Stéphane POUPARD

06.79.64.42.12

On me dit éclectique, toutefois j’ai une prédilection certaine envers ...

Améliorer la sécurité de votre site SPIP

SPIP est un logiciel reconnu comme sécurisé

logo imprimer

Il bénéficie de mises à jour régulières et dispose d’une communauté active de développeurs.

il faudra parfois faire certains ajustements en fonctions :

  • confidentialité de certaines données,
  • exposition particulière du site aux attaques liée à sa notoriété,
  • développement de squelettes avancés.

Voici quelques clefs pour l’amélioration de la sécurité de votre site SPIP.

1. Disposer d’une version de SPIP à jour

La première vérification - et la plus importante ! - est bien sûr de disposer d’une installation (SPIP et plugins) qui soit à jour des mises à jours de sécurité. Si vous n’avez pas la possibilité de faire une mise à jour.

Vous pouvez vous tenir informé des différentes mises à jour de SPIP :

  • en vous abonnant à la liste de diffusion spip-ann

2. Vérifier le paramétrage d’Apache

Nous n’entrerons pas dans le détail de la configuration du serveur, puisque chez "FREE.FR" vous n’avez pas la main

Il est important également d’empêcher l’affichage des squelettes, car les squelettes personnalisés peuvent contenir de nombreuses failles de sécurité.
3. Masquer le type de CMS utilisé

Il est illusoire de penser masquer totalement les indications du type de CMS utilisé, mais quelques rapides actions et paramétrages rendront sa détection plus difficile.

Vous pouvez commencer par supprimer les fichiers .txt se trouvant à la racine du site, lesquels informent sur la version de SPIP CHANGELOG.TXT,INSTALL.TXT, ...).

Il peut être judicieux également de limiter les entêtes http générées par SPIP - qui informent sur les plugins installés et leurs versions respectives - , en ajoutant la directive suivante dans /config/mes_options.php :

Enfin, activez une des réécriture d’url proposée par SPIP /spip/ecrire/ ?exec=configurer_urls.

4. Mettre en place une politique de sécurité

La sécurisation de votre site passe impérativement par la mise en place d’une politique de sécurité au niveau des rédacteurs et des administrateurs.

  • imposez des mots de passe complexes aux auteurs
  • n’utilisez pas de compte commun à plusieurs utilisateurs.
  • affiner les autorisations de SPIP pour les différents types de profils
  • les forums étant une source facile de spam, placez vos forums en "modération à priori", et utilisez un plugin anti-spam.

5. Contrôler l’accès aux documents de IMG

Par défaut dans SPIP, tous les documents joints aux articles sont accessibles par tout le monde, par une url directe du type : http://monsite/spip/IMG/siteon0.png

Il ne suffit pas de ne pas lister un document pour qu’il soit caché et les documents confidentiels se trouvent indexés dans les moteurs de recherche. Il faut vraiment avoir conscience que pour qu’un document ne soit visible que par des personnes autorisées à le consulter, il faut mettre en place un contrôle d’accès au document.

6. Désactiver les squelettes par défaut et plugins inutilisés

SPIP est basé sur un système de surcharge. Lorsqu’un fichier (squelette, ou document) est appelé dans l’url ?page=mapage ou par la balise #CHEMIN, SPIP parcours l’arborescence dans un certain ordre et prend le premier fichier du nom recherché qu’il trouve. La lecture par défaut est la suivante :

- squelettes
- plugin B dépendant du plugin A
- plugin A
- squelettes-dist
- prive
- ecrire
- .

Il faut bien comprendre que si un squelette quelconque de cette arborescence n’est pas "désactivé" (ou surchargé par un squelette du même nom et vide), il est appelable directement dans l’url.

Vérifiez surtout le contenu du fichier robots.txt généré par spip (?page=robots.txt) ainsi que le fichier sitemap.xml (généré par ?page=sitemap.xml). Comme tout squelette SPIP, il vous est possible de les surcharger dans votre squelette (sitemap.xml.html et robots.txt.html).

Si des pages ont été indexées par erreur, vous pouvez en demander le retrait.

Enfin, évitez de laisser actifs des plugins que vous n’utilisez pas.

7. Être rigoureux dans l’écriture des squelettes

Le plus important concernant la sécurité de votre site SPIP se situe au niveau de l’écriture des squelettes. Nous avons vu précédemment qu’une bonne pratique consiste à empêcher l’accès aux squelettes. Toutefois voici quelques règles simples qui vous éviteront beaucoup de déconvenues !

Le point essentiel est d’éviter autant que possible l’utilisation de code PHP dans les squelettes, car on augmente significativement les risques d’injection de code arbitraire !

enfin la comme on utilise le squelette "Escal", a part être vigilant et remonté les remarques éventuelles sur la page contact d’Escal

8. Réaliser un audit régulier

Forcez-vous à réaliser ou faire réaliser régulièrement un audit de votre site, c’est une bonne manière de remonter des vulnérabilités avant qu’elles ne soient exploitées par d’autres.

La peur n’évite pas le danger ,
le danger peut engendrer la paranoïa ,
la paranoïa est source de peur.

Forum
Répondre à cet article
Site réalisé sous SPIP
avec le squelette ESCAL 4.0.84