PluXml.org

Blog ou CMS à l'Xml

Vous êtes ici : accueil » article » 5 règles pour sécuriser PluXml

25juil2011

5 règles pour sécuriser PluXml

Classé dans : Tutoriaux, Sécurité

Toujours soucieux de protéger au mieux les données de votre site, voici 5 règles à faire ou à vérifier après l'installation ou la mise à jour de PluXml.

1. Supprimer le fichier install.php à la racine du site après une installation ou une mise à jour de PluXml.

2. Supprimer le dossier /update après une installation ou une mise à jour de PluXml.

3. Pour les versions 5.1.0 à 5.1.1 de PluXml, supprimer le fichier changelog.txt à la racine du site. Ce fichier ne fait plus parti de PluXml depuis la version 5.1.2, car il peut donner des indications à des personnes malveillantes (notamment sur la version de PluXml utilisée), si on tape directement dans un navigateur le lien du fichier pour visualiser son contenu.

4. Dans le lien pour accéder à la zone d'administration du site à partir de la page d'accueil, généralement situé dans le bas de la page (fichier footer.php du thème), spécifier rel="nofollow" de cette façon: ou si vous n'avez pas un thème multi-langues: L'attribut nofollow permet de donner l'instruction suivante aux moteurs de recherche "ne suivez pas ce lien spécifique".

5. Pour empêcher de lister le contenu d'un dossier en tapant son url dans un navigateur, créer dans le dossier un fichier .htaccess et ajouter dedans la ligne suivante:

Options -Indexes

Attention certains hébergeurs réagissent mal avec cette instruction et provoquent des erreurs empêchant l'éxecution normale de PluXml.
Une alternative est de créer à la place du fichier .htaccess un fichier index.html vide, avec aucune ligne dedans.

Voilà donc 5 règles toutes simples pour protéger votre site.
Alors n'hésitez pas...

#1 lundi 25 juillet 2011 @ 23:17 antistress a dit :

Il faut préciser que le fichier .htaccess est propre à certains serveurs web si j'ai bien suivi...

#2 mardi 26 juillet 2011 @ 17:49 Tomek a dit :

Ne serait-il pas judicieux comme sur d'autres cms de préciser via une notification dans l'admin après toute install ou mise à jour d'effacer le dossier update et le fichier install.php ?

#3 dimanche 31 juillet 2011 @ 03:40 Tati a dit :

Le fichier "version" aussi devrait être supprimé non? Information très utile pour un attanquant je pense.

En parlant sécurité, je suis tombé sur cet article: http://web-site-creation.org/agence/article4/audit-de-la-plateforme-pluxml-5-x
pluxml est-il toujours vulnérable?

(Merci pour ce merveilleux outil qu'est pluxml!)

#4 lundi 01 août 2011 @ 20:41 Stéphane a dit :

@Tati :
Le fichier version est protéger par le fichier .htaccess à la racine qui empêche de lister son contenu, donc inutile de le supprimer.

L'article est obsolète depuis la version de la 5.1.2

#5 vendredi 05 août 2011 @ 13:07 Zobiman a dit :

@Stéphane,

A condition d'être uniquement sur un serveur apache, moi qui suis sur Nginx ....

#6 vendredi 05 août 2011 @ 14:03 Stéphane a dit :

@Zobiman :

Effectivement. Mais il doit bien avoir une solution similaire au htaccess sous Nginx. Cela demande de connaitre et de maîtriser son fonctionnement.
Je me demande si l'on ne va pas préciser dans les pré-requis qu'il faut Apache, pour éviter des surprises à certains utilisateurs.

#7 vendredi 05 août 2011 @ 14:35 Tati a dit :

J'utilise également Nginx, j'ai adapté les règles et cela ne pose pas de problème particulier.

Je voulais surtout savoir quelles sont les parties de pluxml à protéger.

En cherchant sur le wiki, un début de réponse se trouve ici:
http://wiki.pluxml.org/index.php?page=Utiliser+l%27URL+Rewriting+avec+Nginx

#8 dimanche 07 août 2011 @ 09:58 bankai a dit :

Merci pour les règles, cela sécurisera encore plus nos blog.

#9 vendredi 19 octobre 2012 @ 18:50 cyrille a dit :

Bonjour et merci pour Pluxml.
J'avoue que je n'ai pas bien compris le point n°4.
Est-il toujours d'actualité ?

#10 vendredi 19 octobre 2012 @ 20:04 Stéphane a dit :

@cyrille :
Bonjour
Si tu as un lien sur la page d'accueil de ton site (dans le footer par ex) pour accéder à la zone d'admin, il est conseillé d'ajouter rel="nofollow" dans la balise a pour que le lien ne soit pas référencé par les moteurs de recherche. C'est d'actualité si dans ton thème ce n'est pas fait.

#11 samedi 20 octobre 2012 @ 12:38 cyrille a dit :

Merci Stéphane, j'ai compris.
Bonne continuation à toute l'équipe.

Les commentaires sont fermés.