Sortie de PluXml 5.1.5

Written by Stephane 3 comments
La découverte d'une faille de sécurité nous oblige à sortir peu de temps après la 5.1.4 cette mise à jour.
Elle concerne des installations de PluXml sur des sous domaines, ou de plusieurs installations sur un même domaine mais dans dossiers différents.
Ainsi un utilisateur connecté à son panel d'administration a la possibilité d’accéder à l'administration d'un autre site.

Il est donc très fortement conseillé et recommandé de mettre à jour vos ou votre PluXml.

Merci à Rohirrim pour nous avoir remonté le problème.

5 règles pour sécuriser PluXml

Written by Haruka 11 comments

Toujours soucieux de protéger au mieux les données de votre site, voici 5 règles à faire ou à vérifier après l'installation ou la mise à jour de PluXml.

1. Supprimer le fichier install.php à la racine du site après une installation ou une mise à jour de PluXml.

2. Supprimer le dossier /update après une installation ou une mise à jour de PluXml.

3. Pour les versions 5.1.0 à 5.1.1 de PluXml, supprimer le fichier changelog.txt à la racine du site. Ce fichier ne fait plus parti de PluXml depuis la version 5.1.2, car il peut donner des indications à des personnes malveillantes (notamment sur la version de PluXml utilisée), si on tape directement dans un navigateur le lien du fichier pour visualiser son contenu.

4. Dans le lien pour accéder à la zone d'administration du site à partir de la page d'accueil, généralement situé dans le bas de la page (fichier footer.php du thème), spécifier rel="nofollow" de cette façon: ou si vous n'avez pas un thème multi-langues: L'attribut nofollow permet de donner l'instruction suivante aux moteurs de recherche "ne suivez pas ce lien spécifique".

5. Pour empêcher de lister le contenu d'un dossier en tapant son url dans un navigateur, créer dans le dossier un fichier .htaccess et ajouter dedans la ligne suivante:

Options -Indexes

Attention certains hébergeurs réagissent mal avec cette instruction et provoquent des erreurs empêchant l'éxecution normale de PluXml.
Une alternative est de créer à la place du fichier .htaccess un fichier index.html vide, avec aucune ligne dedans.

Voilà donc 5 règles toutes simples pour protéger votre site.
Alors n'hésitez pas...

Rss feed of the category