PictPocket : un plugin WordPress qui identifie et bloque les voleurs de contenu.

Introduction :

La plupart des blogueurs sont confrontés à un problème bien connus, le hotlinking.
Le hotlink (traduction littérale : lien à chaud) c’est le fait de poster une image sur site A (le voleur) tout en la laissant sur un site B (en occurrence le votre), la conséquence principale est que c’est le possesseur du site B qui se voit amputé la bande passante liée au trafic de ses images vers le site B, ainsi que les divers frais lié au trafic.
La principale alternative au hotlink, c’est de protégé ses images via une modification du fichier Htaccess. L’avantage est que c’est un filtre robuste qu’il faut sans cesse mettre à jour pour autoriser ou bannir certains sites. En effet certains robots, comme Google Bot Images, utilisent une plénitude d’adresses IP qu’il faut ne faut pas filtrer si l’on souhaite être référencé correctement.

Pictpocket.

Le principe.

Le principe de PictPocket est très simple, à son initialisation il modifie le fichier htaccess afin de rediriger toutes les images vus par une source extérieur au blog vers un moteur générateur d’images en php.
1. Le moteur, dans un premier temps, se contente seulement de lister les hotlink dans la base de données et vous en informe via une page dans la Console d’Admin de WordPress.
2. Il s’offre à vous plusieurs choix :
• Autoriser le site de manière permanente : Le site sera donc inclus dans le fichier htaccess et il ne sera plus filtré par le moteur de PictPocket, l’accès aux images de votre bloc sera débloqué totalement.
• Bloquer le site : Chaque fois qu’un site bloqué voudra accéder à vos images, il affichera une image de remplacement arbitrairement choisit afin de dissuader les hotlinkeurs.

Les avantages.

Par rapport à une méthode brute de filtrage par Htaccess, PictPocket vous informe de la provenance des hotlinks, souvent associé à un vol de contenu total (articles et images). La gestion du filtrage est nettement plus facile que celle du fichier htaccess, car elle se configure entièrement via la console d’Admin.
Installation.
1. Téléchargez le plugin sur http://wordpress.org/extend/plugins/pictpocket/.
2. Décompresser l’archive et copier le répertoire pictpocket dans « /wp-content/plugins/ »
3. Activer le plugin.
4. Lancer la configuration automatique.

Utilisation.

Menu de Pictpocket

Le menu comporte 4 onglet : Overview, Autorisations, Hotlinks, Options, et Donation.

Overview : Synthèse

Cette page sert à configurer le fichier Htaccess et indique un récapitulatif du nombre de hotlinks traités. A l’initialisation du plugin, il faudra lancer une configuration automatique du plugin et le cas échéant, changer les droits d’accès du fichier Htaccess.

Autorisations.

Sur cette page, ce trouve touts les sites autorisés à accéder à votre contenu. Tous ces sites ne seront plus traités par PictPocket. Attention la syntaxe à utiliser est celle employée par les RewriteCond de fichier htaccess.
Vous pouvez ajouter manuellement ou supprimer des droits sur cette page.

Hotlinks : les Voleurs.

Sur cette page sont répertoriés tous les sites ayant accédés à vos contenus images via le moteur PictPocket. Ceux en gras sont les derniers découverts depuis votre dernière visite. Afin de simplifier un peu la liste, vous pouvez regrouper les hotlinks en 4 familles : Défaut, Masqué, Lien de confiance ou Moteur de Recherche.

Options.

Sur cette page, vous pouvez définir une image perso de remplacement pour les contenus bloqué, il suffit juste de donner son url complète (ex: http://monsite.com/download/mon_image.jpg). L’aperçu se fait en 200px par 200px, mais l’image de remplacement sera conservée dans sa taille originale.
Vous pouvez aussi définir un effacement automatique des hotlinks, en effet quand un contenu est bloqué et remplacé par une image de substitution, le site hotlinkeur, ne tarde pas à l’effacer.

Donation.

Et oui, avec tout le trafic et la bande passante que je vous ai fait économiser, vous pourriez me faire une donation.(;

Conclusion.

C’est un projet personnel que je dévelloppe seul, alors soyez indulgent avec les commentaires.

Merci de laisser en en commentaires, vos reports de bugs, vos demandes d’améliorations ou encore vos remerciements.

WP : Quelques modifications pour mieux intégrer Topsy dans vos commentaires.

Resisty : Un captcha avec le code des couleurs des résistances

Quelques optimisations .htaccess pour Wordpress.

Power Twitter : Un plugin pour Firefox qui améliore Twitter.

http://blog.websourcing.fr Lionel – Websourcing.fr
Superbe!
Le fin du fin serait de pouvoir choisir dans l’arborescence une image au choix
http://www.semageek.com/ semageek
Merci,
Je prend la remarque en compte pour la version suivante.
http://www.Lyricis.fr/ Lyricis
Je vais tester merci pour ce plugin
http://www.Lyricis.fr/ Lyricis
C’est encore moi, je viens de tester, le plugin fonctionne parfaitement, par contre ce qui est dommage, c’est que dans mon cas, News-de-Star.com (je le cite pour qu’on comprennent que c’est un voleur de contenu) pompent carrément l’intégralité de tous mes articles.
Avec votre plugins, je peux le bloqué mais le problème c’est qu’il faut bloquer article par article, n’est-il pas possible de bloquer carrément le site en question et donc tous les articles plutôt que de faire un a un ? (y »en a plus de 100 a faire)
http://www.semageek.com/ semageek
Salut Lyrics,
je vais rajouter sa dans la prochaine version pour regrouper et bloquer un nom de domaine en entier.
De plus, j’espère que d’ici là, le plugin sera intégré totalement sur WordPress, histoire de faire des mise à jour automatique.
N’oubliez pas, ce n’est qu’une première version j’attends vos avis pour effectuez les corrections.
http://www.timrubber.com/ Tim
Cool! Je vais tester ça de suite…
http://www.semageek.com/ semageek
Mdr je viens de m’apercevoir, que je marqué PictPoket au lieu de PictPocket, ça craint pour une première version.
Pour info, ce soir je creuse pour héberger le plugin sous WordPress.org, mais je galère sur la gestion de SVN avec Tortoise.
http://www.Lyricis.fr/ Lyricis
J’en profite donc pour les corrections donc
Dans la page « voleurs » l’url donné pour les images sont » http://www.domaine.fr/wp-admin/wp-content/uploads/ » au lieu de « http://www.domaine.fr/wp-admin/wp-content/uploads/ »
Le WP-Admin est donc en trop, pour la majorité des blogs l’url d’une image est souvent wp-content/uploads
Après sinon c’est parfait
Manque plus que la fonction regrouper tous les posts d’un domaine et le bloquer directement
http://www.semageek.com/ semageek
Ca y est le plugin est sous wordpress.org.
Je viens de uploader la version 1.1.0 avec les modifs demandés.
Elle sera dispo dans quelques minutes sur :
http://wordpress.org/extend/plugins/pictpocket/
ou j’espère en mise à jour automatique dispo sous l’interface admin de wordpress.
http://www.turkbaron.net baron
Works great, thank you
http://www.autourduweb.fr/ CedricADW
Hmmm, ça m’a l’air bien sympa comme plugin, je vais l’installer et si je rencontre un problème ou si j’ai des suggestions, je te fais signe ^_*
http://blogmotion.fr/ Mr Xhark
Sympa, mais par contre je préfère procéder par exclusion que l’inverse. Par expérience, beaucoup moins de soucis
http://www.autourduweb.fr/ CedricADW
Ton plugin est vraiment bluffant ! Il m’a déniché pleins de voleurs que je ne me doutais même pas qu’ils étaient passés par chez moi !
Mais (oui, il y a toujours un mais ^^) y’a un souci quand même.
J’ai toujours eu mon fichier .htaccess en 0444 (donc écriture impossible) et ton plugin ne fonctionne pas de cette manière. J’aimerais savoir s’il été possible de corriger ça ?
En fait, je le laisse en 0444 sinon j’ai l’original qui revient (après redémarrage ou je sais pas quoi !). Et vu que je l’ai optimisé, c’est pas cool.
Quelqu’un aurait des renseignements sur ça SVP ?
Merci…

http://www.semageek.com/ semageek
@ CedricADW
Pour le htacces, est ce que le plugin t’as signalé qu’il était en lecture seule , juste pour savoir si ma detection de lecture seule fonctionne ?
Pour info, le mien fichier est 644, c’est plus pratique pour les modif à la volée, mais c’est clair qu’un 444 est mieux au niveau de la sécurité.
Dans tous les cas en 444 cela signifie que seul la lecture est possible (pour le propriétaire, les groupes et public),
Dans ce cas le plugin ne pourra pas rajouter les autorisations dans le fichier htaccess.
Le plugin travaille principalement avec le fichier htacces, sans les droit en écriture, il ne pourra pas faire grand chose…

http://geekeo.fr/ Audiofeeline
Il est peut être possible de changer les droits avant écriture puis de les remettre ensuite, non ?

http://www.semageek.com/ semageek
@ Audiofeeline Pas via le plugin, je vais creuser au cas où.

http://www.autourduweb.fr/ CedricADW
Oui, il m’a bien détecté que mon htaccess était bloqué puisqu’il me met ça :
« Le Fichier .htaccess n’existe pas ou et bloqué en ecriture. »
(au passage, tu as une grosse faute d’orthographe sur « et » => « est »)
Le problème, comme je t’ai expliqué plus haut, dés que je le bascule en 644 il revient régulièrement comme d’origine (donc plus d’optimisation, plus rien).
Si tu as une idée la dessus, je suis preneur…
Je vais tout de même retester car là je suis plus sûr de rien ! J’te tiens au courant…

http://www.semageek.com/ semageek
C’est bizarre t’as pas une restrictions de ton hébergeur sur le .htaccess.
Ou peut être mais je ne suis pas sur un droit sur le rep contenant ton fichier htaccess.

http://www.autourduweb.fr/ CedricADW
Apparemment ça a l’air d’être bon, j’ai remis 644 pour le htaccess.
Par contre, quand je vais sur le site des « escrocs » je vois toujours l’image, c’est normal ou j’ai oublié de configurer un truc ?
Merci ^_*

http://www.semageek.com/ semageek
@cedricADW Pour les question du chmod, j’ai trouvé une instruction pour pouvoir le modifier en php, mais il faut que je la teste, pour voir si c’est pas un coup d’intox, sinon, je suis en train de testé la version 1.3.0, si elle est ok je la met en ligne sur WordPress dans la foulée.
Pour le site des escrocs, si ton fichier htaccess et bien configuré avec la ligne qui redirige vers pictpocketmoteur.php,
et que tu as bloqué le voleurs, normalemnt elle ne s’affiche plus chez lui,
elle est remplacé par mon logo, il faut quelques refresh des fois du site du voleur, pour que ce soit effectif.
Allez je continue les test. @+

Patrick
Salut,
J’ai deux remarques. La premiere sur l’overview, j’ai bien changé mon répertoire cache en 777 mais le plug me dit qu’il y n’a toujours pas les droits d’écriture.
Dans options, il y a un probleme avec l’url de l’image par défaut qui ne s’affiche pas.
Sinon excellent plug !

http://www.semageek.com/ semageek
1. Pour la question du cache en 777, c’est bizarre, je fais une détection pour voir si le répertoire /cache du plugin est débloqué en écriture, si ce n’est pas le cas, j’affiche ce message.
2. Pour l’affichage de l’image par défaut, il faut que le champ image de option soit vide (même pas un espace) et elle doit apparaitre. bizarre.
je tiens compte de tes remarques, et je continue à creuser.

Patrick
Salut,
J’ai vérifié avec un terminal aujourd’hui et le rep cache est bien en 777. Pareil pour l’image qui s’affiche impeccable si je la change de place et renseigne le bon url.
Comprends rien la. Ce sont des erreurs pas très normales. Y a un unixien ceinture noire dans la salle ?
Bon courage en tout cas.
P.
http://www.pashmina-le-site.com Dreamer
Bonjour
Je viens d’installer le plugin et je vérifierais demain sur un autre PC s’il fonctionne .
Question : l’image de remplacement de PictPocket.jpg doit-elle être impérativement de 200×200
PS : faute d’orthographe sur la page Options : Image personalisée alors qu’en dessous , c’est nickel , l’émotion sans doute !!
Encore merci et bravo

http://www.semageek.com/ semageek
Bonjour,
l’image de remplacement doit être dans la taille que tu veut normalement pas de souci,
sinon pour les fotes c’est normal, il faut que j’améliore encore…

http://www.pashmina-le-site.com Dreamer
Bonsoir
Merci pour ta réponse
A+
http://www.labaulebeach.com Marc-OH
Génial ce plugin ! Merci beaucoup, je ne pensais pas autant être hotlinké !
http://www.semageek.com/ semageek
@Marc-OH et tu verras, tu vas en découvrir tous les jours des nouveaux…
http://www.fox15.fr FOx15
Sympa ton truc
J’avais essayé de le mettre en dur dans le .htaccess mais çà marche pas mais je pense que çà vient du fait que je n’ai pas de sous domaine pour mes images comme la majorité de ceux que je connais qui l’ont fait.
Par contre pas moyen de mettre une autre image ?
et mettre ds un coin le nom du plugin?
Nico
Depuis le dernier update j’ai dû désactiver le plugin qui entre en conflit avec d’autres plugins en place http://twitpic.com/9ktes/full

http://www.semageek.com/ semageek
Le bug a été trouvé et j’ai modifié le code sans changer de version, l’erreur est resté en ligne 1h, tu as du être trop rapide.
La solution :Il y a en 2
1. Désinstalle et efface le plugin puis réinstalle le.
2. Sinon tu ouvre le fichier PickPocket.php et tu le renregistre sur ton serveur avec un encodage en ANSI, il est en UTF8 et c’est ça qui pose problème.
Tiens moi au courant si c’est ok.

Nico
Magnifique
http://www.auscribedegrandschemins.fr.cr Mealin
Après activation il m’indique toujours :
« Gestion du fichier .htacces
Le Fichier .htaccess n’existe pas ou et bloqué en ecriture. »
* Au passage le premier .htaccess dans le titre est amputé d’un S *
Ma question va peut-être paraitre bête mais à quel niveau se situe ce .htaccess ? Celui que j’ai à la racine de mon site est bien en 644 …

http://www.semageek.com/ semageek
@mealin pour la question du S, ok, j’en tient compte pour la prochaine realease, c’est pas trop compliqué
pour le htaccess, il doit se situer dans la racine de ton blog, le rep contenant la base de WordPress.
essaie de le passer en 777 pour vérifier si c’est mieux…

http://www.auscribedegrandschemins.fr.cr Mealin
En effet il est nécessaire de le passer en 777 :-/ merci de la réponse rapide en tout cas et de ton boulot pour ce super pluggin !

http://www.semageek.com/ semageek
Perso chez moi je suis en 644 et ça fonctionne nickel.

Pingback: Identifier et bloquer les voleurs de contenus de votre blog ! | Geekeries.fr - Astuces Wordpress 2.8, Plugins Wordpress 2.8, Blogging, Référencement, Actualités High Tech
http://www.pashmina-le-site.com Dreamer
Re-moi
Ça marche impeccable , 2 visiteurs repérés !!
Merci pour le plugin !!
http://blog.lbsquat.com LbSquat
Bonsoir !
Pour l’instant r.a.s mais je suis sûr qu’il ne va pas tarder à me servir.
Merci pour ce plugin
http://www.pashmina-le-site.com Dreamer
Une question ….
Si on efface les sites « pollueurs » , nos images vont-elles revenir sur leur sites , car je commence a avoir une sacré liste !!
A+
PS : vraiment du beau boulot !!

http://www.semageek.com/ semageek
oui quand tu fais « effacer » le site sort de la liste de PictPocket,
lors d’une prochaine détection, il réapparaitra.
Perso a conf pour moi est effacement auto tous les 7 jours,
souvent quand un site est bloqué, l’admin de celui remplace l’image rapidement,
sinon contacte le après l’avoir bloqué, avant pictpocket, on contactait simplement l’admin du site voleur,
maintenant on a trop souvent tendance à attendre qu’il vire l’image, en se marrant de voir l’image de remplacement.

http://www.pashmina-le-site.com Dreamer
Re-moi
Je viens de m’apercevoir que le plugin entre en conflit avec le chargement en flash ( même l’autre ) des images et autres .
Il m’annonce l’absence d’un fichier temporaire …….
Pour que cela re-fonctionne , je dois désactiver le plugin et effacé le .htaccess !!
Aurais-tu une solution ??
A+

http://www.semageek.com/ semageek
Le plugin ne filtre que les images, normalement le flash ne passe pas à travers le plugin,
peut être faut il rajouter une règle pour ton plugin en autorisation.

http://www.pashmina-le-site.com Dreamer
Et aurais-tu la solution ?????
http://www.freeman59.fr Freeman59
Salut !
Je ne comprend pas trop, j’ai bloqué un site mais ce dernier affiche toujours mon image :s
mon Htaccess est bon, le logiciel me l’a bien prit en compte …
Une idée ?

http://www.semageek.com/ semageek
Il arrive parfois qu’il faut actualiser 2 ou 3 fois la page du voleurs.
Sinon regarde bien que le nombre de hotlinks augmente chaque fois que actualise la page du voleurs…

http://www.autourduweb.fr CedricADW
Re-salut !
Le plugin est vraiment excellent, je n’ai plus aucun mal à retrouver ceux qui se servent de ma bande passante et je les bloque au quart de tour… Mouhahahahhaaaaa !!
Par contre, en lisant tes commentaires, je viens d’apprendre qu’en effaçant « la liste », le site sort, ça c’est pas très cool ! Ne pourrais-tu pas faire pour que le site reste en bloqué ? Ça serait mieux, non ?
En tout cas, merci ^^
P.S : je suis en train d’écrire un article dessus, dés qu’il est en ligne, je te fais signe…

http://www.semageek.com/ semageek
@CedricADW,
Pour le moment c’est l’été, et j’ai pas la tête à faire du code en ce moment,
Dès la rentrée, je mis remet avec un bonne liste d’améliorations,
je pense qu’il sera nécessaire de rajouter une fonction « Invisible » qui cache le hotlinkeurs mais ne l’efface pas.
Nickel pour l’article, merci

Pingback: Twitter, voyages, buzz, Brésil, Fuzz : l'édito du lundi de Presse-citron | Presse-Citron
http://blog.toutallantvert.com David
Bravo pour ce plugins
http://al-kanz.org Al-Kanz
Bonjour
merci pour ce plugin
Plutôt que le gras, ce serait bien de mettre les nouveaux liens en couleur, non ? Et permettre de faire une recherche par ndd (surtout pour repérer les webmails).
joch
Hello!
J’aimerais tester ton extension pour identifier qui me hotlink mais j’ai eu cette erreur lors de l’activation:
Fatal error: Cannot redeclare init_language() (previously declared wp-content/themes/fusion/functions.php:5) in wp-content/plugins/pictpocket/pictPocket.php on line 1849

http://www.semageek.com/ semageek
c’est surement du à une autre déclaration identique dans ton thème, il faut en renommer une.

joch
Hello,
J’ai simplement renommé ta fonction pour qu’elle puisse fonctionner.
Autre souci, sur un blog où le dossier d’install diffère de l’adresse du blog, le plugin ne trouve pas le dossier de cache (ligne 503, déclaration de $cache_dir) car la fonction que tu utilises (getblogpath qqchose) omet un niveau d’arborescence (chez moi c’est /blog qui est zappé et on se retrouve avec une variable du style site.com//wp-content/… il manque un truc entre les 2 « / »)

http://www.semageek.com/ semageek
Il va falloir que je débogue alors cette partie car je teste souvent sur mon blog, et je suis à la racine, dont je n’ai jmais validé cette partie. merci

http://twitter.com/buldozer_ben/status/3651831239 BULDOZER Ben
@pressecitron c’est pour toi ! http://bit.ly/WQomt
joch
Hi! Encore moi.
Comme je suis une feignasse j’ai pas trop cherché à corriger proprement pour que ça passe sur mon blog.
Du coup j’ai fait à l’arrache en mettant en dur le chemin de mon blog à certains endroits, notamment:
- définition de $cache_dir dans pictPocket.php
- définition de $root dans pictPocketMoteur.php
- le src de l’img qui affiche l’image de blocage par défaut dans pictPocket.php
- et dernier point mais non le moindre: l’url de pictPocketMoteur.php dans .htaccess.
En espérant ayant pu apporter mon modeste grain de sable. Bon courage, et merci !
http://twitter.com/olivier_garcia/status/4793918521 ▸ Olivier
Ça c'est du plugin http://bit.ly/WQomt
http://twitter.com/jonasluthi/status/5584304659 Jonas Luthi
PictPocket : un plugin WordPress qui identifie et bloque les voleurs de contenu. | Semageek http://bit.ly/mkrBl
http://www.lignepapilles.com Lavande
Bonjour,
j’ai installé le plugin et rien ne se passe… Ce la me semble curieux dans la mesure où je suis sûre que plusieurs de mes images sont sur le net. Aurais je loupé une subtilité ?

http://www.semageek.com/ semageek
Si le plugin est activé et que la modification du fichier htaccess est ok, il n’y a pas de raison.
Il suffit d’attendre un peu et les alertes arrivent (attendre qu’un utilisateur visite une page hotlinké)

Pingback: PickPocket ; pour se protéer du vol de contenu sous wordpress | NeoSting.net
http://www.lignepapilles.com Lavande
Merci de ta réponse mais toujours rien et ça fait une semaine. Bon je vais désinstaller la bête là. Tant pis pour moi.
http://linuxbsdos.com finid
I just installed the plugin, and really like the admin interface. I noticed that even after setting it up, the hotlinking sites are still not showing the forbid image. In other words, hotlink protection does not seem to be working.
Any clues?

http://www.semageek.com/ semageek
Hi Finid,
There is some problem for showing custom image, you just need in ftp to replace the default image in the plugin directory and stay it by default.
I’d like to improve the plugin but i don’t have any time free for it, perharps in few month…

http://linuxbsdos.com finid
I’m using the default forbid image, and not a custom one. It works if the thieving url is an IP address, but does not work if it is a domain.
This is just to alert you as to how the plugin is or is not working, and not a feature request.

http://www.semageek.com/ semageek
Perhaps a problem by the server, where the website is hosted.
I don’t have this problem on OVH, the domain are ok,and i ve got some IP from google, but i don’t block them.

http://twitter.com/fredcolantonio/status/7519984073 FredColantonio
PictPocket : un plugin WordPress qui identifie et bloque les voleurs de contenu.[..] – http://tinyurl.com/kpnr2m (via @semageek @misterkcp)
http://twitter.com/castrezana/status/7603564193 Rodolfo Castrezana
@esterbeatriz, acho que vc vai gostar disso: http://bit.ly/6xqAWr e http://bit.ly/8Wi61K
http://www.iquid.fr Julien Sévère
Tout d’abord merci pour cet excellent et très utile plugin.
Malheureusement au bout de quelques jours celui ne bloque plus les images, ni ne détecte de nouveau hotlink, avez-vous une idée ?
j’ai essayer de le réinstaller sans succès.
http://www.dessins-plaisirs.fr tdk1
Bonjour,
Pouvez vous me dire si « Pickpocket » est compatible wordpress 2.9.1 ?

http://www.semageek.com/ semageek
@tdk1 Oui, je l’utilise actuellement avec cette version de WP

http://www.dessins-plaisirs.fr tdk1
merci, je vais de ce pas l’installer
http://www.shatter-blog.net Sh@tter
Super intéressant ce plugin, je l’installe en rentrant ce soir !! C’est super chiant les gars qui utilisent nos images et ça l’est encore plus lorsqu’ils ne répondent pas à nos mails leur demandant d’arrêter !
En tout cas je ne vais pas me géner pour leur mettre une image bien pourrie pour les inciter à ne plus recommencer
Sinon une petite question, au niveau du référence d’images par Google il n’y a pas trop de soucis ? Je suppose qu’en ajoutant dans la liste de confiance ça passe mais on ne sait jamais.

http://www.semageek.com/ Semageek
@Sh@tter pour google image, tu peut facilement le mettre dans les sites digne de « confiance ».
@Tous Va vraiment falloir que je trouve du temps pour faire évoluer ce plugin sérieusement.
Je suis en manque de temps complet, avis aux amateurs si qq’un se sent de prendre un peu la relève…

http://twitter.com/semageek/status/9386166345 semageek
@Newyorkiz essai le , tu en trouvera d'autres http://bit.ly/aLdgew faut que l'améliore mais il tourne (cc @nikolittlestar )
http://www.cyroul.com Cyroul
Rien à dire, c’est utile, efficace.
Bravo et merci.
Pingback: WordPress plug-ins my blog cannot exist without
http://twitter.com/louis_marie_c/status/18862247148 Louis_marie_c
PictPocket : un plugin WordPress qui identifie et bloque les voleurs de contenu. – http://tinyurl.com/kpnr2m
http://twitter.com/flubox/status/18862287186 Alexis Warlike
PictPocket : un plugin WordPress qui identifie et bloque les voleurs de contenu. – http://tinyurl.com/kpnr2m (via @louis_marie_c)
http://twitter.com/greg32885/status/18862315232 Gregos
RT @louis_marie_c: PictPocket : un plugin WordPress qui identifie et bloque les voleurs de contenu. – http://tinyurl.com/kpnr2m
http://twitter.com/pathien/status/18862401612 Patrick Quang Thien
RT @louis_marie_c
PictPocket : un plugin WordPress qui identifie et bloque les voleurs de contenu. – http://tinyurl.com/kpnr2m
http://www.boiteaweb.fr/ BoiteaWeb
Bonjour je me permet de coller mon tweet à ce sujet :
« Failles critiques dans le plugin #wordpress (#xss #sqli) pour « PictPocket » Désactivez ! http://bit.ly/c5ZXEx #securite #boiteaweb /RT »
En effet plusieurs failles critiques sont présentes sur toutes les version de ce plugin.
Plus d’info : http://www.boiteaweb.fr/blog/faille-wordpress-plugin-xss-et-blind-sqli-pictpocket-toutes-versions-1334.html
http://blog.neron92.info/ Damien
Moi je le mettrai bien mais vu le dernier commentaire…
Sema tu as pu corriger les failles ?
Bill aka Uranium Willy
Seema Geek
I am using your excellent plugin but I do not speak or read French. I am happy so far with this but I cannot figure out some issues. Such what the categories like MAsked Link are for. Also I want to keep the list of blocked sites but it seems to be going on and on, down my page.
Will tbhis go into a 2nd page soon?
If you can reply to me at this Email:
uranium.cafe_66@yahoo.com
perhaps I can get all the benefits from this great plug in…thanks
Bill
http://blog.aube-nature.com Cédric G.
Bonjour
Je découvre à l’instant ce plugin (arrivé depuis WRI) et… je suis estomaqué
ENFIN « the » plugin pour (entre autres) les photographes comme moi qui sont trop souvent victimes des hotlinkeurs ! Un article devrait donc très, très prochainement arriver sur mon blog
http://pyrros.fr Pyrros
Découvert grâce à Cedric G. sur son blog … le plugin fonctionne à merveille sur mon site http://pyrros.fr . Fini le vol d’image, impuni.
MERCI
http://twitter.com/yveslyon/status/29832693084594176 Yves Boutherand
@13_design manque pictpocket http://ow.ly/3JFNd pas mal comme plugin wordpress pour les #photographe cc @pixfan
http://twitter.com/13_design/status/29852260527775745 Bones
@YvesLyon tiens je ne connaissais pas pictpocket ça peut être intéressant merci pour l'info : http://ow.ly/3JFNd #Wordpress #Photo
http://www.patrick-lopes.com Damien
Bonjour,
j’aimerais savoir si les failles critiques sur ce plugin ont bien été corigées (cf post 1 septembre 2010 à 2 h 31).
Merci

http://www.semageek.com/ Semageek
Comme je n’ai plus le temps de maintenir le plugin.
J’a recruté une nouvelle personne dans l’équipe de dev.
Elle doit intégrer cette mise jour.
Mais pas de délai prévu

http://twitter.com/louis_marie_c/status/48069056976257024 Louis_marie_c
@olybop celui là ? http://www.semageek.com/pictpocket-un-plugin-wp-qui-identifie-et-bloque-les-voleurs-de-contenu/ cc @semageek
http://blog.gaborit-d.com olybop
Salut, il déchire ton plugin, juste une question, pour moi le remplacement de l’image hotlinké sur site ne fonctionne pas, c’est normal ?

http://www.semageek.com/ Semageek
Essaie d’actualiser la page complètement (CTRL+R) parfois l’ancienne image reste dans le cache

http://blog.gaborit-d.com olybop
mmm bizarre, la il lui est bloqué mais y encore les images pompées sur mon article (bloqué ya 2h et j’ai vidé le cache du nav)
http://pierechod.blogspot.com/2010/09/60-examples-of-guiness-print.html
http://www.freetux.net freetux
Salut ton plug-in est vraiment pas mal le seul problème c’est le watermark vraiment pas beau que tu ajoutes sur l’image de remplacement personnalisée. A cause de ça je ne suis pas su que je vais conserver le plug-in ce qui serait top ce serait la possibilité d’enlever le watermark ou le personnaliser à la limite (moyennant un don par exemple) ?

http://www.semageek.com/ Semageek
Je viens de faire une mise à jour en supprimant le watermark inutile et laid.
De plus j’ai corrigé quelques failles XSS.
Cela reste un don, je ne fait pas de modif pour cela, tu es donc libre.

http://twitter.com/davidtarczewski/status/50365779639664640 David Tarczewski
PictPocket : un plugin WordPress qui identifie et bloque les voleurs de contenu. http://t.co/kImbEzY via @semageek
http://www.dessins-plaisirs.fr sandy
Merci à vous pour avoir retravaillé sur ce plugin. Il est très utile même s’il ne fonctionne pas à 100 %. En tout cas, je le recommande.
http://twitter.com/olybop/status/50470069867790336 olybop
PictPocket : un plugin WordPress qui identifie et bloque les voleurs de contenu. http://t.co/MAMAN7V via @semageek
http://www.freetux.net Freetux
Vraiment top la mise à jour merci beaucoup je vais en parler prochainement sur mon blog pour lui donner un peu de visibilité car c’est vraiment un plugin quasi indispensable pour les blogueurs !
Bonne continuation

http://www.semageek.com/ Semageek
La version 1.4.1 est en préparation, elle devrait sortir officiellement d’ici 2-3 jours.
Je tourne actuellement avec, et elle envoi du lourd #teasing
Il me tarde de la faire partager…

http://twitter.com/antoineplu/status/50592324518035456 Antoine Plu
RT @olybop: PictPocket : un plugin WordPress qui identifie et bloque les voleurs de contenu. http://t.co/MAMAN7V via @semageek
http://www.li-an.fr/wpplugins/ Li-An
Oulala, je viens de le tester et mon blog est parti en sucette avec une erreur 500 (mais pas immédiatement). Mon hébergeur m’a dit que ça tournait en boucle infinie.
J’ai nettoyé le htaccess et supprimé le plugin par ftp mais est-ce qu’il y a d’autres trucs à nettoyer ?

http://www.semageek.com/ Semageek
Non, en cas de souci, tu efface ce qui est entre les balises pictpocket du fichier .htacces à la racine, tu efface le plugin par ftp, et pour faire clean tu peut effacer les table dans la base de donnée qui commence par wp_pickpocket.
Avec quelle version du plugin, tu as eut un souci ? le 1.4.1 a l’air bien stable, j’attends les feedbacks.

http://blog.aube-nature.com Cédric G.
Salut
Fonctionnement nickel avec la nouvelle version et aucun problème lors de la mise à jour (WP 3.0.5)
Je n’ai jamais vraiment saisi le système de SVN propre à WP, je voulais pas trop te déranger avec ça… Mais si tu veux des idées d’améliorations (je pense pas très compliquées) : j’en ai
http://www.li-an.fr/wpplugins/ Li-An
J’ai eu les problèmes avec la version installable aujourd’hui. Ça a très bien fonctionné et quelques heures après installation sur deux sites, je me suis retrouvé en erreur 500. Tout est revenu à la normale (ouf!). J’ai plus qu’à bloquer « à la main » les méchants voleurs d’image.
http://www.li-an.fr/wpplugins/ Li-An
Peut-être un début d’explication à mon problème. J’ai trouvé ceci dans mes recherches: Change ‘http://hpmouse.googlepages.com/hotlink.gif‘ to a image you’ve set, and whenever image hotlinking is detected, this image will show up. Just make sure where this image is not hotlink protected or your server can go into an endless loop.
J’avais mis cette image à la racine du site, le blog étant lui même dans un répertoire /blog.
http://pyrros.fr Pyrros
Ce plugin est vraiment excellent …
Une fois les sites bloqué il est impossible d’accéder a nouveau à la page contenant l’image hotlinker, afin de vérifier que le webmaster indélicat ne l’a pas chargé sur son seveur et continue d’utiliser l’image sans autorisation…
Je vais présenter ce plugin sur mon blog : http://pyrros.fr Des Photo pour Imager le Monde
http://www.li-an.fr/wpplugins/ Li-An
Bonjour,
j’ai décidé de retenter l’aventure en externalisant l’image de remplacement.
J’ai testé avec le texte mais les sites ciblés affichent du coup une demande de connexion htaccess sur les pages où ils ont casé mes images. Je ne sais pas si c’est l’effet attendu…
J’ai une question: je me retrouve avec un URL vide pour une image. Je ne sais pas trop quoi en penser et en faire…

http://www.semageek.com/ Semageek
Pour la méthode texte : c’est bien l’effet attendu, ton texte s’affiche dans le titre de la fenêtre d’authentification
Pour ton autre question, je n’ai pas très bien compris, peut tu un plus détailler…

http://www.li-an.fr/wpplugins/ Li-An
Je me doutais que ce serait un peu obscur. J’ai fait une capture d’écran:
http://hpics.li/03fd443
http://bear-to-bear.net Aurélie Dufour
Ce plugin est exactement ce que je recherchais pour éviter que certaines personnes n’utilisent à tort les photos que je publie sur mon blog !
Merci beaucoup !
J’ai cependant une petite idée à soumettre, qui pourrait peut-être être reprise dans une prochaine version du plugin : pourquoi ne pas alimenter une base de données générales du plugin, avec des URL sûres, qui seraient autorisées par défaut, comme celles des principaux moteurs de recherche qui indexent les images (Google, Bing, Voilà…) ? En effet, pour l’instant, il faut autoriser ou non « manuellement » ces sites, qui pourtant sont connus et me paraissent sûrs.

http://www.semageek.com/ Semageek
Bonne idée, j’ai pensé à la même, donc elle doit être bonne

http://www.li-an.fr/wpplugins/ Li-An
Dans le même genre d’idée, ce serait bien d’autoriser automatiquement le blog où est installé le plugin. Ça fait bizarre d’être obligé de s’autoriser soi-même manuellement.

http://www.semageek.com/ Semageek
Oui, en fait cette autorisation se fiat à l’init, mais j’ai du zapper quelque chose, ce sera dans la prochaine release… #TODO

Pingback: PictPocket le plugin anti-hotlink pour wordpress | Pyrros.fr
http://blog.gaborit-d.com olybop
Normal qu’il n’affiche plus les « sources » des voleurs ?
Pingback: Plugin Wordpress pour les Hotlinks : PickpocketDelicart | Delicart
http://graphism.fr Geoffrey Dorne
Juste un grand merci, je vais tester ça
Pour l’instant zero hotlink.. HuMM ça m’étonnerait,
mais je vais attendre un peu
Merci à toi pr les efforts en tout cas !

http://www.semageek.com/ Semageek
Oui, c’est clair que tu doit au moins avoir un hotlink.
Ca me fait penser qu’il faudra que je fasse je une fonction de test dans la prochaine release.
A la limite, il faut voir si il n’y a pas une ligne qui prédomine dans le htaccess…
Sinon j’ai une une fois ce type de cas, j’ai reinitialisé le plugin et c’est parti nickel
@+

http://www.li-an.fr/wpplugins/ Li-An
Hum, je commence à me poser des questions. Depuis que le plugin est installé, plusieurs centaines de sites ont été bloqué sur mon blog principal (il faut dire qu’il est consacré à l’illustration). Mais j’ai l’impression qu’il y a une baisse de fréquentation qui s’opère. En farfouillant le web, j’ai lu des avis partagés sur la question, certains vantant les mérites SEO du hotlinking. J’aimerai bien avoir quelques avis sur la question. Est-ce que les avantages sont vraiment intéressants dans mon cas ?
http://www.tvqc.com/ Jeff
Quand j’ajoute des url à exclure ou incluse ça produit des barre oblique double, est-ce normal ? car des URL que j,autorise ou que je n’autorise pas reviennent toujours dans les hotlink détecté
exemple: !^http://(.+\\.)?facebook.com/.*$
http://www.tvqc.com/ Jeff
ici aussi c’est double barre oblique et cette adresse reviens toujours dans les hotlink detecté: !^http://(.+\\.)?googleusercontent\\..*(/)?.*$

http://www.semageek.com/ Semageek
Non, ce n’est pas normal, c’est un bug que je doit corriger dans la prochaine version

http://www.tvqc.com/ Jeff
un site comme le mien a des centaine ci ce n’est pas des milliers de hotlink et je fait que commencer, ton plugin trouve une centaine de hotlink jours.
Tu crois sortir la nouvelel version quand?
http://www.tvqc.com/ Jeff
mon site semble aussi ralentir depuis l’installation du plugin.
http://pyrros.fr Pyrros
Sur mon site on vient de me rapporter une faille avec cette extension qu’en est il réellement ??? la mise a jour n’a t elle pas supprimée cette faille qui semble être la même (ou similaire) depuis la version 1.4.0 ???

http://www.semageek.com/ Semageek
Oui, je suis au courant, la personne qui posté le message l’a posté sur mon site aussi, ainsi que tous les sites qui l’a trouvé, et je l’ai modéré pour la raison suivante :
C’est le genre de personne qui étale sa science, et quand tu lui demande un coup de main pour résoudre la faille il n’a plus personne sauf si tu lui filles de la tunes (je résume en rapide).
Mais bon, business is business, chacun son état d’esprit, y’en a qui construisent et d’autres qui détruisent ou qui oeuvre dans cette direction.
Je ne travaille pas dans cet état d’esprit sur ce plugin, et comme cette histoire commence à me saouler, je vais surement s’arrêter le dev dans cet état.
Libre à vous de l’utiliser ou de l’abandonner, au pire les codes sources sont dispo pour qui veut prendre la suite.

http://blog.aube-nature.com Cédric G.
Salut Pyrros
Je crois que c’est moi qui t’ai rapporté la mise à jour (suite au message de la fameuse faille) ; cela a été corrigé avec la version 1.4
http://wordpress.org/extend/plugins/pictpocket/changelog/
http://www.boiteaweb.fr BoiteaWeb
Salut à tous,
Je suis un peu déçu et étonné de ta réaction Olivier. D’abord je réponds à Cédric (en fait, je copie/colle ma réponse que je lui ai faite sur mon blog) :
Ou pas !
Je viens de re-tester avec la 1.4.2 pour être sûr et d’autres failles sont présentes, et bien aussi graves qu’une SQLi.
Je ne divulgue pas encore car c’est vraiment très grave (je peux lire le contenu d’un fichier .php comme un .txt, merci le wp-config.php … ).
Mais l’auteur n’a pas désiré corriger ces failles, je vais le relancer puis divulguer ces failles au 01/09/11, un an après la découverte, c’est plutôt correct non ?
Merci tout de même !
ps : je recommande de supprimer cette extension dans l’état actuel !
Ensuite je tiens à te rappeler Oliver que tu m’as demandé quelque chose du genre « indique moi numéros de ligne et type de correction à apporter, je ferais le nécessaire », tu as donc sorti une 1.4.0 sans avoir eu ces infos ET sans me tenir au courant. Je découvre donc une 1.4.2 qui traine avec elle les failles, et d’autres maintenant.
Donc oui, j’ai demandé que les correctifs soient payés. Je vais vous faire une image :
J’aimerai utiliser une copie de ta voiture (ton plugin), mais avant, pour être sûre qu’elle est bien et sans danger, je vais lui faire passer un controle technique (audit de sécurité).
Suite à ce CT, je découvre que des réparations sont à effectuer (correctifs de dév), je t’informe en disant « Dis, j’ai fait un CT gratuit sur ta voiture et … il y a des choses à réparer comme les freins, les pneus, l’embrayage », toi tu me dis « Ha merci, donne moi de nouveaux pneus, des plaquettes de freins etc, je ferais le nécessaire ». Je te réponds donc « euh, là c’est payant par contre :/ Le CT a été fait gratuitement de mon plein grès mais là stop. » Puis tu t’en offusques Mince.
Pardonne moi Olivier, je veux bien te donner le détail des failles et leur nom, mais le numéro de lignes euh non car ça veux dire que je devrais chercher pile poil où ça se trouve. En tout cas, pas gratuitement effectivement. Si tu souhaites que je te fasse un véritable audit exhaustif avec rapport complet en PDF, avec snippets de codes de corrections, je suis dispo et même, je te fais un prix : le tiens ! Je le dis ici : tu peux me verser un don du montant que tu estimes correct et je te fais cet audit. Marché conclus ? (1)
Après, je ne t’oblige pas ! Mais comprends aussi que c’est mon métier (le dév php, dev de plugins et sites et audit de sécurité de sites et app web) et que si je souhaite en vivre, c’est mon choix, je te laisse libre de refuser, pas obligé de me tailler un short en public
Bon, si tu décides de laisser tomber le plugin, alors je te le dis : Je le reprends de suite car c’est un bon plugin, utile et tout, qu’il ai des failles est au un autre problème. Mon travail d’audit n’est pas là pour montrer les faiblesses du développeur ni pour juger de la qualité de son travail, car ici, le travail de développement est BIEN FAIT ! La sécurité est un AUTRE domaine, c’est tout à fait normal que ai pu faiblir de ce côté. Loin de moi l’idée de te tirer dans les pattes confrère
Si donc tu le « laches », mets une 1.4.3 informant que tu stoppes le plugin et que la 2.0 prends le relai, je ferais cette 2.0
Si tu ne souhaites plus lacher le plugin, alors mail moi et je te donne les PoC (Proof of Concept) des failles si le marché (1) te va
Bonne lecture à tous, longue vie à PictPocket :]

http://www.semageek.com/ Semageek
Réponse rapide car pris par le temps, je vais faire clair (avec les fautes, je corrigerais plus tard) :
PictPocket est parti d’une idée d’un jour, codé en 1 journée pour la première version. quelques évolutions par la suite, mais pas énorme, car pris par le temps, 2 taf, les gosses, le sites et les autres…
Bref un jour on m’annonce qu’une faille de sécurité est présente, j’essai de faire mon mieux pour la résoudre, mais le temps de dev est trop long, par rapport à mon temps dispo.
Je demande de l’aide à droite à gauche, mais pas de résultats, des touches, mais pas de finalité ou d’avancée.
A l’époque, je me retourne vers toi pour te demander également de l’aide, en gros je voulait que tu me dissent les lignes qui merdent, je les remplacent et basta, Merci Roulio, t’es un mec super…
Erreur à partir de là, dis le si je me trompe, tu ne m’apporte que quelques piste et me propose un audit payant….
Et depuis je peux te dire que je ne te considère pus avec le même regard, en gros, j’ai l’impression que l’on me caresse dans le sens du poil pour me la prendre ensuite…
Puis je fait une release, quelques modif et silence radio.
Puis il y a deux jours tu reviens sous ton couvert d’expert sécurité, me refaire le même coup
Donc :
Comme je tiens pas à créer un quelconque règlement de compte et pour moi il est important d’avancer.
Ma proposition tient toujours et c’est la meilleure pour la communauté qui utilise PictPocket,
Tu continue le dev avec moi, je met ton nom dans l’équipe de dev et on avance.
Et tu verra que tu en tirera plus de bénéfices…

http://pyrros.fr Pyrros
Je ne pensais pas en laissant mon message créer un tel débat… quoi qu’il en soit un tel plugin est un vrai + pour WP et ceux qui l’utilisent pour des photos ou images « exclusives ». A mon niveau peu importe qui fait avancer cette extension tant qu’elle marche.
Dans vos messages en dehors d’une certaine difficulté à échanger, apparait la même idée : travailler ensemble pour faire avancer tout cela.
http://www.li-an.fr/wpplugins/ Li-An
Bon, mon avis vaut ce qu’il vaut. Comme le plugin a l’air assez populaire, je pense qu’il faudrait faire une demande sur le forum officiel WP de recherche de failles. Avec un peu de chance…
http://www.boiteaweb.fr BoiteaWeb
Euh pourquoi allez poster sur le forum alors que je peux donner le détail des failles. Je n’ai pas dit que je voulais être payé pour ça, je souhaite qu’il me contacte mais je n’ai pas de retour de MES contacts via son formulaire de contact sur le site :/
Je ne peux pas me permettre de développer bénévolement chaque plugin touché par une faille avec son créateur, impossible !
Je vais donc pour finir et peut etre clore le « débat » t’envoyer un contact (qui restera sans réponse, encore) qui contiendra les failles trouvée avec le PoC (à toi de trouver ce qui ne va pas dans le code, je n’ai pas regardé ça et je n’ai donc pas les n° de lignes).
Essaie de me contacter quand la 1.4.3 sort ou … contact moi avant par mail que je recheck ça avant la release, je mords pas
A bientôt tous !

http://www.semageek.com/ Semageek
Par contre même si le débats est relancé pour la mise à jour, comme pour la précédente, mon gros souci est le manque de temps.
Elle n’est donc pas prévu pour être réaliser dans l’immédiat.
De plus, je need des vacances d’une force et je vais couper mes activités internet pendant un mois….
Par contre si quelqu’un veut bien intégrer les corrections et proposer une release, je la poserais sur le dépot wordpress rapidement.
Avec bien évidement les remerciements et l’intégration à l’équipe de dev.
Nb : Pour Julio, je ne dis pas que tu mords, je conçoit également que pour toi c’est un taf, mon seul but pour moi est d’avancer.
Crois moi que si je disposais de budget je me serais même pas pris la tête, mais ce n’est pas la cas.
Je me suis peut être un peu emporté dans mes discutions, et je m’en excuse, mais comme je dis j’ai besoin de vacances actuellement.

http://www.boiteaweb.fr BoiteaWeb
Ca roule, je comprends ton besoin, je SUIS en vacances (mais je taff quand même un peu).
Je te fais ce mail de contact dès que je peux, je dois finir le dev d’un plugin avant.
Bye !
http://quick-tutoriel.com Guillaume
Bonjour,
Tout d’abord merci pour ce tutoriel, qui m’a permi de débusquer beaucoup de voleur de contenu, mais j’ai 2 questions :
- dans la dernière version V1.4.2 dans l’onglet hotlinks j’ai une colonne avec un #, à quoi corresponde les chiffres de cette colonne ?
- je n’arrive pas à faire afficher l’image que j’ai défini dans les options sur les sites distant, rien ne s’affiche. Y-a-t-il une manipulation particulière pour que celle-ci s’affiche.
Merci pour votre aide.

http://www.semageek.com/ Semageek
La colonne # correspond au nombre de fois que l’image a été demandée par le site distant.
Pour l’image perso, il n’y a pas de manipulation particulière si ce n’est de mettre l’url d’une image.

http://twitter.com/actulogo/status/94338267398414336 ActuLogo
@Fredzone Utilise PictPocket http://t.co/DxNbAqH avec une belle image perso bien parlante….
http://iphonenews.leobaillard.org/ Sp1wn
Merci pour le travail fourni pour ve plugin et ce tuto très clair , je mets en test de suite car mon Blog s efait litérallement violer !!! lol
http://www.boiteaweb.fr BoiteaWeb
Je viens de mailer plus de 10 failles critiques à l’auteur (qui est en vacances)
Prenez patience et … désactivez l’extension en attendant :s

http://www.vistaide.com fekasatete
je n’arrive pas a bloquer un domaine pourtant j’ai bien clicquer sur bloquer le domaine et l’url et bien ajouter dans les domain bloquer par images.a chaque fois que j’actualise la page du site voleur l’image volé et toujours présente est ce normal ?

http://gr-slb.com Fulcanelli
Bon, je viens d’installer le plugin.
Et arf. J’arrive pas à retomber sur mes pattes.
J’ai deux blog un avec le nom domaine http://gr-slb.eu l’autre est un sous-domaine http://blog.gr-slb.eu.
le gr-slb.eu à pickpocket et tout fonctionne.
blog.gr-slb.eu n’a pas pictpocket et la catastrophe quand je veux accéder à sa console d’admin, je suis renvoyé sur le pictpocket de gr-slb.eu
J’ai tout essayer, site de confiance, virer le plugin, … toujours pareil.
J’ai recréer les tables, je deviens chauve.
Le plus drôle c’est que même sans le plugin installé, je suis redirigé sur pictpocket
Une idée ?

Anonyme
si le plugin n’est pas installé, il ne doit plus y avoir de redirection, regarde si le fichier .htacces à la racine du site contient encore des redirections pour pictPocket, si ce n’est pas le cas, vide le cache de ton navigateur (CTRL+R)
Pour ton histoire, c’est assez bizarre, normalement an déclarant le domaine (pas le site) en confiance, cela doit passer avec :
http://(www.)?gr-slb.eu/.*$
http://gr-slb.com Fulcanelli
Ouais Ok, c’est bon. Mais n’empêche que j’ai pas tout compris