5 règles pour sécuriser PluXml

Rédigé par Stephane 11 commentaires
Toujours soucieux de protéger au mieux les données de votre site, voici 5 règles à faire ou à vérifier après l'installation ou la mise à jour de PluXml.

1. Supprimer le fichier install.php à la racine du site après une installation ou une mise à jour de PluXml.

2. Supprimer le dossier /update après une installation ou une mise à jour de PluXml.

3. Pour les versions 5.1.0 à 5.1.1 de PluXml, supprimer le fichier changelog.txt à la racine du site. Ce fichier ne fait plus parti de PluXml depuis la version 5.1.2, car il peut donner des indications à des personnes malveillantes (notamment sur la version de PluXml utilisée), si on tape directement dans un navigateur le lien du fichier pour visualiser son contenu.

4. Dans le lien pour accéder à la zone d'administration du site à partir de la page d'accueil, généralement situé dans le bas de la page (fichier footer.php du thème), spécifier rel="nofollow" de cette façon: ou si vous n'avez pas un thème multi-langues: L'attribut nofollow permet de donner l'instruction suivante aux moteurs de recherche "ne suivez pas ce lien spécifique".

5. Pour empêcher de lister le contenu d'un dossier en tapant son url dans un navigateur, créer dans le dossier un fichier .htaccess et ajouter dedans la ligne suivante:

Options -Indexes

Attention certains hébergeurs réagissent mal avec cette instruction et provoquent des erreurs empêchant l'éxecution normale de PluXml.
Une alternative est de créer à la place du fichier .htaccess un fichier index.html vide, avec aucune ligne dedans.

Voilà donc 5 règles toutes simples pour protéger votre site.
Alors n'hésitez pas...

11 commentaires

#1  - antistress a dit :

Il faut préciser que le fichier .htaccess est propre à certains serveurs web si j'ai bien suivi...

#2  - Tomek a dit :

Ne serait-il pas judicieux comme sur d'autres cms de préciser via une notification dans l'admin après toute install ou mise à jour d'effacer le dossier update et le fichier install.php ?

#3  - Tati a dit :

Le fichier "version" aussi devrait être supprimé non? Information très utile pour un attanquant je pense.

En parlant sécurité, je suis tombé sur cet article: http://web-site-creation.org/agence/audit-de-la-plateforme-pluxml-5-x.html
pluxml est-il toujours vulnérable?

(Merci pour ce merveilleux outil qu'est pluxml!)

#4  - Stéphane a dit :

@Tati :
Le fichier version est protéger par le fichier .htaccess à la racine qui empêche de lister son contenu, donc inutile de le supprimer.

L'article est obsolète depuis la version de la 5.1.2

#5  - Zobiman a dit :

@Stéphane,

A condition d'être uniquement sur un serveur apache, moi qui suis sur Nginx ....

#6  - Stéphane a dit :

@Zobiman :

Effectivement. Mais il doit bien avoir une solution similaire au htaccess sous Nginx. Cela demande de connaitre et de maîtriser son fonctionnement.
Je me demande si l'on ne va pas préciser dans les pré-requis qu'il faut Apache, pour éviter des surprises à certains utilisateurs.

#7  - Tati a dit :

J'utilise également Nginx, j'ai adapté les règles et cela ne pose pas de problème particulier.

Je voulais surtout savoir quelles sont les parties de pluxml à protéger.

En cherchant sur le wiki, un début de réponse se trouve ici:
http://wiki.pluxml.org/index.php?page=Utiliser+l%27URL+Rewriting+avec+Nginx

#8  - bankai a dit :

Merci pour les règles, cela sécurisera encore plus nos blog.

#9  - cyrille a dit :

Bonjour et merci pour Pluxml.
J'avoue que je n'ai pas bien compris le point n°4.
Est-il toujours d'actualité ?

#10  - Stéphane a dit :

@cyrille :
Bonjour
Si tu as un lien sur la page d'accueil de ton site (dans le footer par ex) pour accéder à la zone d'admin, il est conseillé d'ajouter rel="nofollow" dans la balise a pour que le lien ne soit pas référencé par les moteurs de recherche. C'est d'actualité si dans ton thème ce n'est pas fait.

#11  - cyrille a dit :

Merci Stéphane, j'ai compris.
Bonne continuation à toute l'équipe.

Les commentaires sont fermés.

Fil RSS des commentaires de cet article