Sécurité
Dimanche 7 février 2021, par Documentation
//Le répertoire squelettes à la racine de SPIP n’a aucunement besoin d’être accessible depuis le serveur web. Seuls les documents contenus dans le sous-répertoire img doivent l’être.
Cette remarque n’est de loin pas anodine puisque très souvent, lorsqu’il y a des traitements complexes à faire, ceux-ci sont en partie menés dans les squelettes. Il est alors possible de connaître les intitulés des formulaires, le cas échéant les variables de session cachées, les plugins utilisés et de conduire des attaques ciblées.
Ce site internet fonctionne sur un serveur Apache 2 dont la configuration est la suivante :
<VirtualHost *:443>
ServerName multiflex.systella.fr
DocumentRoot /var/www/multiflex
<Directory /var/www/multiflex>
Options -Indexes +FollowSymLinks +MultiViews
AllowOverride All
Require all granted
Order allow,deny
Allow from all
</Directory>
<Directory /var/www/multiflex/squelettes>
AllowOverride All
Require all denied
</Directory>
<Directory /var/www/multiflex/squelettes/img>
AllowOverride All
Require all granted
</Directory>
...
</VirtualHost>