Un de mes clients m’a posé tout récemment une question bien innocente pas bigrement essentielle : celle de la sécurité de son site sous Spip. Je vais donc vous faire un topo rapide des risques et des actions préventives pour épargner à votre site web les vilaines maladies contagieuses qui pourraient l’attaquer.
Alors ? Que risque mon site internet ?
Un site reposant sur une base de données est par essence vulnérable. Surtout si l’on n’en prend pas soin. Imaginez que vous ne prêtiez pas attention aux points d’accès de votre maison : volet dégondé, serrure cassée, fenêtre voilée… Autant de portes ouvertes aux individus mal-intentionnés.
Pour votre site dynamique, c’est la même chose : la première règle est de maintenir ses outils à jour : moteur du CMS (Spip ou WordPress) et plugins.
Les développeurs mettent parfois au jour des failles de sécurité dans les codes qui composent votre CMS. Sitôt débusquées, elles sont automatiquement corrigées. Votre job (ou celui de votre webmaster) est donc de mettre à niveau ces outils pour qu’ils bénéficient de la meilleure protection.
Quels sont les risques ?
- Perdre toute ou partie des données,
- Se faire dérober les données personnelles stockées dans votre base de données,
- Laisser l’accès de la partie privée (le back-office) à des personnes non-autorisées,
- Permettre l’insertion de code via les forums ou les formulaires de contact,
- Saturer le serveur avec des requêtes…
Comment savoir si j’ai besoin d’une mise à jour de SPIP ?
En regardant dans le pied de page de votre espace d’administration. Il comporte la version actuellement installée, et en couleur l’éventuelle dernière version disponible.
Le bon rythme : une vérification 4 fois par an, ou plus si votre site est beaucoup visité et très productif.
Que faire alors ?
Rendez-vous sur cette page pour procéder dans les règles de l’art : Effectuer une mise à jour (sur spip.net)
Que faire si je dois agir rapidement ?
J’installe la dernière version de l’écran de sécurité.
Si je ne suis pas développeur ?
Je laisse faire un professionnel : la mise à jour de SPIP peut s’avérer parfois délicate et il est indispensable de prendre les choses par le bon bout.
Et pour les plugins ?
Jetez un coup d’œil dans la section Configuration > Gestion des plugins (ou ajoutez /ecrire/?exec=admin_plugin à la suite de l’url de votre site) : Toutes les extensions qui demandent à être mises à jour sont repérables grâce à une petite icône.
Quelques liens pour être informé des mises à jour disponibles
- Visitez le site officiel spip-contrib.net
- Abonnez-vous à la liste de diffusion spip-ann (annonces importantes)
- Suivez @spip sur twitter
Adopter les bons réflexes
Outre la mise à jour régulière de Spip et des extensions installées sur votre site, il est impératif de :
- Changer régulièrement votre mot de passe de connexion à l’espace d’administration.
Et invitez vos auteurs à en faire de même.
Pensez à choisir un mot de passe complexe et pour cela, suivez mes conseils pour bien choisir votre mot de passe. - Surveiller l’activité sur les forums et formulaires de contact
- Effectuer des sauvegardes régulières de votre base de données et des fichiers présents sur votre serveur.
Utilisez un logiciel FTP pour copier vos fichiers en local, de façon à pouvoir les réinstaller en cas de gros gros problème.
Renseignez-vous auprès de votre hébergeur pour savoir s’il propose la sauvegarde automatique.
Installez l’extension Sauvegarde automatique pour SPIP : il permet d’effectuer une sauvegarde de votre base au format MySQL selon une fréquence que vous déterminez, de la recevoir par mail et de gérer le nombre de versions stockées sur votre serveur.
