour les longueurs enregistrées.

        Au passage, Joomla n'a pas ce problème, les URLs internes enregistrées ne contiennent pas l'adresse du site. L'adresse du site est dans une variable qui est utilisée lors de la création de l'URL finale.

      • [^] # Re: C'est fort

        Posté par . Évalué à 3. Dernière modification le 26/07/17 à 12:00.

        Au cas où tu n'es pas ironique, j'ai déjà vu ça pour du Wordpress. Il semble que ce soit le seul moyen sûrement atteignable en temps fini pour changer l'URL de base d'une installation Wordpress.

        Question bête: c'est de l'incompétence pure des gens derrière WP ou faire des trucs aussi mal conçus permet de vendre du support - consulting ou je ne sais quoi ?

        • [^] # Re: C'est fort

          Posté par (page perso) . Évalué à 0.

          de l'incompétence pure des gens derrière WP ou faire des trucs aussi mal conçus

          une PHPerie de plus… qu'attends-tu vraiment comme réponse ?

        • [^] # Re: C'est fort

          Posté par (page perso) . Évalué à 3.

          Je n'en sais pas beaucoup plus, je n'y ai jamais touché moi-même, juste parlé avec des collègues que je considère comme suffisamment intelligents, sur des sujets où je peux l'évaluer, pour être crédibles. Disons que c'est une combinaison de facteurs du genre PHP-ries, mais aussi conception même de Wordpress qui est un CMS et pas un framework de développement web, alors les auteurs de plugins applicatifs font comme ils peuvent pour injecter du comportement (sérialiser du code PHP dans la base, etc.).

    • [^] # Re: C'est fort

      Posté par . Évalué à 3.

      Si cela peut faire comprendre combien Wordpress est problématique, de par sa conception…

      • [^] # Re: C'est fort

        Posté par (page perso) . Évalué à 3.

        Drupal est un tout petit peu mieux avec sa variable $base_url dans le settings.php mais il n'est pas rare de retrouver des traces d'URL absolues dans quelques fichiers ou dans la base… les développeurs ne sont pas toujours d'une rigueur parfaite.

  • # Simplifier le déploiement avec Docker

    Posté par (page perso) . Évalué à 2.

    J'avais eu l'occasion l'année dernière de parler à une conf docker. J'y discutais justement de nginx et let's encrypt. L'image JrCs/docker-letsencrypt-nginx-proxy-companion rend ça tellement facile d'avoir une note A+ :

    https://simkim.net/d/meetup-docker-20160719-diminuer-les-risques.pdf

    • [^] # Re: Simplifier le déploiement avec Docker

      Posté par (page perso) . Évalué à 5. Dernière modification le 25/07/17 à 01:24.

      docker, en prod' c'est un peu irresponsable lorsqu'on n'a pas la compétence ni la réactivité d'un google ?
      pour une 1ère install' ok, mais dans la durée, la maintenance ?

      • [^] # Re: Simplifier le déploiement avec Docker

        Posté par (page perso) . Évalué à 3.

        Je ne trouve pas, c'est juste génial.

        Ça tourne en prod chez nous depuis un an sans aucun soucis. Et grâce à une très forte reproductibilité des environnements : 100% de mise en prod réussie (soit une cinquantaine).

        Je ne regrette pas du tout le choix et aujourd'hui je trouve même dangereux de faire autrement.

  • # Du libre, mais pas partout ;-)

    Posté par (page perso) . Évalué à 8.

    Mise à jour de Google Analytics

    Ubuntu, Let's Encrypt, Nginx et Wordpress, que du libre, jusqu'à ce qu'on tombe sur ça, ha le proprio par facilité…
    Franchement, Piwik fait tout aussi bien l'affaire et est simple à installer et maintenir, tout en complétant ta liste de logiciels libres installés. Cadeau bonus, tu ne files pas les données de tes utilisateurs à un tiers (si celui-ci n'a pas pensé à bloquer GA) et tu peux avoir une vraie vision des gens que tu as (qui comprend ceux ayant installé un bloqueur de GA, nombreux), GA étant pertinent que si tu as une masse de gens pas au fait des bloqueurs (donc pas intéressés par ton post).

    • [^] # Re: Du libre, mais pas partout ;-)

      Posté par (page perso) . Évalué à 4.

      Ok ! Je ne connaissais pas Piwik. Je vais corriger ça dans les semaines à venir !

      • [^] # Re: Du libre, mais pas partout ;-)

        Posté par (page perso) . Évalué à 3.

        Cette réponse est intéressante, car apparemment tu n'es pas rebuté par le ton moralisateur-accusateur de Zenitram, et tu sembles bien prendre en compte la remarque. C'est super si ça aboutit. D'autres auraient pu se braquer sur la forme, et donc le fond aurait été perdu en route. Je dis ça en ayant bien conscience qu'en toute honnêteté, les habitués le savent, je suis coutumier du même type de forme agressive du commentaire initial, je ne néglige pas la poutre dans mon œil. Bref, si Piwik te donne satisfaction et remplace avantageusement GA, super !

        • [^] # Re: Du libre, mais pas partout ;-)

          Posté par (page perso) . Évalué à -1.

          car apparemment tu n'es pas rebuté par le ton moralisateur-accusateur de Zenitram,

          Peut-être parce qu'il n'a pas vu le commentaire de cette manière et qu'il a pensé à regarder la remarque plutôt que de chercher à fuir en trouvant une excuse sur une forme supposée pas bien (la façon d'écrire était pour moi juste de faire remarquer le contraste, pas de moralisateur-accusateur ou que sais-je)? Merci à lui (et à lui de me contredire si c'était pas ça…)

          Perso, ce qui me surprend plutôt est de ne pas connaitre Piwik, comme quoi ça montre qu'il y a un soucis de communication sur les alternatives libres, ça me fait penser à https://degooglisons-internet.org/ qui est utile pour montrer les alternatives car en fait les gens ne les connaissent pas.
          Programmer est une chose, mais il est montré qu'on a besoin de communiquer sur les alternative (troll : sans l'aide voire en opposition à Mozilla, vu qu'ils tapent sur Piwik et font de la pub "positive" de GA non libre et avec données filées à un tiers sans que ça les dérange).

          • [^] # Re: Du libre, mais pas partout ;-)

            Posté par (page perso) . Évalué à 1.

            Si j'en crois son profil, c'est un contributeur très occasionnel sur DLFP qui n'est pas forcément habitué au ton "entre potes". Et désolé mais,

            que du libre, jusqu'à ce qu'on tombe sur ça, ha le proprio par facilité…

            , s'il ne connaissait vraiment pas Piwik, désolé, mais c'est agressif (sans être ultra violent évidemment), en l'accusant de s'être vautré dans la facilité et d'avoir violé une hygiène de vie libriste (qu'il n'a pas forcément revendiquée d'ailleurs, mais passons) parce qu'avant dans la liste il n'y avait que des composants libres.

            Tu pouvais entamer la discussion autrement, par exemple en prenant quelques précautions, du genre "tu utilises GA, sais-tu qu'il existe une alternative libre qui respecte blabla" avant de l'accuser d'avoir fait une Mozilla.

            Ceci étant dit, je ne doute pas que (comme moi à ta place sans doute !) ça te ne dissuadera pas de trouver de quoi me lyncher, mais sache que je ne lirai pas tes réponses à ce sous-fil.

            • [^] # Re: Du libre, mais pas partout ;-)

              Posté par (page perso) . Évalué à 0. Dernière modification le 25/07/17 à 08:34.

              en l'accusant de s'être vautré dans la facilité

              Je vais m'auto-accuser : j'utilise beaucoup de proprio par facilité. En fait, dans ma vie, j'utilise beaucoup de choses par facilité.

              Note : en fait, je ne m'accuse pas, j'exprime un fait, les gens le prenant en négatif y appliquent leur morale c'est tout. GA a un avantage indéniable (rien à installer ni maintenir), je faisais remarquer que le contraster entre faisant l'effort d'installer un serveur web (alors qu'il existe plein de hosters, mais on connait plus Apache que Piwik) et la facilité de GA car connu et pas Piwik (réponse de la personne avec qui je parlais).

              Bref, l’agressivité ne vient pas forcément de la personne à laquelle tu penses, mais est peut-être plus proche de toi, une personne qui cherche comment elle pourra embêter en y appliquant sa morale sur les choses (non, la facilité n'est pas une accusation, et je n'ai pas utilisé le mot "se vautrer", quelqu'un d'autre l'a fait par contre) sans regarder le fond.

              avant de l'accuser d'avoir fait une Mozilla.

              Je n'ai jamais dit ça, tu pourrais entamer le discussion autrement, par exemple en lisant et comprenant le texte auquel tu réponds.
              Bon, passons, ce n'est pas le sujet et "je ne lirai pas tes réponses" tellement démonstratif du non souhait de voir une autre façon de voir que la sienne et de ne pas confronter ses idées à d'autres.
              (oui oui déjà je n'aurai pas dû répondre… je me soigne à ignorer les attaques gratuites du fait d'une animosité personnelle, ça ne marche pas toujours)

          • [^] # Re: Du libre, mais pas partout ;-)

            Posté par . Évalué à 1.

            Peut-être parce qu'il n'a pas vu le commentaire de cette manière et qu'il a pensé à regarder la remarque plutôt que de chercher à fuir en trouvant une excuse sur une forme supposée pas bien

            Donc c'est la faute au lecteur si tu utilises une forme agressive.

            Belle hypocrisie.

            "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

        • [^] # Re: Du libre, mais pas partout ;-)

          Posté par (page perso) . Évalué à 3. Dernière modification le 24/07/17 à 23:05.

          il y a aussi les « historiques » webalizer (utilisé par LinuxFr.org) et AWStats (utilisé par TuxFamily.org) : http://alternativeto.net/software/awstats/?license=opensource

          et d'autres petits nouveaux (que je ne connais pas o_O)

          • [^] # Re: Du libre, mais pas partout ;-)

            Posté par . Évalué à 5.

            AWStats fonctionne uniquement en analysant les logs du serveur web. Je ne connais pas webalizer, mais ça semble être pareil.

            Piwik peut fonctionner de la même façon, ou comme google-analytics, en ajoutant un script js sur les pages qui va donner quelques infos supplémentaires : https://piwik.org/docs/log-analytics-tool-how-to/#differences-using-log-analytics-vs-using-javascript-client

            • [^] # Re: Du libre, mais pas partout ;-)

              Posté par (page perso) . Évalué à 1.

              Piwik ajoute une requête à chaque accès en HTTP, voire une entrée en base de données, là où AWStat et wbaliser ne font qu'utiliser les logs de apache. C'est un choix.

              • [^] # Re: Du libre, mais pas partout ;-)

                Posté par (page perso) . Évalué à 1.

                Piwik ajoute une requête à chaque accès en HTTP

                Je me demande bien comment je fais pour ne pas avoir de de requête ajoutée à chaque accès… Tout en utilisant Piwik, ou je n'ai pas compris de quoi tu parles : quelle différence de requêtes entre Piwik analysant les logs apache (commentaire auquel tu réponds) et AWStat analysant les logs apache?

                C'est un choix.

                C'est un choix en effet que de motiver les gens à utiliser Google Analytics en leur conseillant des outils des années 90 en 2017. Perso j'avais conseillé un équivalent moderne tout en étant open source et ayant les mêmes info (résolution écran, plugins… AWStat et wbaliser le proposent-ils?) que Google Analytics, dans le but de faire passer en open source, pas de conforter les gens dans l'idée que l'open source est bloqué dans les années 90 et qu'il vaut donc mieux utiliser du proprio.

                • [^] # Re: Du libre, mais pas partout ;-)

                  Posté par . Évalué à 2.

                  Faudrait arrêter de paraphraser tout le monde. BAud n'a motivé personne à utiliser GA, il a juste cité deux alternatives supplémentaires en expliquant juste les différences entre des outils plus anciens et les piwik / GA.

                  Tout le monde n'a pas les mêmes besoins et il n'est pas forcément utile de sortir un lance-flamme chaque fois qu'on veut allumer une bougie. C'est ça le choix.

                  • [^] # Re: Du libre, mais pas partout ;-)

                    Posté par . Évalué à 4.

                    en expliquant juste les différences entre des outils plus anciens et les piwik / GA.

                    En fait Piwik a deux modes de fonctionnements:

                    • log analytics qui est similaire à ce que ferait awstats ou webalizer en bouffant les logs des serveurs web
                    • tracking API qui elle est similaire à GA.

                    On peut donc éviter la "requête HTTP supplémentaire", avec d'autres compromis bien entendu. Piwik étant un service, il reste forcément plus compliqué à déployer et maintenir qu'un script qui génère de l'HTML. Voilà maintenant chacun peu faire son choix !

                    Et pour te donner raison, on peut le dire gentiment ;)

        • [^] # Re: Du libre, mais pas partout ;-)

          Posté par (page perso) . Évalué à 3.

          tu n'es pas rebuté par le ton moralisateur-accusateur de Zenitram

          Avis strictement perso : ce message de Zenitram ne me semble pas du tout problématique.
          Après, c'est peut-être mon côté purement cartésien qui accorde peu d'importance à la forme.

    • [^] # Re: Du libre, mais pas partout ;-)

      Posté par . Évalué à -1.

      Franchement, Piwik fait tout aussi bien l'affaire

      Oui, si t’as pas de traffic, ou que tu cherches pas à analyser finement ton traffic. dit autrement, si tu te sert pas d’analytics, ça fait la même chose ouais. Mais à ce compte là, grepper t’es logs ça fait la même chose, hein.

      et est simple à installer et maintenir

      Oui, si t’as pas de traffic, effectivement. Et que tu fait du php. Scaler le stockage de ton analytics sur le long terme par contre, ça devient vite une autre histoire.
      En fait, c’est simple à maintenir si tu t’appelles zenitram, et que tout ce que t’as, c’est 2 pages sur internet que personne ne regarde.

      Linuxfr, le portail francais du logiciel libre et du neo nazisme.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.