L’attaque récente a concerné des sites sous SPIP, les précédentes concernaient d’autres CMS.
Pourquoi mettre à jour ?
Pour tout CMS, la question n’est pas de savoir s’il existe des failles. Il y en a. Réparer ces failles est un ouvrage à remettre sur le métier à chaque découverte.
Depuis quelques années, des outils automatisant les tests d’intrusion ont été mis au point et ils ont gagné en popularité. Il s’agit de logiciels qui permettent de tester de manière rapide et automatisée la présence de failles sur votre site. Bien entendu, des personnes mal intentionnées peuvent aussi utiliser ces outils et du coup, profiter de failles pour prendre le contrôle de sites qui ne leur appartiennent pas. C’est mal.
Pour les en empêcher, la meilleure chose à faire est donc de mettre votre SPIP à jour régulièrement.
Mettre à jour, c’est risqué ?
Les mises à jour dans une branche donnée (la 2.0 ou la 2.1 ou la 3.0) ne cassent pas la compatibilité avec vos plugins et squelettes. Si vous avez codé votre site dans les règles de l’art spipien, ces mises à jour n’entraînent pas d’effet de bord. Et sinon, nous vous disons lesquels et la manière de vous en prémunir.
Se tenir informé•e des mises à jour
La liste spip-ann sert principalement à cela. Un courriel est envoyé aux personnes abonnées à chaque publication d’une nouvelle version de SPIP. Nous publions aussi le contenu de ce courriel sur ce blog et sur SPIP-Contrib.
Comment mettre à jour ?
SPIP dispose de longue date d’un outil qui permet, sur la plupart des hébergements, de mettre à jour en moins de deux minutes.
Le « spip_loader » est disponible ici : http://www.spip.net/fr_download#spi...
Attention, lisez bien les instructions pour ne pas être surpris•e par un passage non voulu de SPIP 2 à SPIP 3 !
Par sécurité, faites une sauvegarde de votre site avant la mise à jour (vous pourriez en faire plus souvent, selon le dynamisme de la publication...).
Ensuite, utilisez spip_loader.
Faites les mises à jour.
L’équipe SPIP
Messages
5 août 2014, 09:17, par RastaPopoulos
Bon, et maintenant que cette mise au point est publiée, ne faudrait-il pas contacter les quelques sites de médias ayant formulé de manière trop floue « profitant de failles de SPIP », afin qu’ils corrigent leur article sur le méchant bonhomme ? Par exemple en leur proposant « profitant de sites sous SPIP n’étant pas à jour » ?
5 août 2014, 09:59, par Maïeul
@Rastapopoulos Ho que oui !
8 août 2014, 14:06, par Loiseau2nuit
C’est les vacances, il pleut, les script kiddies s’emmerdent... C’était Wordpress il y a quelques semaines.
Non par contre, pour quelqu’un qui s’intéresse un peu à la sécurité de ses sites, j’ai quelques outils aussi mais je ne sais vraiment pas m’en servir et je ne sais pas trop avec qui je peux en discuter dans la communauté en fait ... ???
8 août 2014, 14:10, par b_b
Hop, comme on l’indique dans chaque annonce de release :
Maintenant tu sais à qui écrire si tu as des infos au sujet de la sécu ;)
9 août 2014, 20:31, par Bruno
Une fois de plus, l’imprécision et l’incompétence des journaleux français me fait monter l’adrénaline.
C’est valable pour n’importe quel sujet un peu « technique ».
Un truc que l’on devrait enseigner dans les écoles de journalistes. « Recouper l’information » ne signifie pas la réduire.
13 septembre 2014, 10:05, par g0uZ
Loiseau2nuit hésite pas à venir en discuter ;-)
21 septembre 2014, 17:55, par Micheline
Bonjour,
Sisyphe.org, fonctionnant depuis 13 ans avec spip, est parmi les sites piratés et nous avons de la difficulté à trouver quelqu’un connaissant bien spip et capable de solutionner notre problème. Nous ne connaissons pas la technique, nous avions quelqu’un qui s’en chargeait mais que nous ne pouvons joindre. Si vous avez des idées sur des gens fiables qui feraient ce travail en collaboration avec nous (c’est-à-dire en nous expliquant d’où vient le problème et ce qu’il fait pour le solutionner), nous vous serions reconnaissants. sisyphe.info@yahoo.fr
Micheline
14 novembre 2014, 19:08, par pboulerie
En réponse à Micheline,
voici déjà une lecture utile :
« SPIP hacké, que faire ? »
http://contrib.spip.net/SPIP-hacke-que-faire
7 mars 2015, 18:33, par Bertrand
Bonjour,
Disons que mon site est en version 2.1.12 avec la dernière version de l’écran de sécurité, faut-il tout de même faire la mise à jour vers la dernière version Spip de la branche (la 2.1.26 actuellement) ?
9 mai 2017, 18:08, par Suske
Hello,
Je sais que je réveille un vieux forum mais bon : j’ai envie de l’écrire partout.
La documentation sur l’écran de sécurité stipule :
Même si la doc est confiante dans l’écran de sécurité, elle souligne bien « en attendant » ou « ça laisse le temps ». Pourquoi ? Parce qu’il y a aussi des bugs et parfois ceux-ci peuvent être graves ou avoir des conséquences potentiellement graves. Et puis l’écran est une vraie protection mais un code corrigé en offre une deuxième.
Il faut rappeler que les sites développés ou intégrés proprement ne risquent que très peu de casser si vous restez dans la même branche. Les DEV font tout ce qu’il faut pour ça.
Cordialement,
Suske