Langues du site : [ar] [bg] [ca] [cpf] [cs] [da] [de] [en] [eo] [es] [eu] [fa] [fon] [fr] [gl] [id] [it] [ja] [lb] [nl] [oc] [pl] [pt] [ro] [sv] [tr] [vi] [zh]

Télécharger la dernière version de SPIP

SPIP 1.9.2

Accueil du site > Documentation en français > Webmestres > Guide des fonctions avancées > Autres fonctions avancées > Sécurité : SPIP et IIS

Sécurité : SPIP et IIS

Empêcher l’accès aux données confidentielles de SPIP sous Microsoft IIS

Août 2004 — maj : Décembre 2007

Toutes les versions de cet article :

[ca]
[es]
[it]

Sécurité par défaut de SPIP

Il existe deux dossiers « sensibles » dans SPIP, ce sont CACHE et ecrire/data. Le premier comporte tous les fichiers qu’utilise votre cache pour accélérer l’affichage des pages, il est donc moyennement sensible, mais le deuxième stocke les journaux d’activité de spip (les spip.log) et vous permet notamment de créer dump.xml, le fichier de sauvegarde de la base de données.

Or le fichier dump.xml contient des données très sensibles : en particulier on peut y voir tous les articles, même s’ils ne sont pas rendus publics sur le site, sans compter qu’il liste également les identifiants et les mots de passe [1] des rédacteurs et administrateurs du site.

La sécurité de tous ces fichiers est assurée traditionnellement par des fichiers de configuration d’accès nommés .htaccess. SPIP génère automatiquement ces fichiers pour empêcher l’accès aux données sensibles stockées sur le serveur : vous pouvez vérifier que CACHE et ecrire/data contiennent chacun un fichier .htaccess. Hélas, ces fichiers fonctionnent sous Apache (le serveur Web libre faisant tourner la majorité des sites Web de l’Internet) mais pas sous IIS (Internet Information Services, le serveur Web de Microsoft).

Protéger ses données sous IIS : une étape de plus

Si votre site SPIP est installé sur un IIS, n’importe qui peut donc voir les dossiers censément sécurisés via .htaccess : il faut donc les protéger.

Pour protéger un dossier sur votre site : allez dans le panneau d’administration de votre serveur Web, faites un clic droit sur le dossier concerné, cliquez sur « propriétés », et dans l’onglet « Répertoire » décochez la case « Lire ».


Le panneau de propriétés du dossier /ecrire/data/: Décocher la case "Lire" suffit à protéger le dossier exactement comme le fait Apache avec les fichiers .htaccess

Faites cette opération pour chacun des deux dossiers CACHE et ecrire/data. Si la manipulation est bonne, vous ne devriez plus pouvoir accéder aux fichiers de ces dossiers à travers le serveur web. Testez votre configuration en essayant d’afficher http://www.votresite.com/ecrire/data/spip.log avec votre navigateur. Vous devriez obtenir un message du type « Accès refusé ».

Notes

[1] Les mots de passe sont chiffrés par SPIP, mais gardez bien à l’esprit qu’aucune protection n’est inviolable.

Voir le squelette de cette page Site réalisé avec SPIP | Espace de traduction | Espace privé