5 règles pour sécuriser PluXml

Written by Haruka 11 comments

Toujours soucieux de protéger au mieux les données de votre site, voici 5 règles à faire ou à vérifier après l'installation ou la mise à jour de PluXml.

1. Supprimer le fichier install.php à la racine du site après une installation ou une mise à jour de PluXml.

2. Supprimer le dossier /update après une installation ou une mise à jour de PluXml.

3. Pour les versions 5.1.0 à 5.1.1 de PluXml, supprimer le fichier changelog.txt à la racine du site. Ce fichier ne fait plus parti de PluXml depuis la version 5.1.2, car il peut donner des indications à des personnes malveillantes (notamment sur la version de PluXml utilisée), si on tape directement dans un navigateur le lien du fichier pour visualiser son contenu.

4. Dans le lien pour accéder à la zone d'administration du site à partir de la page d'accueil, généralement situé dans le bas de la page (fichier footer.php du thème), spécifier rel="nofollow" de cette façon: ou si vous n'avez pas un thème multi-langues: L'attribut nofollow permet de donner l'instruction suivante aux moteurs de recherche "ne suivez pas ce lien spécifique".

5. Pour empêcher de lister le contenu d'un dossier en tapant son url dans un navigateur, créer dans le dossier un fichier .htaccess et ajouter dedans la ligne suivante:

Options -Indexes

Attention certains hébergeurs réagissent mal avec cette instruction et provoquent des erreurs empêchant l'éxecution normale de PluXml.
Une alternative est de créer à la place du fichier .htaccess un fichier index.html vide, avec aucune ligne dedans.

Voilà donc 5 règles toutes simples pour protéger votre site.
Alors n'hésitez pas...

11 comments

#1  - antistress said :

Il faut préciser que le fichier .htaccess est propre à certains serveurs web si j'ai bien suivi...

#2  - Tomek said :

Ne serait-il pas judicieux comme sur d'autres cms de préciser via une notification dans l'admin après toute install ou mise à jour d'effacer le dossier update et le fichier install.php ?

#3  - Tati said :

Le fichier "version" aussi devrait être supprimé non? Information très utile pour un attanquant je pense.

En parlant sécurité, je suis tombé sur cet article: http://web-site-creation.org/agence/article4/audit-de-la-plateforme-pluxml-5-x
pluxml est-il toujours vulnérable?

(Merci pour ce merveilleux outil qu'est pluxml!)

#4  - Stéphane said :

@Tati :
Le fichier version est protéger par le fichier .htaccess à la racine qui empêche de lister son contenu, donc inutile de le supprimer.

L'article est obsolète depuis la version de la 5.1.2

#5  - Zobiman said :

@Stéphane,

A condition d'être uniquement sur un serveur apache, moi qui suis sur Nginx ....

#6  - Stéphane said :

@Zobiman :

Effectivement. Mais il doit bien avoir une solution similaire au htaccess sous Nginx. Cela demande de connaitre et de maîtriser son fonctionnement.
Je me demande si l'on ne va pas préciser dans les pré-requis qu'il faut Apache, pour éviter des surprises à certains utilisateurs.

#7  - Tati said :

J'utilise également Nginx, j'ai adapté les règles et cela ne pose pas de problème particulier.

Je voulais surtout savoir quelles sont les parties de pluxml à protéger.

En cherchant sur le wiki, un début de réponse se trouve ici:
http://wiki.pluxml.org/index.php?page=Utiliser+l%27URL+Rewriting+avec+Nginx

#8  - bankai said :

Merci pour les règles, cela sécurisera encore plus nos blog.

#9  - cyrille said :

Bonjour et merci pour Pluxml.
J'avoue que je n'ai pas bien compris le point n°4.
Est-il toujours d'actualité ?

#10  - Stéphane said :

@cyrille :
Bonjour
Si tu as un lien sur la page d'accueil de ton site (dans le footer par ex) pour accéder à la zone d'admin, il est conseillé d'ajouter rel="nofollow" dans la balise a pour que le lien ne soit pas référencé par les moteurs de recherche. C'est d'actualité si dans ton thème ce n'est pas fait.

#11  - cyrille said :

Merci Stéphane, j'ai compris.
Bonne continuation à toute l'équipe.

Comments are closed.

Rss feed of the article's comments