Accueil > Développement > Leçon de Hack et mises à jour de SPIP

Leçon de Hack et mises à jour de SPIP

lundi 4 août 2014, par La team

L’actualité a entraîné la mise en lumière de notre tendre CMS : il y a quelques jours un trublion a attaqué et détourné quelques sites sous SPIP dont le contenu lui déplaisait. Pas cool.
Pas très difficile non plus... Les sites attaqués utilisaient des versions anciennes de SPIP, comportant des failles de sécurité bien connues et corrigées de longue date.
Redisons-le : toute personne chargée de la gestion d’un site SPIP devrait se tenir informée des mises à jour et les appliquer sur son site.

L’attaque récente a concerné des sites sous SPIP, les précédentes concernaient d’autres CMS.

Pourquoi mettre à jour ?

Pour tout CMS, la question n’est pas de savoir s’il existe des failles. Il y en a. Réparer ces failles est un ouvrage à remettre sur le métier à chaque découverte.

Depuis quelques années, des outils automatisant les tests d’intrusion ont été mis au point et ils ont gagné en popularité. Il s’agit de logiciels qui permettent de tester de manière rapide et automatisée la présence de failles sur votre site. Bien entendu, des personnes mal intentionnées peuvent aussi utiliser ces outils et du coup, profiter de failles pour prendre le contrôle de sites qui ne leur appartiennent pas. C’est mal.
Pour les en empêcher, la meilleure chose à faire est donc de mettre votre SPIP à jour régulièrement.

Mettre à jour, c’est risqué ?

Les mises à jour dans une branche donnée (la 2.0 ou la 2.1 ou la 3.0) ne cassent pas la compatibilité avec vos plugins et squelettes. Si vous avez codé votre site dans les règles de l’art spipien, ces mises à jour n’entraînent pas d’effet de bord. Et sinon, nous vous disons lesquels et la manière de vous en prémunir.

Se tenir informé•e des mises à jour

La liste spip-ann sert principalement à cela. Un courriel est envoyé aux personnes abonnées à chaque publication d’une nouvelle version de SPIP. Nous publions aussi le contenu de ce courriel sur ce blog et sur SPIP-Contrib.

Comment mettre à jour ?

SPIP dispose de longue date d’un outil qui permet, sur la plupart des hébergements, de mettre à jour en moins de deux minutes.
Le « spip_loader » est disponible ici : http://www.spip.net/fr_download#spi...
Attention, lisez bien les instructions pour ne pas être surpris•e par un passage non voulu de SPIP 2 à SPIP 3 !

Par sécurité, faites une sauvegarde de votre site avant la mise à jour (vous pourriez en faire plus souvent, selon le dynamisme de la publication...).

Ensuite, utilisez spip_loader.

Faites les mises à jour.

L’équipe SPIP

Messages

  • Bon, et maintenant que cette mise au point est publiée, ne faudrait-il pas contacter les quelques sites de médias ayant formulé de manière trop floue « profitant de failles de SPIP », afin qu’ils corrigent leur article sur le méchant bonhomme ? Par exemple en leur proposant « profitant de sites sous SPIP n’étant pas à jour » ?

  • @Rastapopoulos Ho que oui !

  • C’est les vacances, il pleut, les script kiddies s’emmerdent... C’était Wordpress il y a quelques semaines.

    Non par contre, pour quelqu’un qui s’intéresse un peu à la sécurité de ses sites, j’ai quelques outils aussi mais je ne sais vraiment pas m’en servir et je ne sais pas trop avec qui je peux en discuter dans la communauté en fait ... ???

  • Hop, comme on l’indique dans chaque annonce de release :

    Nous rappelons à toutes et tous que le meilleur moyen pour signaler des failles, ou des suspicions de failles, est d’envoyer un email à spip-team at rezo.net.

    Maintenant tu sais à qui écrire si tu as des infos au sujet de la sécu ;)

  • Une fois de plus, l’imprécision et l’incompétence des journaleux français me fait monter l’adrénaline.

    C’est valable pour n’importe quel sujet un peu « technique ».

    Un truc que l’on devrait enseigner dans les écoles de journalistes. « Recouper l’information » ne signifie pas la réduire.

  • Loiseau2nuit hésite pas à venir en discuter ;-)

  • Bonjour,

    Sisyphe.org, fonctionnant depuis 13 ans avec spip, est parmi les sites piratés et nous avons de la difficulté à trouver quelqu’un connaissant bien spip et capable de solutionner notre problème. Nous ne connaissons pas la technique, nous avions quelqu’un qui s’en chargeait mais que nous ne pouvons joindre. Si vous avez des idées sur des gens fiables qui feraient ce travail en collaboration avec nous (c’est-à-dire en nous expliquant d’où vient le problème et ce qu’il fait pour le solutionner), nous vous serions reconnaissants. sisyphe.info@yahoo.fr

    Micheline

  • En réponse à Micheline,
    voici déjà une lecture utile :
    « SPIP hacké, que faire ? »
    http://contrib.spip.net/SPIP-hacke-que-faire

  • Bonjour,

    Disons que mon site est en version 2.1.12 avec la dernière version de l’écran de sécurité, faut-il tout de même faire la mise à jour vers la dernière version Spip de la branche (la 2.1.26 actuellement) ?

  • Hello,

    Je sais que je réveille un vieux forum mais bon : j’ai envie de l’écrire partout.

    La documentation sur l’écran de sécurité stipule :

    Ce fichier ne se substitue pas a une véritable mise à niveau de votre version de SPIP, mais il peut permettre de bloquer certaines attaques en attendant une migration propre.

    De fait, cet écran peut être activé au niveau du serveur sur l’ensemble des scripts php (SPIP ou pas), et garantit, s’il est à jour, que toutes les failles connues de quelque version de SPIP que ce soit sont impossibles à exploiter. D’où son nom d’« écran » : il se place entre le visiteur et SPIP, et vérifie que le visiteur n’est pas en train d’essayer d’exploiter une attaque connue.

    Lorsqu’une nouvelle faille est découverte, il suffit donc de mettre à jour cet écran pour parer toute attaque via ladite faille ; ça laisse le temps de mettre à jour les scripts SPIP à tête reposée au moment idoine.

    Même si la doc est confiante dans l’écran de sécurité, elle souligne bien « en attendant » ou « ça laisse le temps ». Pourquoi ? Parce qu’il y a aussi des bugs et parfois ceux-ci peuvent être graves ou avoir des conséquences potentiellement graves. Et puis l’écran est une vraie protection mais un code corrigé en offre une deuxième.

    Il faut rappeler que les sites développés ou intégrés proprement ne risquent que très peu de casser si vous restez dans la même branche. Les DEV font tout ce qu’il faut pour ça.

    Cordialement,

    Suske

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.