Spip sur free.fr

JLuc · Novembre 8, 2023, 10:05

J’avais totalement oublié que j’avais un site SPIP chez free. À première vue il marche bien. Je me connecte au privé et y découvre qu’il est en SPIP 2.1.30.

L’examen FTP révèle qu’il a été piraté et que des fichiers PHP ont été déposés à la racine : ces fichiers permettent l’eval de scripts passés en argument d’url. Fort heureusement, je ne vois aucun impact sur le site public.

J’installe le spip_loader.php à jour (transfert binaire). Il se lance mais n’affiche rien et échoue après 30s en err 500.

Une recherche dans les discussions de discuter.spip me ramène une référence en 2023 à free.fr : Mise à jour de spip en local avec spip_loader - #3 par stephane_spipfactory , qui indique que spip marche sur free jusqu’à la 3.2.5 et pas après.
Est-ce que l’état de l’art spipien sur free.fr, c’est donc la 3.2.5 ? Ou bien on peut faire tourner une 4.0 ? Une 4.1 ?
Et concernant spip_loader, qu’en est il ?

Globalement qu’est ce qu’on peut faire au mieux avec SPIP actuellement sur free.fr ?

stephane_spipfactory · Novembre 9, 2023, 7:56

pour info , je n’utilise plus spip sur free.fr

Une vulnérabilité a été découverte dans SPIP. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

SYSTÈMES AFFECTÉS

SPIP versions 4.2.x antérieures à 4.2.1
SPIP versions 4.1.x antérieures à 4.1.8
SPIP versions 4.0.x antérieures à 4.0.10
SPIP versions 3.2.x antérieures à 3.2.18

Seules les branches 4.2.x et 4.1.x sont encore maintenues. Les branches 4.0.x et 3.2.x ont reçu un correctif de sécurité à titre exceptionnel car elles sont en fin de vie depuis le 23 février 2023.

Les versions 4.2.2, 4.1.9, 4.0.11 et 3.2.19 ont été publiées le 28 févier 2023 pour corriger un problème induit par la mise à jour de sécurité

RECOMMANDATIONS

Se référer aux bulletins de sécurité SPIP pour l’obtention des correctifs.

et il y avais trop de limite de SPIP sur les pages perso de Free

Les conditions d’utilisation du service pages perso de Free imposent par défaut les limitations suivantes :

-* interdiction d’utiliser le système de statistiques interne à SPIP
-* pas de syndication RSS entrante
-* pas de réécriture d’URL dans le .htaccess, donc pas d’URL propre
-* SPIP_Loader ne pourra pas non plus être utilisé
-* La fonction d’installation automatique de plugins ne marchera pas
-* envois de newsletters de SPIP non plus
-* Plugins qui interroge une bdd extérieur
…

en bref on peu rien sortir de son site et on peu rien rentré pour interrogation

ceci étant , je connais encore bien des sites sous spip chez free.fr mais sont il piraté ou pas que nenni.

@ plus stéphane de spipfactory

Yannick_boschel · Novembre 9, 2023, 8:11

En clair ne pas rester chez Free !

George · Novembre 9, 2023, 8:38

La version de PHP chez Free est 5.6 donc on peut installer la dernière version de SPIP qui est compatible avec PHP 5.6

Crearts · Novembre 9, 2023, 9:37

J’ai 2 sites chez Free qui fonctionnent correctement. Ils sont en SPIP 3.2.19 + écran de sécurité 1.5.0 (ex : Faisons respecter notre accord professionnel - Mobilisation générale ! Les (...) - AgC 3075 [Infos-Interm.] ), en dehors des restriction exposées par stephane_spipfatory, avec une nuance concernant les statistiques internes, se sont surtout les statistiques associées à des images qui sont interdites !
Ou autres exemples : Spip : Intégration d’une bande son automatique avec le plugin (...) - AgC 3075 [Infos-Interm.]

JLuc · Novembre 9, 2023, 11:01

Merci pour ces retours d’expérience.

Il y a tellement de limitations sur free que possiblement c’est pour cela que les hackeurs ne s’acharnent pas… notamment ça doit perdre de d’intérêt s’ils ne peuvent pas accéder à des ressources externes.

Plutôt que tenter une maintenance SPIPienne en PHP 5.6, je vais plutôt aspirer le site et mettre à la place la version aspirée en HTLM statique… Comme aspirateur, je connais httrack. Y aurait il d’autres outils qui facilitent l’aspiration puis la re-mise en place des fichiers statiques ? (sur linux)

RealET · Novembre 9, 2023, 1:52

Il y a aussi Cyotek WebCopy - Copy websites locally for offline browsing • Cyotek qui marche très très bien (via @erational)

JLuc · Novembre 9, 2023, 4:58

Mais webcopy n’est dispo que sur windows !

J’ai fait avec webhttrack et pu réinstaller les fichiers html et autres.
Puis j’ai corrigé le html pour retirer les formulaires de contact et de recherche et quelques traces de spip.php qui restaient (vers le backend, vers l’espace privé, …)

Un conseil si vous devez faire la même : éditez les squelettes pour retirer tout ce qui ne doit pas apparaître dans la version statique AVANT de faire l’aspiration, car c’est plus simple d’éditer un squelette SPIP plutôt que du HTML multi-généré.