Pour le coup de spip_loader, j’y ai cru aussi et j’ai testé mais non.
En fait, il ne nettoie pas les fichiers uploadés qui n’ont rien à y faire.
J’ai pas regardé en détail le code mais on dirait qu’il ne compare que
les fichiers d’une distrib à l’autre.
C’est peut être une piste d’amélioration d’ailleurs, normalement on n’a
pas à mettre ses propres fichiers dans /ecrire et autres dossiers de la
distrib. Mais bon, y’a aussi /lib et /plugins/auto/saisies qui sont
ciblés par le bot, donc intérêt assez relatif.
De mon côté, sur des sites sensibles, je règle les droits d’écriture de
façon un peu stricte.
Apache n’a les droits d’écriture que sur /IMG, /local, /tmp, et
/config/fichiers, et pas plus (même pas /config pour les clés une fois
qu’elles sont générées).
Avec en plus un htaccess qui interdit l’exécution de tout fichier php
dans ces répertoires là.
Et la mise à jour de SPIP et des plugins est faite uniquement par git,
ce qui me permet de faire un git status pour vérifier si rien n’a été
modifié.
Mais ça demande du temps à mettre en place / tester, des compétences, et
un hébergement qui le permet.
Le 11/06/2023 à 19:43, b_b via Discuter de SPIP a écrit :
[b_b] b_b
Juin 11
Ha oui, belle fourberie, une alternative est de lancer un coup de
spip_loader et de laisser son étape de nettoyage faire ménage, et zou.
–
nicod_