5 règles pour sécuriser PluXml

Rédigé par Stephane 20 commentaires
Toujours soucieux de protéger au mieux les données de votre site, voici 5 règles à faire ou à vérifier après l'installation ou la mise à jour de PluXml.

1. Supprimer le fichier install.php à la racine du site après une installation ou une mise à jour de PluXml.

2. Supprimer le dossier /update après une installation ou une mise à jour de PluXml.

3. Pour les versions 5.1.0 à 5.1.1 de PluXml, supprimer le fichier changelog.txt à la racine du site. Ce fichier ne fait plus parti de PluXml depuis la version 5.1.2, car il peut donner des indications à des personnes malveillantes (notamment sur la version de PluXml utilisée), si on tape directement dans un navigateur le lien du fichier pour visualiser son contenu.

4. Dans le lien pour accéder à la zone d'administration du site à partir de la page d'accueil, généralement situé dans le bas de la page (fichier footer.php du thème), spécifier rel="nofollow" de cette façon: ou si vous n'avez pas un thème multi-langues: L'attribut nofollow permet de donner l'instruction suivante aux moteurs de recherche "ne suivez pas ce lien spécifique".

5. Pour empêcher de lister le contenu d'un dossier en tapant son url dans un navigateur, créer dans le dossier un fichier .htaccess et ajouter dedans la ligne suivante:

Options -Indexes

Attention certains hébergeurs réagissent mal avec cette instruction et provoquent des erreurs empêchant l'éxecution normale de PluXml.
Une alternative est de créer à la place du fichier .htaccess un fichier index.html vide, avec aucune ligne dedans.

Voilà donc 5 règles toutes simples pour protéger votre site.
Alors n'hésitez pas...

20 commentaires

#1  - antistress a dit :

Il faut préciser que le fichier .htaccess est propre à certains serveurs web si j'ai bien suivi...

Répondre
#2  - Tomek a dit :

Ne serait-il pas judicieux comme sur d'autres cms de préciser via une notification dans l'admin après toute install ou mise à jour d'effacer le dossier update et le fichier install.php ?

Répondre
#3  - Tati a dit :

Le fichier "version" aussi devrait être supprimé non? Information très utile pour un attanquant je pense.

En parlant sécurité, je suis tombé sur cet article: http://web-site-creation.org/agence/article4/audit-de-la-plateforme-pluxml-5-x
pluxml est-il toujours vulnérable?

(Merci pour ce merveilleux outil qu'est pluxml!)

Répondre
#4  - Stéphane a dit :

@Tati :
Le fichier version est protéger par le fichier .htaccess à la racine qui empêche de lister son contenu, donc inutile de le supprimer.

L'article est obsolète depuis la version de la 5.1.2

Répondre
#5  - Zobiman a dit :

@Stéphane,

A condition d'être uniquement sur un serveur apache, moi qui suis sur Nginx ....

Répondre
#6  - Stéphane a dit :

@Zobiman :

Effectivement. Mais il doit bien avoir une solution similaire au htaccess sous Nginx. Cela demande de connaitre et de maîtriser son fonctionnement.
Je me demande si l'on ne va pas préciser dans les pré-requis qu'il faut Apache, pour éviter des surprises à certains utilisateurs.

Répondre
#7  - Tati a dit :

J'utilise également Nginx, j'ai adapté les règles et cela ne pose pas de problème particulier.

Je voulais surtout savoir quelles sont les parties de pluxml à protéger.

En cherchant sur le wiki, un début de réponse se trouve ici:
http://wiki.pluxml.org/index.php?page=Utiliser+l%27URL+Rewriting+avec+Nginx

Répondre
#8  - bankai a dit :

Merci pour les règles, cela sécurisera encore plus nos blog.

Répondre
#9  - cyrille a dit :

Bonjour et merci pour Pluxml.
J'avoue que je n'ai pas bien compris le point n°4.
Est-il toujours d'actualité ?

Répondre
#10  - Stéphane a dit :

@cyrille :
Bonjour
Si tu as un lien sur la page d'accueil de ton site (dans le footer par ex) pour accéder à la zone d'admin, il est conseillé d'ajouter rel="nofollow" dans la balise a pour que le lien ne soit pas référencé par les moteurs de recherche. C'est d'actualité si dans ton thème ce n'est pas fait.

Répondre
#11  - cyrille a dit :

Merci Stéphane, j'ai compris.
Bonne continuation à toute l'équipe.

Répondre
#12  - Terrance Tome a dit :

Thank you Stephane. Much appreciate. Good luck

Répondre
#13  - Terrance Tome a dit :

Thank you for such thorough blog post I have leaned so much from this blog. Well inspired I truly appreciate your insights

Répondre
#14  - Virtual Accountant a dit :

This is a great article had chills when reading through. Great article

Répondre
#15  - Obey Tatenda a dit :

Thank you for vsharing

Répondre
#16  - kamagra jelly a dit :

Ordonnez que la pharmacie en ligne vous aide a economiser
l'argent et le temps avec un avantage supplementaire d'achat
dans la vie privee dans votre propre zone de confort et
choix des meilleurs produits d'un grand nombre de choix pour la composition semblable.

Répondre
#17  - Kiran Maharana a dit :

These 5 rules for PluXml are essential for maintaining site security. Simple steps can go a long way in safeguarding data.

thanks for the information! https://dissenttimes.com/cybersecurity-best-policies-and-practices/ this article is amazing to find that how cybersecurity helps out.

Répondre
#18  - sildenafil a dit :

You've made some decent points there. I checked on the net for more information about the issue and found
most individuals will go along with your views on this website.

Répondre
#19  - zithromax a dit :

Fantastic beat ! I wish to apprentice at the same time as you amend your website, how could i
subscribe for a blog site? The account helped me a appropriate deal.
I have been tiny bit familiar of this your broadcast offered
shiny transparent concept

Répondre
#20  - kamagra a dit :

Les gens plus vieux le trouvent tellement plus facile sur eux quand ils ne peuvent
pas sortir beaucoup que ces pharmacies leur envoient
directement a leur maison avant le jour suivant.

Répondre

Écrire un commentaire

Quelle est le sixième caractère du mot 1ha7gns ?

Fil RSS des commentaires de cet article