Seguridad: SPIP e IIS

Impedir el acceso a los datos confidenciales de SPIP bajo Microsoft IIS

Este artículo afecta a quienes tengan su sitio web alojado en una máquina que no utilice Apache, el servidor Web más extendido, sino el software IIS de Microsoft.

Seguridad por omisión de SPIP

En SPIP existen dos carpetas «sensibles», que son CACHE y ecrire/data. La primera contiene todos los archivos que utiliza la cache para acelerar la visualización de las páginas, luego es de mediana sensibilidad; pero la segunda almacena los registros de actividad de SPIP (los spip.log) y sobre todo permite crear dump.xml, el archivo de respaldo de la base de datos.

El valioso archivo dump.xml contiene datos muy sensibles: en particular se pueden ver todos los artículos, incluso los que no se han publicado en el sitio web, sin contar que igualmente lista los identificadores y contraseñas [1] de los redactores y administradores del sitio.

La seguridad de todos estos archivos tradicionalmente se asegura mediante unos archivos de configuración de acceso llamados .htaccess. SPIP genera estos archivos automáticamente para impedir el acceso a los datos sensibles almacenados en el servidor: se puede comprobar que las carpetas CACHE y ecrire/data contienen cada una un archivo .htaccess. Por desgracia, estos archivos funcionan bajo Apache (el servidor Web libre que mueve la mayoría de los sitios Web de Internet) pero no bajo IIS (Internet Information Services, el servidor Web de Microsoft).

Proteger sus datos bajo IIS: un paso más

Si el sitio SPIP está instalado en un IIS, cualquiera podrá ver las carpetas que se hayan asegurado por medio de archivos .htaccess: por lo tanto, es necesario protegerlas.

Para proteger una carpeta del sitio web: ir al panel de administración del servidor Web, hacer clic con el botón derecho sobre la carpeta deseada, pulsar en «propiedades», y en la pestaña «Directorio» desmarcar la casilla «Leer».

Panel de propiedades de la carpeta /ecrire/data/
Basta con desmarcar la casilla "Leer" para proteger la carpeta exactamente igual que hace Apache con los ficheros .htaccess

Hace falta realizar esta operación en cada una de las dos carpetas CACHE y ecrire/data. Si se ha hecho bien, no debería ser posible el acceso a los archivos de estas carpetas a través del servidor web. Se puede comprobar la configuración intentando abrir http://www.tu-sitio.com/ecrire/data/spip.log con el navegador. Se debería obtener un mensaje de tipo « Acceso denegado ».

Notas

[1Las contraseñas son cifradas por SPIP; pero hay que tener muy presente que ninguna protección es inviolable.

Autor o autora Xuacu Publicado el: Actualizado: 26/10/12

Traducciones: català, English, Español, français, italiano