Comment sécuriser ma page de vente ?

[kosh5]

Bonjour,

j'ai un blog wordpress acheté chez OVH (NDD et hébergement, donc site au format www.site.com).

je bosse généralement mon blog depuis la classique interface admin, j'ai utilisé 1 ou 2 fois l'accès FTP mais je ne suis pas très à l'aise avec… n’étant pas du tout codeur/programmeur dans l’âme.

j'ai créé un ebook que je vais vendre en téléchargement via Clickbank. L'idée est qu'une fois l'achat réglé, clickbank dirige le client sur une page de remerciements où il peut télécharger l'ouvrage.

tout est en place, il ne me reste qu'à sécuriser au maximum ma page remerciements, afin qu'elle ne soit pas pillée.

clickbank donne ici plusieurs conseils : https://support.clickbank.com/entries/23422563-Comment-proteger-ma-Page-de-Remerciement-

L’ennui est que je ne sais pas comment les appliquer. Même si ça va vous paraitre évident au visionnage de la page, pour moi ça ne l'est pas :-( pourrait-on m'indiquer un moyen simple de mettre ces actions en place ? Via le FTP j'imagine ? Si c’est possible, il faudrait juste me décrire très clairement les actions à effectuer, car je ne suis vraiment pas un technicien.

Autrement, trouvez-vous ces conseils bons ? En auriez-vous d’autres ? Je suis preneur de toute solution pour m'aider à sécuriser au mieux ma page.

Merci de m’avoir lu et bonne journée !

Kosh

[Aenoa]

Bonjour,

comme indiqué sur la page d'aide de ClickBank, tu dispose d'un script PHP à ajouter sur ta page de remerciement, qui vérifie si l'utilisateur a bien payé correctement son produit.

Le code, c'est celui-ci:

function cbValid()

{ 

   $key='YOUR SECRET KEY';

   $rcpt=$_REQUEST['cbreceipt'];

   $time=$_REQUEST['time'];

   $item=$_REQUEST['item'];

   $cbpop=$_REQUEST['cbpop'];

   $xxpop=sha1("$key|$rcpt|$time|$item");

   $xxpop=strtoupper(substr($xxpop,0,8));

   if ($cbpop==$xxpop) return 1; else return 0; 

}

Mais que fais ce code ?

En fait, il vérifie que la page d'où tu vient (donc la zone de paiement) te retourne bien des informations.

Pour que cela fonctionne bien, tu doit remplacer "YOUR SECRET KEY" par la clé secrète que tu a reçu en créant ton système de paiement (disponible sur Clickbank, encore une fois)

Ne la communique surtout pas ici ! elle est privée !

une fois cela fait, tu devra mettre, à la suite du code précédent, une "condition" en PHP. Cette condition fera ceci globalement:

SI (paiement bien reçu) ALORS affichage du lien pour télécharger le fichier. SINON affichage d'un message d'erreur.

L'on sait également que la fonction retournera 1 si le paiement a eu lieu, et 0 dans le cas contraire.

Voici donc un code "basique" te permettant de vérifier cela, et afficher ton code HTML avec le lien si tu le veux.

<?php


   // ici on déclare la fonction

   // [...]


   // vérification du bon paiement:

   if ( cbValid() )

   {

   // Paiement OK

   ?>

    ICI, TON CODE HTML AFFICHANT UN LIEN POUR TÉLÉCHARGER

   <?php

   }

   else

   {

   // pas de paiement? Hmm. Pas bien ça.

   ?>

    ICI, TON CODE HTML AFFICHANT UNE ERREUR (NON PAIEMENT)

   <?php

   }

   ?>

Bien évidement, je ne saurais que TROP te conseiller de ne pas mettre DIRECTEMENT le lien vers le fichier à télécharger, mais de faire un fichier "de téléchargement" qui vérifie encore si il a payé, et si oui, qu'il lance un téléchargement direct du fichier (cf. les headers, avec "x-attached-file" ou "force-download"; Google t'en dira plus que moi )

J'espère t'avoir aidé !

[kosh5]

Merci à toi Aenoa.

"comme indiqué sur la page d'aide de ClickBank, tu dispose d'un script PHP à ajouter sur ta page de remerciement, qui vérifie si l'utilisateur a bien payé correctement son produit."

--> peux-tu me dire si ce code doit se copier-coller en utilisant mon interface admin classique (connexion sur wordpress), ou bien en utilisant le FTP via par exemple Filezilla ? Dans la seconde éventualité, j'aurais besoin de précisions. Comme par exemple, où trouver la bonne page sur mon FTP... :-( argh

OK pour la secret key.

« une fois cela fait, tu devra mettre, à la suite du code précédent, une "condition" en PHP »

- > je suppose que tu me parles d'un code à entrer sur le FTP ?

Merci pour le code. Où doit-il être placé ? Quand tu me dis « ici on déclare la fonction » que mettre, le numéro secret key ?

Mêmes questions pour les éléments suivants dont tu me parles :

// vérification du bon paiement:
// Paiement OK
// pas de paiement? Hmm. Pas bien ça.
?>
ICI, TON CODE HTML AFFICHANT UNE ERREUR (NON PAIEMENT)

Bien évidement, je ne saurais que TROP te conseiller de ne pas mettre DIRECTEMENT le lien vers le fichier à télécharger, mais de faire un fichier "de téléchargement" qui vérifie encore si il a payé, et si oui, qu'il lance un téléchargement direct du fichier (cf. les headers, avec "x-attached-file" ou "force-download

- - > Tu as sans doute raison, le tout est de savoir si j'arriverai à comprendre cela un jour:-( En tout cas, c'est clickbank qui encaisse le paiement, puis une fois que le paiement est bien passé indique au client l'adresse de la page de remerciements sur laquelle il peut télécharger l'ebook. Est-ce que tes premières indications ne suffisent pas pour empêcher un visiteur qui n'aurait pas payé de télécharger ?

[Aenoa]

--> peux-tu me dire si ce code doit se copier-coller en utilisant mon interface admin classique (connexion sur wordpress), ou bien en utilisant le FTP via par exemple Filezilla ? Dans la seconde éventualité, j'aurais besoin de précisions. Comme par exemple, où trouver la bonne page sur mon FTP... :-( argh

Tu va devoir créer toi même un fichier, qui se terminera en ".php" (par exemple "remerciement_ebook.php") et dans ce fichier, mettre les 2 bouts de code que je t'ai donné. ce n'est PAS ton code secret. par "code", j'entends ce que je t'ai mis dans mon précédent message. toutefois, n'oublie pas de remplacer le "YOUR SECRET KEY" par ce qui t'a été donné dans ton menu clickbank.

Pour résumer, voici le code complet de la page à mettre (dans cet exemple, le YOUR SECRET KEY sera 123456789)

<?php   function cbValid()   {       $key='123456789';      $rcpt=$_REQUEST['cbreceipt'];      $time=$_REQUEST['time'];      $item=$_REQUEST['item'];      $cbpop=$_REQUEST['cbpop'];      $xxpop=sha1("$key|$rcpt|$time|$item");      $xxpop=strtoupper(substr($xxpop,0,8));      if ($cbpop==$xxpop) return 1; else return 0;    }   // vérification du bon paiement:   if ( cbValid() )   {   // Paiement OK   ?>    Merci d'avoir acheter mon e-book. telechargez le en <a href='http://tonsite.com/chemin/vers/ton/ebook.pdf'>cliquant sur ce lien</a>.   <?php   }   else   {   // pas de paiement? Hmm. Pas bien ça.   ?>    Vous n'avez pas payé pour l'ebook. je ne vous le donnerais pas.   <?php   }   ?>

- > je suppose que tu me parles d'un code à entrer sur le FTP ?

voir code ci-dessus, tout est bon là tu aura juste à copier/coller et changer l'adresse du lien (remplacer tonsite.com/chemin/vers/ton/ebook.pdf par l'adresse de ton PDF)

- - > Tu as sans doute raison, le tout est de savoir si j'arriverai à comprendre cela un jour:-( En tout cas, c'est clickbank qui encaisse le paiement, puis une fois que le paiement est bien passé indique au client l'adresse de la page de remerciements sur laquelle il peut télécharger l'ebook. Est-ce que tes premières indications ne suffisent pas pour empêcher un visiteur qui n'aurait pas payé de télécharger ?

Techniquement, non. Même si un utilisateur ne penses pas forcément à cela directement, si tu lui donne une adresse pour un fichier pdf à télécharger, il peut très bien copier-coller ce lien à d'autres personnes pour qu'elles le téléchargent directement depuis ton site, sans passer par la page de remerciement.

Mais si l'utilisateur vient sur ta page de remerciement, elle est basiquement protégée, oui. Seul une personne ayant effectué le paiement avant de venir sur cette page verra le lien pour le télécharger.

Bien évidement, l'on est jamais à l'abris de la rediffusion de ton ebook, sachant qu'une fois sauvegardé, n'importe qui l'ayant acheté peut l'héberger sur un site ou un service tel que dropbox pour le donner à d'autres personnes. L'on ne sais rien faire contre cela, malheureusement.

[kosh5]

OK

alors, j'ai donc cherché un moyen de créer des PHP. J'ai trouvé sur le net EasyPhp et ai tout installé (accepter le règlement, cliquer sur suivant, etc.). Seulement ça n'a pas l'air de fonctionner. Cette page file:///C:/EasyPHP-12.1/home/fr/index.html m'indique de double-cliquer sur le raccourci, or lorsque je le fais ça n'ouvre rien (?!).

connaîtrais-tu un autre moyen de créer des PHP, un lien vers un logiciel facile à installer ?

[kosh5]

ADDENDUM

J'ai re-cherché sur le net, visiblement il me suffit juste de créer un fichier TXT, d'y inclure le code puis de le renommer en PHP (confirmes-tu ?)

Alors, j'ai donc pris ton code et l'ai incorporé sur un fichier TXT (en attente d'être renommé).

J'ai remplacé tes messages par des messages légèrements différents (style : merci de passer par la procédure normale pour pouvoir télécharger l'eBook) avec des majuscules et des accents. Penses-tu que les maj et accents seront correctement lus ?

"href='http://tonsite.com/chemin/vers/ton/ebook.pdf'" : Oui, MAIS pour l'heure j'ai une page de remerciements avec quelque chose du genre "merci d'avoir réglé l'ebook, téléchargez-le ci-dessous" avec en-dessous le bouton télécharger. Me conseilles-tu donc de retirer la possibilité de télécharger via la page de remerciement et de créer une autre page juste pour le téléchargement ? Car l'idée de clickbank, c'est qu'une fois que le client a réglé, il est envoyé sur la page de remerciements, DONC de téléchargement (c'est tout du moins ce qu'ils m'ont demandé de faire).

Merci encore pour ton aide.

[Aenoa]

Salut,

Alors, j'ai donc pris ton code et l'ai incorporé sur un fichier TXT (en attente d'être renommé).

Penses-tu que les maj et accents seront correctement lus ?

Me conseilles-tu donc de retirer la possibilité de télécharger via la page de remerciement et de créer une autre page juste pour le téléchargement ? Car l'idée de clickbank, c'est qu'une fois que le client a réglé, il est envoyé sur la page de remerciements, DONC de téléchargement (c'est tout du moins ce qu'ils m'ont demandé de faire).

> Concernant le .TXT, oui, tant que tu le renomme en .PHP (vérifies que tu voies bien ".txt" dans le nom de fichier, si pas, dans un quelconque répertoire de ton ordinateur, fais "affichage" > "Options" > onglet "Affichage" et décoches la case nommée "masquer les extensions dont le type de fichier est connu. Une fois cela fait, tu remarquera que tes fichiers ont un ajout derrière leurs noms, comme .html, .php, .exe, etc.

Une fois cela fait, tu peux renommer ton .txt en .php. Si tu ne le fais pas avant, le fichier se nommera remerciement.php.txt (.txt étant une extension cachée, tu ne verrais que "remerciement.php" mais son type serais "fichier texte" et non pas "fichier php".

> Tant que ton fichier est enregistré en UTF8 (tu peux le configurer quand tu sauvegarde et que tu entres un nom de fichier, en dessous tu as "ANSI, UTF8, ...".

> Si tu es débutant (chose que tu m'a confirmé je pense) autant mettre le téléchargement directement dans un seul fichier, en lien "direct". Après tout, cela fait ce que tu demandes.

OK

alors, j'ai donc cherché un moyen de créer des PHP. J'ai trouvé sur le net EasyPhp et ai tout installé (accepter le règlement, cliquer sur suivant, etc.). Seulement ça n'a pas l'air de fonctionner. Cette page file:///C:/EasyPHP-12.1/home/fr/index.html m'indique de double-cliquer sur le raccourci, or lorsque je le fais ça n'ouvre rien (?!).

connaîtrais-tu un autre moyen de créer des PHP, un lien vers un logiciel facile à installer ?

l'adresse indiquée est un lien relatif a ton ordinateur, je ne peux t'aider ou accéder au lien.

Concernant le logiciel, je code dans tout les langages avec Netbeans, un éditeur gratuit et open source. Tu peux le trouver ici.

[kosh5]

Merci,

pour easyphp vu qu'il y a moyen de faire autrement peu importe, n'en parlons plus

presque tout ce que tu me dis me sembles OK.

sauf un point :

"autant mettre le téléchargement directement dans un seul fichier, en lien "direct". Après tout, cela fait ce que tu demandes. "

-- Donc plutôt que de créer un fichier PHP, je dois incorporer le code entier dans la page de remerciements, non ? Ou bien ajouter à mon fichier TXT (qui va devenir un PHP) tout le bla bla de ma page de remerciements qui existe déjà, puis remplacer l'ancienne page de remerciements par la nouvelle ?

[Aenoa]

tu prends le contenu de ta page de "remerciement" actuelle. tu la mets dans mon code là où j'ai indiqué ceci:

Merci d'avoir acheter mon e-book. telechargez le en <a href='http://tonsite.com/chemin/vers/ton/ebook.pdf'>cliquant sur ce lien</a>.

Il faut absolument qu'il soit entre le ?> et le <?php ! Si tu le met AVANT le ?> ou APRÈS le <?php ; le serveur internet comprendra que c'est du code PHP, et étant du HTML, cela créera de grosses erreurs, rendant la page inaccessible.

Pour résumer, imaginons que ton code de remerciement de ta page "actuelle" est "aaabbbccc". tu devra faire cela (je ne met que la zone du code concernée, pas tout)

 // Paiement OK

   ?>

    aaabbbccc

   <?php

   }

   else

[kosh5]

tu prends le contenu de ta page de "remerciement" actuelle. tu la mets dans mon code là où j'ai indiqué ceci:

--> OK, mais parles-tu de me connecter sur mon espace Admin, (de type http://mon-site.com//wp-login.php), aller sur la page en question, la visualiser en mode "texte" et effectuer la procédure ? Ou bien parles-tu de me connecter via Filezilla ou autre ?

(dans le 1er cas je pense savoir le faire, dans le 2nd cas non)

[Aenoa]

donnes moi un lien vers ta page de remerciement (via message privé) et je te donnerais le code à copier coller.

Si tu préfère le faire toi-même, tu doit soit:

- ouvrir ton navigateur, aller sur la page de remerciement et afficher le code source (ctrl-u) puis ne prendre que le code du remerciement (pas les headers etc.) ;

- soit aller dans ton éditeur wordpress, sélectionner ta page de remerciement et faire "voir source" ou "mode code" selon ton éditeur WYSIWYG.

coller ensuite le tout dans ton futur fichier de remerciement et intégrer en php les fichiers "headers" et "footer" de ton wordpress,