Depuis un peu plus de 15 jours, le GuiGui's Show avait disparu des écrans. Je vais vous expliquer rapidement le pourquoi du comment, à titre d'information.
Flashback.
Nous sommes début novembre et le blog est encore inaccessible ... Ça devient une habitude. En effet, depuis quelques mois, ce blog est indisponible au moins une fois par mois. Cela a commencé en juillet, puis fin août, puis le 5 et le 6 septembre, puis le 6 octobre et quasiment une semaine en novembre. Et je ne parle ici que des indisponibilités totales dont j'ai la connaissance, ce qui exclu les indisponibilités de courte durée mais répétitives (= les visiteurs ont le droit à une page blanche pour la moitié de leurs requêtes) et les indisponibilités dont je n'ai pas eu connaissance.
Je songeais, depuis début septembre, à passer à un hébergement payant offrant plus de garanties. Mais, je pensais que rien ne pressais et j'ai donc laissé l'affaire traîner. Mais à partir du 14 novembre, mon compte a été suspendu pour un dépassement de la limite de la charge CPU ayant eu lieu plus de 1000 fois. Ce qui amène les questions suivantes : Quel événement a provoqué cette surcharge ? Pourquoi l'hébergeur ne m'a-t-il pas prévenu dés les premiers dépassements ?
Ces deux questions restent des mystères. Une attaque informatique aurait d'abord affectée la bande passante et semble improbablement. Seuls les comptes client payants ont accès aux logs donc je ne peux pas affiner mes recherches.
Une deuxième piste se profile cependant. Les CMS comme WordPress sont réputés gourmands par rapport à d'autres applications web dynamiques et les hébergeurs mutualisés n'ont pas été conçus pour ce genre d'applications mais s'y sont adaptés afin d'élargir leur clientèle. Il est donc possible que mon WordPress ait fait exploser la charge CPU. Mais là encore, cela ne correspond pas à la situation de ce blog : le nombre de visiteurs et de pages vues sont stables sur le dernier trimestre (août, septembre, octobre) et le CMS est toujours le même : je n'ai pas rajouté d'extensions ou autre, juste fait les mises à jour de WordPress ... WordPress est-il devenu soudainement plus chronophage ? Cela m'étonnerai car rien ne remonte à ce sujet sur Google. Ce dépassement de la limite de charge CPU reste donc suspect car, si l'environnement n'a pas changé, alors il aurait dû survenir plus tôt.
Au final, je suppose qu'il s'agit d'une manœuvre commerciale de l'hébergeur afin de faire souscrire à son offre payante un maximum de personnes ayant assez profité de l'offre gratuite. Je m'aperçois d'ailleurs que je n'ai plus accès à quoi que ce soit : ni phpmyadmin, ni FTP, entre autres. Le message d'erreur est clair : je doit passer à l'offre payante pour que mon compte soit remis en service avec les services associés. Sur le principe même je trouve cela lamentable. À partir de cet instant, l'offre payante pouvait être la plus attractive du monde que je l'aurais refusée : mes données n'ont pas à être retenues en otage dans l'attente d'un paiement. Attention : je fais bien la différence entre un hébergement payant où l'hébergeur suspend mon compte et supprime mes données car je n'ai pas payé le service à la date convenue et un hébergement gratuit où l'hébergeur maintient mes données en otage pour me faire passer à son offre payante. À ceux qui ne voient pas l'intérêt de faire des sauvegardes régulières de leurs données, j'espère vous avoir donné un exemple supplémentaire de ce que vous encourez. En ce qui me concerne, j'étais à jour dans mes sauvegardes donc pas de problèmes.
Je me met donc à la recherche d'un hébergeur mutualisé payant car je souhaite un sérieux et des garanties que les hébergeurs gratuits ne peuvent pas proposer (vous n'avez pas de contrats avec eux et vous n'êtes pas leur priorité, par exemple). Les étapes les plus difficiles sont clairement de fixer les critères de choix les plus importants à vos yeux (bande passante nécessaire, espace de stockage nécessaire, applicatifs nécessaires, ...), de comparer les nombreuses offres qui se ressemblent et de lire et de comprendre les conditions générales et particulières de vente (19 pages dans mon cas, vache !). Le reste, c'est de la technique et ça, on connaît ;).
Me voici donc parti de 000webhost, filiale (indirecte) de II Hosting Media pour Free-h, service d'Inulogic. Hébergement en France par un hébergeur français (non, il n'y a pas de redondance d'information dans cette phrase) d'où un temps de réponse très bon, sans engagement (liberté quand tu nous tiens), payable mensuellement, dans mes prix, une équipe visiblement compétente et passionnée, une offre claire sans limites bidons (pas d'option payante par-ci par-là, pas de limite bloquante (ex. : nombre de connexions simultanées aux bases de données, max "hits", ...) ici et là), du SSL presque partout (espace client, Plesk, phpmyadmin, ...) ... Pour l'instant, je n'ai que trois bémols à signaler : on utilise encore des applications propriétaires comme Plesk, le FTPS n'est pas proposé et l'hébergement est payable par allopass ce qui laisse une porte ouverte à une certaine clientèle à même de faire laguer les autres hébergements avec des applications non optimisées et des comportements suspects ;). Reste à voir la réaction du matos et de l'équipe de Free-h lorsque ce genre d'incident survient.
J'ai profité de la migration pour faire quelques optimisations qui n'étaient pas possibles sur l'ancien serveur comme activer la compression des contenus avant envoi au client ou avoir des permaliens plus clairs (date + titre du billet), par exemple.
J'ai également vérifié, un minimum, la sécurité : application à jour, htaccess "complet" (en fonction de mes connaissances en fait), prendre connaissance de mon nouvel environnement (configuration matérielle et logicielle du serveur, réseau ...), ...
Je profite de ce billet pour vous dire que le GuiGui's Show est désormais accessible intégralement via le protocole HTTPS. Oui, même les images. Pour ceux qui veulent laisser le choix entre HTTP et HTTPS à leurs visiteurs et qui galèrent avec les images et autres contenus : Enable Complete support for SSL on WordPress chez Pro Sauce. Bon d'accord, le certificat est celui de Free-h et pas le mien donc vous allez vous manger un message d'avertissement de votre navigateur. Mais 2011 a bien montré la limite des certificats X.509 (même si des mecs avaient déjà conceptualisé tout ça depuis bien longtemps). Bon d'accord, le certificat est signé par AlphaSSL qui est un prestataire low-cost qui me semble avoir la main très légère sur les vérifications d'identité. Bon d'accord, AlphaSSL appartient à GlobalSign, autorité de certification dont le ComodoHacker prétend avoir eu accès. Mais malgré tout, le GuiGui's Show est accessible en HTTPS :D.
Et pour ceux qui s'exclament "WTF ! il t'as fallu tout ce temps pour choisir un hébergeur et migrer un simple blog ?!" : oui 😀 . Ce blog n'est qu'un passe-temps, un lieu où je viens partager mes connaissances et mes découvertes. Ce n'est donc pas un blog professionnel, pas un blog qui génère des revenus et créer de l'activité. Donc, comme tout passe-temps, il a une priorité moins forte quand d'autres activités chronophages mais plus importantes entre en concurrence avec lui.
Voilà, ce billet touche à sa fin. Par contre, vous allez devoir attendre un peu avant de voir arriver de nouveaux billets techniques :).