Seguretat: SPIP i IIS

Impedir l’accés a les dades confidencials de l’SPIP sota Microsoft IIS

Aquest article us afecta si la màquina que us allotja no utilitza Apache, el servidor Web més generalitzat, sinó que fa servir el programari Microsoft IIS.

Seguretat per defecte de l’SPIP

A l’SPIP hi ha dues carpetes «sensibles» que són CACHE i ecrire/data. La primera conté tots els fitxers que fa servir la vostra memòria cau per accelerar la visualització de les pàgines, és per tant mitjanament sensible. La segona emmagatzema els registres d’activitat de l’SPIP (els spip.log) i ens permet sobretot crear dump.xml, el fitxer de protecció de la base de dades.

El valuós fitxer dump.xml conté dades molt sensibles: en particular s’hi poden trobar tots els articles, fins i tot aquells que no s’han publicat al lloc Web, i també els identificadors i les contrasenyes [1] dels redactors i els administradors del lloc Web.

La seguretat de tots aquests fitxers s’assegura tradicionalment mitjançant els fitxers de configuració d’accés anomenats .htaccess. L’SPIP genera automàticament aquests fitxers per impedir l’accés a les dades sensibles emmagatzemades al servidor: podeu verificar que les carpetes CACHE i ecrire/data contenen cadascuna d’elles un fitxer .htaccess. Dissortadament, aquests fitxers funcionen sota Apache (el servidor Web lliure que mou la majoria de llocs Web d’Internet) però no sota IIS (Internet Information Services, el servidor Web de Microsoft).

Protegir les seves dades sota IIS: una etapa més

Si el vostre lloc Web està instal·lat sota un IIS, qualsevol persona pot veure les carpetes que s’han assegurat per mitjà de fitxers .htaccess: per tant, els haurem de protegir.

Per protegir una carpeta del vostre lloc Web: aneu al pannell d’administració del vostre servidor Web, feu un clic amb el botó dret damunt la carpeta que vulgueu, feu un clic damunt de «Propietats», i a la pestanya «Directori» desmarqueu la casella «Llegir».

Pannell de propietats de la carpeta /ecrire/data/
N’hi a prou en desmarcar la casella "Llegir" per a protegir la carpeta exactament com ho fa Apache amb els fitxers .htaccess

Heu de fer aquesta operació a cadascuna de les dues carpetes CACHE i ecrire/data. Si ho heu fet bé, no hauríeu de poder accedir als fitxers d’aquestes carpetes per mitjà del servidor Web. Verifiqueu la vostra configuració obrint http://www.elvostrelloc.com/ecrire/data/spip.log en el vostre navegador. Hauríeu d’obtenir un missatge del tipus «Accés denegat».

Notes

[1Les contrasenyes són xifrades per l’SPIP, però tingueu ben clar que cap protecció no és inviolable.

Autor merce Publié le : Mis à jour : 26/10/12

Traductions : català, English, Español, français, italiano