http://www.pluxml.org/categorie5/securite fr Blog ou Cms à l'Xml ! Sun, 04 Dec 2011 10:38:00 +0000 PluXml http://www.pluxml.org/article58/sortie-de-pluxml-5-1-5 http://www.pluxml.org/article58/sortie-de-pluxml-5-1-5 La d&eacute;couverte d'une faille de s&eacute;curit&eacute; nous oblige &agrave; sortir peu de temps apr&egrave;s la 5.1.4 cette mise à jour.<br /> Elle concerne des installations de PluXml sur des sous domaines, ou de plusieurs installations sur un m&ecirc;me domaine mais dans dossiers diff&eacute;rents. <br /> Ainsi un utilisateur connect&eacute; &agrave; son panel d'administration a la possibilit&eacute; d’acc&eacute;der &agrave; l'administration d'un autre site.<br /><br /> Il est donc tr&egrave;s fortement conseill&eacute; et recommand&eacute; de mettre &agrave; jour vos ou votre PluXml.<br /><br /> Merci &agrave; Rohirrim pour nous avoir remont&eacute; le probl&egrave;me.<strong>Par PluXml.org</strong> Sun, 04 Dec 2011 10:38:00 +0000 Stéphane http://www.pluxml.org/article51/5-regles-pour-securiser-pluxml http://www.pluxml.org/article51/5-regles-pour-securiser-pluxml Toujours soucieux de protéger au mieux les données de votre site, voici 5 règles à faire ou à vérifier après l'installation ou la mise à jour de PluXml. <br /><br /> 1. Supprimer le fichier install.php à la racine du site après une installation ou une mise à jour de PluXml. <br /><br /> 2. Supprimer le dossier /update après une installation ou une mise à jour de PluXml. <br /><br /> 3. Pour les versions 5.1.0 à 5.1.1 de PluXml, supprimer le fichier changelog.txt à la racine du site. Ce fichier ne fait plus parti de PluXml depuis la version 5.1.2, car il peut donner des indications à des personnes malveillantes (notamment sur la version de PluXml utilisée), si on tape directement dans un navigateur le lien du fichier pour visualiser son contenu. <br /><br /> 4. Dans le lien pour accéder à la zone d'administration du site à partir de la page d'accueil, généralement situé dans le bas de la page (fichier footer.php du thème), spécifier rel="nofollow" de cette façon: <script type="syntaxhighlighter" class="brush:php"> <a class="admin" rel="nofollow" href="http://www.pluxml.org/<?php $plxShow->urlRewrite('core/admin/') ?>" title="<?php $plxShow->lang('ADMINISTRATION') ?>"><?php $plxShow->lang('ADMINISTRATION') ?></a> </script> ou si vous n'avez pas un thème multi-langues: <script type="syntaxhighlighter" class="brush:php"> <a class="admin" rel="nofollow" href="http://www.pluxml.org/<?php $plxShow->urlRewrite('core/admin/') ?>" title="Administration">Administration</a> </script> L'attribut nofollow permet de donner l'instruction suivante aux moteurs de recherche "ne suivez pas ce lien spécifique". <br /><br /> 5. Pour empêcher de lister le contenu d'un dossier en tapant son url dans un navigateur, créer dans le dossier un fichier .htaccess et ajouter dedans la ligne suivante: <br /><br /> Options -Indexes <br /><br /> Attention certains hébergeurs réagissent mal avec cette instruction et provoquent des erreurs empêchant l'éxecution normale de PluXml.<br /> Une alternative est de créer à la place du fichier .htaccess un fichier index.html vide, avec aucune ligne dedans. <br /><br /> Voilà donc 5 règles toutes simples pour protéger votre site.<br /> Alors n'hésitez pas...<strong>Par PluXml.org</strong> Mon, 25 Jul 2011 10:36:00 +0000 Stéphane