Idiomas del sitio : [ar] [bg] [ca] [cpf] [cs] [da] [de] [en] [eo] [es] [eu] [fa] [fon] [fr] [gl] [id] [it] [ja] [lb] [nl] [oc] [pl] [pt] [ro] [sv] [tr] [vi] [zh]

Descargar la última versión

SPIP 1.9.2

Portada del sitio > Documentación en español > Guía de la webmestre y el tocalotodo SPIP > Seguridad: SPIP e IIS

Seguridad: SPIP e IIS

Impedir el acceso a los datos confidenciales de SPIP bajo Microsoft IIS

Septiembre de 2004 — actualizado : Junio de 2005

Todas las versiones de este artículo:

[ca]
[fr]
[it]

Seguridad por omisión de SPIP

En SPIP existen dos carpetas «sensibles», que son CACHE y ecrire/data. La primera contiene todos los archivos que utiliza la cache para acelerar la visualización de las páginas, luego es de mediana sensibilidad; pero la segunda almacena los registros de actividad de SPIP (los spip.log) y sobre todo permite crear dump.xml, el archivo de respaldo de la base de datos.

El valioso archivo dump.xml contiene datos muy sensibles: en particular se pueden ver todos los artículos, incluso los que no se han publicado en el sitio web, sin contar que igualmente lista los identificadores y contraseñas [1] de los redactores y administradores del sitio.

La seguridad de todos estos archivos tradicionalmente se asegura mediante unos archivos de configuración de acceso llamados .htaccess. SPIP genera estos archivos automáticamente para impedir el acceso a los datos sensibles almacenados en el servidor: se puede comprobar que las carpetas CACHE y ecrire/data contienen cada una un archivo .htaccess. Por desgracia, estos archivos funcionan bajo Apache (el servidor Web libre que mueve la mayoría de los sitios Web de Internet) pero no bajo IIS (Internet Information Services, el servidor Web de Microsoft).

Proteger sus datos bajo IIS: un paso más

Si el sitio SPIP está instalado en un IIS, cualquiera podrá ver las carpetas que se hayan asegurado por medio de archivos .htaccess: por lo tanto, es necesario protegerlas.

Para proteger una carpeta del sitio web: ir al panel de administración del servidor Web, hacer clic con el botón derecho sobre la carpeta deseada, pulsar en «propiedades», y en la pestaña «Directorio» desmarcar la casilla «Leer».

Panel de propiedades de la carpeta /ecrire/data/

Hace falta realizar esta operación en cada una de las dos carpetas CACHE y ecrire/data. Si se ha hecho bien, no debería ser posible el acceso a los archivos de estas carpetas a través del servidor web. Se puede comprobar la configuración intentando abrir http://www.tu-sitio.com/ecrire/data/spip.log con el navegador. Se debería obtener un mensaje de tipo « Acceso denegado ».

Notas

[1] Las contraseñas son cifradas por SPIP; pero hay que tener muy presente que ninguna protección es inviolable.

Ver el esqueleto de esta página Sitio desarrollado con SPIP | Espacio de los y las traductoras | Espacio privado