Sécuriser SPIP

  votre site résistera mieux...


Le logiciel SPIP est déjà réputé pour sa Sécurité, mais l’écran de sécurité ne fait pas tout..

Quelques pistes pratiques après l’installation SPIP...

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Comme tout logiciel informatique, il peut y avoir des bugs dans votre CMS, voire des failles de sécurité... mais aussi des corrections !
Car les "devs" de la "Team" ont repris le code pour éliminer au mieux les risques de failles, et ils complètent ce fonctionnement pour les plugins avec les filtrages d’entrée opérés automatiquement par l’écran de sécurité qu’il vous est bien sûr recommandé d’installer (au chargement par SPIP_loader ou par le couteau suisse).

 Suivi des Mises a Jour

Mettre SPIP à jour : comment ? L’exemple de l’actualité récente met en évidence ce premier principe : dans ce monde évolutif et vivant qu’est le Web, les logiciels évoluent et s’adaptent continuellement : suivez donc les mises à jour de votre produit, vous serez informé dans le pied de l’espace privé ou sur la liste http://listes.rezo.net/mailman/list... pour s’inscrire à la mailing-liste mailto:spip-ann@rezo.net?subject=su....
Ces mises-à-jour concerneront le core avec spip_loader, mais aussi l’écran de sécurité sans oublier de Mettre à jour les plugins !

 Précautions

Il existe d’autres accès à votre site : le FTP [1], les comptes d’auteurs (vulnérables par leur mails), les squelettes -en particulier les balises fantômes-, les documents joints (voir ci-dessous).

 Confidentialité

Notons d’abord que la confidentialité n’est pas exactement de la sécurité : les droits d’accès pour Protéger son contenu sont gérés pour l’espace public (accessible sur l’ensemble du Web) tandis que les droits de modification du contenu sont gérés par des Les autorisations / gestion des droits essentielles dans l’espace privé  !

L’indiscrétion sera d’abord le fait des robots d’indexation (voir robots.txt), sur les articles [2], les documents joints [3], voire même sur les ./squelettes/ (serait à rajouter aux options d’Accès restreint ?).
Par commodité et souplesse d’encodage, vous utiliserez très probablement le plugin Acces Restreint bien pratique pour générer des .htpasswd adaptés [4].


Merci de nous signaler les coquilles ou erreurs qui figureraient dans cette page.

[1L’ordinateur de votre webmestre est un point d’entrée "sensible", par exemple par l’intermédiaire de virus !

[2Vérifiez la protection d’Accès Restreint sur un poste en visiteur non connecté !

[3Protégez le dossier ./IMG/ avec un .htaccess personnalisé par le plugin Accès Restreint sur les documents.

[4Seule imperfection, je n’ai pas vu qu’une modification d’un password d’un auteur ou administrateur entraine la regénération du/des .htpasswd correspondants ?


Liens visibles seulement pour les inscrits.

Article publié le 2 mars 2015, et actualisé en mars 2017 .

Répondre à cet article