Pour la Nième fois depuis cet été, je viens de me faire pirater mes sites SPIP.
Il semble que la faille viendrait de droits d'accès un peu larges sur certaines répertoires et/ou fichiers.
Pourtant je fais attention.
J'ai constaté qu'en installant des plugins, ou en ré-installant SPIP, certains droits d'accès sont étendus.
Peut-être qu'il s'agit d'un problème de configuration de mon client FTP ? Je ne sais pas.
Il m'arrive aussi d'étendre les droits sur certains répertoires, pour faire des essais.
Il est posssible aussi que j'oublie de remettre les bons droits ?
De plus, j'ai bien du mal à savoir quels sont les droits minimum à donner à chaque répertoire ?
Je n'ai pas trouvé d'infos là-dessus.
Quoi qu'il en soit, il est finalement trop facile d'ouvrir des failles sans s'en rendre compte.
Je me demandais si un plugin effectuant ces vérifications de droits min (pour que spip fonctionne) et max (pour éviter les piratages) périodiquement ne serait pas une solution ?
C'est une bonne idée mais ça aurait plus de place sur la liste spip-zone, du coup.
Quoique, c'est un plugin qui pourrait être en extension.
Sinon pour l'idée elle-même, c'est ce que fait Drupal régulièrement, pas juste à l'installation quoi. Quand il y a un problème ya une grosse alerte rouge "Il y a des problèmes de sécurité, etc.".
te serait-il possible de faire remonter le maximum d'infos
concernant ces "failles potentielles possiblement dues
à des ouvertures de droits" sur la liste
spip-team <at> rezo.net
s'il te plait ?
Pour la Nième fois depuis cet été, je viens de me faire pirater mes
sites SPIP.
Il semble que la faille viendrait de droits d'accès un peu larges sur
certaines répertoires et/ou fichiers.
Pourtant je fais attention.
[...]
Quoi qu'il en soit, il est finalement trop facile d'ouvrir des failles
sans s'en rendre compte.
Il paraît très improbable que le simple fait d'avoir des répertoires avec des droits "un peu larges" soit la cause du piratage de tes sites!
Alors à moins que tu n'ait des exemples *précis* et documentés (par des logs par ex), tu devrais plutôt dire: "mon site/serveur est piraté, et comme j'ai des mis des droits un peu larges sur les répertoires SPIP l'attaquant a pu les modifier"
Ca évitera que les lecteurs de cette liste aient le sentiment (totalement injustifié!) que la sécurité de SPIP ne repose que sur le réglage des droits des répertoires.
Halte aux "il semble" non documentés, amalgames et autres "bruits qui courent": la gestion des questions concernant la sécurité ne supporte pas les approximations.
En même temps, le totalement injustifié ici est aussi non documenté. J'ai du
patcher le paquet debian pour être sur que les plugins installés
automatiquement ne soient pas en 755 par défaut.
Certes, oui, les droits des fichiers n'ouvrent pas un accès au serveur, mais
ils facilitent clairement une attaque.
Romain
PS: je suis au courant des contraintes relatives aux sites herbés chez des
pretataires concernant les droits des fichiers et je comprend qu'il est difficile
de satisfaire tous les cas de figure. Seulement, le problème des droits de
fichiers a deja été soulevés (par moi en part.).
PPS: Je me souviens aussi qu'on m'avait demandé si je pouvais produire un
patch. Pas eu le temps, malheureusement.
