Sécuriser SPIP

  votre site résistera mieux...

Le logiciel SPIP est déjà réputé pour sa Sécurité, mais l’écran de sécurité ne fait pas tout..

Quelques pistes pratiques après l’installation SPIP...

Article publié le 2 mars 2015, et actualisé en mars 2020

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Comme tout logiciel informatique, il peut y avoir des bugs dans votre CMS, voire des failles de sécurité... mais aussi des corrections !
Car les "devs" de la "Team" ont repris le code pour éliminer au mieux les risques de failles, et ils complètent ce fonctionnement pour les plugins avec les filtrages d’entrée opérés automatiquement par l’écran de sécurité qu’il vous est bien sûr recommandé d’installer (au chargement par SPIP_loader ou par le couteau suisse).

 Suivi des Mises a Jour

Mettre SPIP à jour : comment ? L’exemple de l’actualité récente met en évidence ce premier principe : dans ce monde évolutif et vivant qu’est le Web, les logiciels évoluent et s’adaptent continuellement : suivez donc les mises à jour de votre produit, vous serez informé dans le pied de l’espace privé ou sur la liste https://listes.rezo.net/mailman/lis... pour s’inscrire à la mailing-liste mailto:spip-ann@rezo.net?subject=su....
Ces mises-à-jour concerneront le core avec spip_loader, mais aussi l’écran de sécurité sans oublier de Mettre à jour les plugins !

 Précautions

Il existe d’autres accès à votre site : le FTP [1], les comptes d’auteurs (vulnérables par leur mails), les squelettes -en particulier les balises fantômes-, les documents joints (voir ci-dessous).

 Confidentialité

Notons d’abord que la confidentialité n’est pas exactement de la sécurité : les droits d’accès pour Protéger son contenu sont gérés pour l’espace public (accessible sur l’ensemble du Web) tandis que les droits de modification du contenu sont gérés par des Les autorisations / gestion des droits essentielles dans l’espace privé  !

L’indiscrétion sera d’abord le fait des robots d’indexation (voir robots.txt), sur les articles [2], les documents joints [3], voire même sur les ./squelettes/ (serait à rajouter aux options d’Accès restreint ?).
Par commodité et souplesse d’encodage, vous utiliserez très probablement le plugin Acces Restreint [4] bien pratique pour générer des .htpasswd adaptés [5].

 En cas de paranoïa

Pour aller plus loin, l’occasion de relire un article d’archives et un article anglais de 2009, donnant quelques autres pratiques de sécurisation, et se terminant par une remarque tres générale

3. quick and effect response from the developers.... within a day

 ! La réactivité de l’équipe SPIP ne se dément pas !

Neanmoins, par rapport à une installation ’standard’ de SPIP, volontairement simple et applicable à de multiples contextes, quelques points complémentaires peuvent être améliorés :
- protéger complètement la modification de ./config/
- protéger l’indexation automatique des dossiers (comme ./plugins/
- interdire l’accès et l’exécution PHP des dossiers autres (en particulier ./IMG, ./local et ./tmp (qui contient squelettes PHP et sauvegardes),
- deplacer et renommer les références standard spip.php./squelettes ./ecrire pour contrarier des attaques SPIP automatisées
- éliminer toute explicitation des versions et noms de produit
- enfin resté informé à jour : l’espace privé de SPIP vous informe des dernières versions et patchs de l’écran de sécurité, à recharger dès que possible : Mettre SPIP à jour : comment ?

Et puis, gardez des sauvegardes (Sauvegarder SPIP) automatiquement reçues par mes_fichiers.


Merci de nous signaler les coquilles, imprécisions ou erreurs qui figureraient dans cette page.

[1L’ordinateur de votre webmestre est un point d’entrée "sensible", par exemple par l’intermédiaire de virus !

[2Vérifiez la protection d’Accès Restreint sur un poste en visiteur non connecté !

[3Protégez le dossier ./IMG/ avec un .htaccess personnalisé par le plugin Accès Restreint sur les documents.

[4J’ai récemment constaté qu’une version 3.15 d’accès Restreint inscrivait bien un .htaccess sur le dossier ./IMG/, mais omettait d’y ajouter la ligne options -indexes laissant l’arborescence des documents SPIP directement accessible par le Web... et si vous la rajoutez manuellement, il se chargera de tout effacer au changement de paramètrages.... ;-[

[5Seule imperfection, je n’ai pas vu qu’une modification d’un password d’un auteur ou administrateur entraîne la regénération automatique du/des .htpasswd correspondants ?


Liens A2A visibles seulement pour les inscrits.
Liens visibles seulement pour les inscrits.

Article publié le 2 mars 2015, et actualisé en mars 2020 .

Répondre à cet article