Le texte « NginX mainline », en blanc, apparaît sur un fond bleu uni. À droite, un grand hexagone vert contient une lettre « N » en gras et en blanc, rappelant l'aspect de l'écran d'accueil du programme d'installation d'Ubuntu Server.

Installer NginX mainline sous Ubuntu Server

par · Lecture: 12 minutes

Ubuntu Server installe encore Nginx 1.28 dans ses dépôts officiels, une version vulnérable à la faille HTTP/2 Bomb (CVE-2026-49975) capable d’épuiser la mémoire d’un serveur en quelques secondes avec une seule connexion. Ce tutoriel détaille, à partir d’un cas réel rencontré sur Apollo, comment auditer les modules NginX existants, basculer proprement sur le dépôt officiel NginX mainline avec APT, puis valider et nettoyer l’installation.

Le symptôme : un serveur qui tombe sans raison apparente

En ce début de semaine, skyminds.net était indisponible au petit matin, deux jours de suite. C’est exceptionnellement rare : la configuration du serveur dédié OVH Apollo est stable et n’est jamais modifiée sur un coup de tête.

Après quelques heures à éplucher les logs et le statut des services, le constat était clair : des requêtes épuisaient les workers NginX à une vitesse anormale, sans pic de trafic visible côté Cloudflare ni signe d’attaque volumétrique classique. Le coupable n’était donc pas une simple charge excessive, mais un mécanisme bien plus sournois.

La cause : la faille HTTP/2 Bomb

Une attaque par déni de service baptisée HTTP/2 Bomb touche plusieurs serveurs web majeurs : NginX, Apache HTTPD, Microsoft IIS, Envoy et Cloudflare Pingora. Elle combine deux mécanismes connus du protocole HTTP/2 : la compression d’en-têtes HPACK et le contrôle de flux. L’attaquant alimente la table de compression avec une entrée volumineuse, puis envoie de nombreuses références d’un seul octet vers cette entrée, forçant le serveur à reconstruire des en-têtes massifs à chaque requête tout en maintenant la connexion ouverte grâce à des mises à jour de fenêtre périodiques. Résultat : un attaquant disposant d’une simple connexion domestique peut rendre un serveur indisponible en quelques secondes, sans authentification ni botnet.

Plusieurs éditeurs de sécurité utilisent l’identifiant CVE-2026-49975 comme nom générique de cette chaîne d’attaque. Dans les faits, NginX a livré son correctif sans CVE dédiée, tandis que ce numéro concerne plus précisément Apache HTTP Server (module mod_http2) ; Envoy a reçu son propre identifiant. Le ratio d’amplification mesuré reste plus modeste sur NginX que sur les autres serveurs concernés, mais suffisant pour dégrader durablement le service sous une attaque soutenue.

Lire la suite

Une personne interagit avec une interface virtuelle lumineuse affichant des commandes WordPress WP-CLI via SSH : "$ wp plugin install akismet --activate" et "$ wp plugin update --all". Des lumières bokeh colorées créent une ambiance technologique moderne en arrière-plan.

Mettre à jour WordPress en SSH avec WP-CLI : core, extensions et thèmes

par · Lecture: 11 minutes
ssh plugins logo

Sur mon serveur, j’ai fait le choix de ne pas installer de serveur FTP.

Pourquoi ? Et bien tout simplement parce que le protocole FTP n’est pas du tout sécurisé : les mots de passe sont envoyés en clair sur le réseau, il n’y a aucun chiffrement appliqué sur la connexion et il existe 1001 manières d’en forcer l’accès.

Mettre WordPress à jour depuis l’administration, c’est pratique. Pourtant, sur un serveur dédié, ce n’est pas toujours la méthode la plus propre.

Si WordPress vous demande des identifiants FTP, ce n’est pas forcément un bug. Le problème vient souvent des permissions fichiers, du propriétaire des répertoires, ou d’une configuration serveur qui empêche WordPress d’écrire correctement dans son propre dossier.

Historiquement, on pouvait contourner le problème avec l’extension PHP SSH2 et quelques constantes dans wp-config.php. Aujourd’hui, sur un serveur sérieux, je préfère une approche plus robuste : SSH + WP-CLI + permissions propres.

Lire la suite

Logo FreshRSS sur un fond gris clair. Le logo présente des arcs concentriques bleus formant une icône de signal radio, représentant un lecteur RSS auto-hébergé, avec le mot "FreshRSS" en texte bleu gras à droite de l'icône.

Installer un lecteur RSS moderne et auto-hébergé avec FreshRSS

par · Lecture: 17 minutes

Les réseaux sociaux ont transformé la veille en machine à secouer l’attention. Entre les publications sponsorisées, les recommandations opaques, les fils chronologiques éventrés et les notifications qui hurlent comme un grille-pain possédé, suivre l’actualité de ses sites préférés demande presque une stratégie militaire.

Le RSS règle ce problème avec une élégance presque insolente. Vous choisissez les sites. Vous recevez leurs nouveaux articles. Vous les lisez dans l’ordre que vous voulez. Pas d’algorithme qui décide à votre place. Pas de flux infini conçu pour aspirer votre après-midi. Juste une veille propre, maîtrisée, exportable et durable.

Dans ce guide, nous allons installer un lecteur RSS moderne et auto-hébergé avec FreshRSS. Nous verrons aussi quand choisir Miniflux, comment importer ses abonnements, comment protéger l’instance derrière Nginx, et comment organiser une vraie veille quotidienne.

Lire la suite

Articles suivants →