NeoSting.net
Le petit journal d'un passionné de nouvelles technologies et pour le partage de la culture.

(QR Code) de cette page sur neosting.net

Partager...

# Comment se protéger du hotlinking sous WordPress

Le "Hot Linking" ou "Direct Linking" en anglais peut être un véritable fléau pour tout webmaster. Mais, késako pour les novices ? Pour essayer, de faire court, c'est l'utilisation abusive de la bande passante d'un serveur externe pour afficher des images (généralement) provenant d'un autre serveur. En gros, et pour essayer de faire encore plus concret, un site A va afficher une image, présente sur un site B, en utilisant son adresse internet.

Ainsi, au lieu de mettre l'image sur le serveur A et écrire ce code HTML :

<img src="image.gif" />

le hotlinker va mettre celui-ci à la place :

<img src="http://www.serveurB.com/image.gif" />

En conséquence, c'est toujours le même serveur qui est appelé. Son locataire sera alors le seul à en faire les frais (en payant la bande passante utilisée), et cette erreur peut même aussi conduire un serveur cible à lâcher prise dans certains cas précis d'utilisations massives et abusives. Ainsi, ce geste, qui est très souvent réalisé de manière anodine et inconsciente de la part de jeunes webmasters, peut être mal perçu, et même vite devenir un cauchemar pour les autres.

Il faut aussi que ces jeunots comprennent qu'en faisant ça, ils s'exposent à des risques graves. Il faut qu'ils sachent qu'à tout moment, la victime peut mettre une autre image (pornographique, trash...) à la place de celle utilisée. Dès lors, un "vieil" article de blog pourrait se retrouver avec des images choquantes ou sans rapport. La solution, pour les hotlinkers est simple : héberger sur leurs serveurs les images qu'ils utilisent...

La solution Pictpocket

Mise a jour : attention, ce plugin dans sa version 1.4.2 qui n'est plus mis à jour est très dangereux pour la sécurité de votre blog, car il contient de nombreuses failles de sécurité dont une qui permet de lui faire lire vos fichiers php comme des textes...

Du côté des victimes, heureusement, des solutions simples existent aussi pour s'en protéger. Lorsque l'on est sous WordPress, par exemple, il existe un plugin créé par Semageek pour bien gérer ça. Il se nomme PictPocket. Une fois installé, il devra pouvoir avoir accès au .htaccess, à la racine du site. Ensuite, dans le panneau d'administration, il vous indiquera le lien des sites qui se servent et vous donnera même les liens des images hotlinkées. Côté "configuration", elle est très simple, puisque vous pourrez autoriser ou bloquer chaque cas que vous rencontrez, en les mettant en plus dans des catégories prédéfinies. Les moteurs de recherche, par exemple, sont fort logiquement des "voleurs". Vous pourrez donc les placer dans la rubrique des sites de confiance.

Sachez aussi que PictPocket vous permet même de définir une image type, qui sera alors affichée à la place des "volées". Pour infos, ce merveilleux plugin utilise donc, avec un certain talent, le URL Rewriting que l'on place dans le .htaccess.

Du côté manuel

Si vous ne pouvez pas utiliser le plugin, ou ceux qui préfèrent le faire manuellement, avec la rigidité qui va avec, voici les lignes de code à écrire. Elles permettent de remplacer toutes images "chopées" par celle nommée hotlink.jpe dans le répertoire "goaway" :

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /goaway/nohotlink.jpe [L]

Vous pouvez retrouver les lignes de ce petit tutoriel avec d'autres explications en anglais ici.

Plus généralement et pour finir, le hotlink ne se définit pas uniquement par le vol d'images. Il se traduit aussi par le vol de contenu, sous forme de pompage d'informations sans citer la source, et ça, c'est très très mal vu. Célemal :D


Pourquoi les commentaires sont fermés ?

Articles pouvant vous intéresser

Les articles populaires du moment