La première sécurisation porte sur la gestion et l’enregistrement des mots de passe nécessaires aux auteurs : bien sûr, ceux-ci sont enregistrés de façon haschée et salée, ce qui signifie [2] que le mot de passe n’est pas géré en clair (texte dactylographié), mais encodé par une fonction (MD5 et maintenant SHA), avec en plus l’apport d’un grain de sel aléatoire, qui interdit le décodage direct.
Par ailleurs, SPIP propose un système de récupération de son accès privé par l’intermédiaire du mail déclaré à chaque auteur, ce qui reporte la sensibilité d’accès sur ce dernier.
Parmi les failles de sécurité courantes sur le Web, la défiguration est l’une des plus visibles en termes de communication et de buzz, et mise en évidence par le CERTA [3].
En plus de mises-à-jour du core fréquentes [4], SPIP dispose désormais d’un programme "ecran de securité" pour protéger des failles XSS ; vous trouverez même un plugin CiSEC pour limiter les risques en cas de tentatives répétitives d’intrusion !
Un assez bon gage de sécurité de ce CMS, souvent choisi par des experts, peut s’en déduire quand on s’aperçoit qu’un nombre important de sites de sécurité sont sous SPIP : spyworld-actu.com/..
Mais assez souvent, on constatera une attaque indirecte, c’est-à-dire que ce n’est pas le site lui-même qui est compromis, mais une machine cliente, souvent celle utilisée pour des mises-à-jour, qui se fait voler les accès FTP : voir Des cas..... résolus ! PHP5.
Article publié le 2 mars 2012, et actualisé en février 2019 décideurs .
Répondre à cet article