Comme tout logiciel informatique, il peut y avoir des bugs dans votre CMS, voire des failles de sécurité... mais aussi des corrections !
Car les "devs" de la "Team" ont repris le code pour éliminer au mieux les risques de failles, et ils complètent ce fonctionnement pour les plugins avec les filtrages d’entrée opérés automatiquement par l’écran de sécurité qu’il vous est bien sûr recommandé d’installer (au chargement par SPIP_loader ou par le couteau suisse).
Suivi des Mises a Jour
Mettre SPIP à jour : comment ? L’exemple de l’actualité récente met en évidence ce premier principe : dans ce monde évolutif et vivant qu’est le Web, les logiciels évoluent et s’adaptent continuellement : suivez donc les mises à jour de votre produit, vous serez informé dans le pied de l’espace privé ou sur la liste https://listes.rezo.net/mailman/lis... pour s’inscrire à la mailing-liste mailto:spip-ann@rezo.net?subject=su....
Ces mises-à-jour concerneront le core avec spip_loader, mais aussi l’écran de sécurité sans oublier de Mettre à jour les plugins !
Précautions
Il existe d’autres accès à votre site : le FTP [1], les comptes d’auteurs (vulnérables par leur mails), les squelettes -en particulier les balises fantômes-, les documents joints (voir ci-dessous).
Confidentialité
Notons d’abord que la confidentialité n’est pas exactement de la sécurité : les droits d’accès pour Protéger son contenu sont gérés pour l’espace public (accessible sur l’ensemble du Web) tandis que les droits de modification du contenu sont gérés par des Les autorisations / gestion des droits essentielles dans l’espace privé !
L’indiscrétion sera d’abord le fait des robots d’indexation (voir robots.txt), sur les articles [2], les documents joints [3], voire même sur les ./squelettes/
(serait à rajouter aux options d’Accès restreint ?).
Par commodité et souplesse d’encodage, vous utiliserez très probablement le plugin Acces Restreint [4] bien pratique pour générer des .htpasswd
adaptés [5].
En cas de paranoïa
Pour aller plus loin, l’occasion de relire un article d’archives et un article anglais de 2009, donnant quelques autres pratiques de sécurisation, et se terminant par une remarque tres générale
3. quick and effect response from the developers.... within a day
! La réactivité de l’équipe SPIP ne se dément pas !
Neanmoins, par rapport à une installation ’standard’ de SPIP, volontairement simple et applicable à de multiples contextes, quelques points complémentaires peuvent être améliorés :
protéger complètement la modification de ./config/
protéger l’indexation automatique des dossiers (comme ./plugins/
interdire l’accès et l’exécution PHP des dossiers autres (en particulier ./IMG
, ./local
et ./tmp
(qui contient squelettes PHP et sauvegardes),
deplacer et renommer les références standard spip.php
./squelettes
./ecrire
pour contrarier des attaques SPIP automatisées
éliminer toute explicitation des versions et noms de produit
enfin resté informé à jour : l’espace privé de SPIP vous informe des dernières versions et patchs de l’écran de sécurité, à recharger dès que possible : Mettre SPIP à jour : comment ?
Et puis, gardez des sauvegardes (Sauvegarder SPIP) automatiquement reçues par mes_fichiers.
Article publié le 2 mars 2015, et actualisé en mars 2020 .
Répondre à cet article