J’avais totalement oublié que j’avais un site SPIP chez free. À première vue il marche bien. Je me connecte au privé et y découvre qu’il est en SPIP 2.1.30.
L’examen FTP révèle qu’il a été piraté et que des fichiers PHP ont été déposés à la racine : ces fichiers permettent l’eval de scripts passés en argument d’url. Fort heureusement, je ne vois aucun impact sur le site public.
J’installe le spip_loader.php à jour (transfert binaire). Il se lance mais n’affiche rien et échoue après 30s en err 500.
Une recherche dans les discussions de discuter.spip me ramène une référence en 2023 à free.fr : Mise à jour de spip en local avec spip_loader - #3 par stephane_spipfactory , qui indique que spip marche sur free jusqu’à la 3.2.5 et pas après.
Est-ce que l’état de l’art spipien sur free.fr, c’est donc la 3.2.5 ? Ou bien on peut faire tourner une 4.0 ? Une 4.1 ?
Et concernant spip_loader, qu’en est il ?
Globalement qu’est ce qu’on peut faire au mieux avec SPIP actuellement sur free.fr ?
Une vulnérabilité a été découverte dans SPIP. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
SYSTÈMES AFFECTÉS
SPIP versions 4.2.x antérieures à 4.2.1
SPIP versions 4.1.x antérieures à 4.1.8
SPIP versions 4.0.x antérieures à 4.0.10
SPIP versions 3.2.x antérieures à 3.2.18
Seules les branches 4.2.x et 4.1.x sont encore maintenues. Les branches 4.0.x et 3.2.x ont reçu un correctif de sécurité à titre exceptionnel car elles sont en fin de vie depuis le 23 février 2023.
Les versions 4.2.2, 4.1.9, 4.0.11 et 3.2.19 ont été publiées le 28 févier 2023 pour corriger un problème induit par la mise à jour de sécurité
et il y avais trop de limite de SPIP sur les pages perso de Free
Les conditions d’utilisation du service pages perso de Free imposent par défaut les limitations suivantes :
-* interdiction d’utiliser le système de statistiques interne à SPIP
-* pas de syndication RSS entrante
-* pas de réécriture d’URL dans le .htaccess, donc pas d’URL propre
-* SPIP_Loader ne pourra pas non plus être utilisé
-* La fonction d’installation automatique de plugins ne marchera pas
-* envois de newsletters de SPIP non plus
-* Plugins qui interroge une bdd extérieur
…
en bref on peu rien sortir de son site et on peu rien rentré pour interrogation
ceci étant , je connais encore bien des sites sous spip chez free.fr mais sont il piraté ou pas que nenni.
Il y a tellement de limitations sur free que possiblement c’est pour cela que les hackeurs ne s’acharnent pas… notamment ça doit perdre de d’intérêt s’ils ne peuvent pas accéder à des ressources externes.
Plutôt que tenter une maintenance SPIPienne en PHP 5.6, je vais plutôt aspirer le site et mettre à la place la version aspirée en HTLM statique… Comme aspirateur, je connais httrack. Y aurait il d’autres outils qui facilitent l’aspiration puis la re-mise en place des fichiers statiques ? (sur linux)
J’ai fait avec webhttrack et pu réinstaller les fichiers html et autres.
Puis j’ai corrigé le html pour retirer les formulaires de contact et de recherche et quelques traces de spip.php qui restaient (vers le backend, vers l’espace privé, …)
Un conseil si vous devez faire la même : éditez les squelettes pour retirer tout ce qui ne doit pas apparaître dans la version statique AVANT de faire l’aspiration, car c’est plus simple d’éditer un squelette SPIP plutôt que du HTML multi-généré.
