[Résolu] "Mot de passe oublié" depuis mars 2023. Réglé ?

marey · Septembre 10, 2025, 10:10

Bonjour à tous.

Il y a eu en mars 2023 des attaques sévères sur le spip via le formulaire de connexion. Pour contrer cela, nous avons installé une règle dans la conf apache.

    <IfModule mod_rewrite.c>
            RewriteEngine On
            RewriteCond %{QUERY_STRING} ^.*page\=spip_pass.* [NC]
            RewriteRule .* - [F,L]
    </IfModule>

Cependant, sur mes sites, cela empêche d’utiliser le « mot de passe oublié » et m’oblige à expédier les login/passwd par mail… Pas classe.

Depuis le temps, pensez-vous que l’on puisse enlever cette règle ?

Merci à vous.

Jack31 · Septembre 10, 2025, 12:06

Si la question est « est-ce qu’il y a des failles de sécurité connues et exploitées dans SPIP aujourd’hui ? » la réponse est non.

marey · Septembre 10, 2025, 12:20

Merci Jack31.

Je vais lever la règle pour voir.

Si d’autres personnes ont des informations, je suis preneur.

Cordialement.

choucas · Septembre 10, 2025, 12:59

Bonjour,

Je préciserais « à condition d’avoir un spip à jour » car la façon dont question est posée sous entend que marey attend que cela soit réglé avant de mettre à jour.

A part l’information fournie par jack31 que voulez vous qu’on ait comme information supplémentaire ?
Ah si :
si ce n’est déjà fait, mettez votre spip à jour, comme pour n’importe quel autre logiciel :
C’est la base de la sécurité
Clt

marey · Septembre 15, 2025, 1:31

Merci à tous et bonne journée.