Le kit pour créer les sites internet des laboratoires du CNRS


Accueil > À la une

PIRATAGE : mettez SPIP à jour régulièrement !

par Equipe web, pverrier - publié le , mis à jour le

PIRATAGE : mettez SPIP à jour régulièrement !

Nous sommes alertés par des piratages de plus en plus fréquents de sites SPIP qui sont en retard de mise à jour. L’objectif des pirates est généralement de défigurer la page d’accueil du site, pour y afficher des revendications.

Nous vous rappelons donc que vous devez impérativement actualiser votre distribution SPIP le plus rapidement possible après la parution d’une mise à jour.

Problème

Il est important de savoir que la plupart des attaques sont réalisées automatiquement par des ordinateurs programmés pour détecter et exploiter le plus rapidement possible les failles connues ; les scripts développés par ces hackers peuvent commencer à massivement tester les sites du web mondial seulement quelques heures après avoir pris connaissance d’une faille de sécurité.
La communauté SPIP publie le plus rapidement possible des mises à jour du noyau permettant de corriger ces fragilités. Pour la version 3 ces publications de mises à jour ont eu lieu en moyenne toutes les 6 semaines. Nous constatons cependant que certains sites sont en retard d’une dizaine de mises à jour (!), il n’est donc pas étonnant qu’ils soient piratés... Nous insistons donc sur la nécessité absolue pour les webmasters de consacrer le temps nécessaire à ces opérations qui peuvent sembler fastidieuses et pas réellement productives, mais qui sont pourtant la seule parade face aux attaques de plus en plus fréquentes, rapides, et efficaces des acteurs malveillants du web.

Si la plupart des piratages sont des « défacements » bien visibles, sachez également qu’un pirate peut, une fois qu’il a obtenu les clés d’entrée du site, installer une « porte dérobée » (backdoor) qui lui permettra d’utiliser les ressources de votre serveur pour mener des actions malveillantes (attaques de déni de service, envoi massif de spam, etc.). Il est très difficile de se rendre compte de l’existence de ces points d’accès, et les pirates prennent soin d’effacer la plupart des traces de leur passage. Par ailleurs la plupart des attaques de hackers ne viennent jamais directement de leurs propres ordinateurs, mais d’une chaîne d’ordinateurs dont la cascade difficile à remonter permet de masquer leur origine.

Pour vous protéger, actualisez vos fichiers dès la publication d’une mise à jour de sécurité, ce n’est pas une option !

Solutions

Souvent, la communauté SPIP publie une mise à jour de l’écran de sécurité qui permettra de protéger votre site en attendant que vous trouviez le temps d’actualiser tous les fichiers de votre distribution (ce qui reste nécessaire !).

Notez cependant que dans certains cas la faille de sécurité ne peut être corrigée de cette manière, et que le seul moyen d’être protégé soit de mettre à jour le noyau SPIP (les annonces de la communauté vous donneront ces informations).

Nos conseils :

  • Abonnez-vous à la liste de diffusion spip-ann “SPIP annonces importantes” ; vous serez ainsi averti dès qu’une mise à jour est publiée.
  • Mettez en place immédiatement une nouvelle version de l’écran de sécurité, et le plus rapidement possible une mise à jour du noyau.
  • Jetez de temps à autre un œil sur la page de présentation de l’écran de sécurité ; si une nouvelle version a été publiée, actualisez immédiatement ce fichier ; pour rappel, « il s’agit d’un fichier php unique et séparé de SPIP, que l’on peut mettre à jour indépendamment du reste du code, et qui est compatible avec toutes les versions de SPIP, même les plus anciennes ».
  • Surveillez également les mises à jour de vos plugins ; dans certains cas, ils peuvent également corriger des failles de sécurité (mais la plupart du temps il s’agit juste d’évolutions fonctionnelles) ; il n’y a normalement pas de risque à faire une mise à jour, tant qu’on reste sur le même numéro majeur de version.
    Notez que sur SPIP 3 le gestionnaire des plugins vous informe si les plugins (installés automatiquement) ne sont plus à jour, et permet même de les actualiser automatiquement (voir ce fil du forum). Cette fonctionnalité n’est pas disponible sur SPIP 2, mais la lame “Mise à jour automatique des plugins” du plugin “Couteau Suisse” offre une fonctionnalité similaire ; vous pouvez par ailleurs peut-être envisager la mise à niveau vers SPIP 3...
    Notez également que le Kit labos ne peut pas être mis à jour automatiquement car il n’est pas sur un dépôt SPIP et nécessite donc une mise en place manuelle ; ce n’est pas particulièrement gênant car la mise à jour du Kit implique également la mise à niveau des squelettes que vous aurez surchargés ; les fichiers du plugin et les surcharges sont donc à mettre en place en même temps en FTP.
  • Abonnez-vous à notre liste de diffusion “La lettre Harmoweb” : c’est pour nous le moyen le plus efficace de vous informer immédiatement et directement d’une actualité importante.

Important : avant ET après chaque mise à jour, faites une sauvegarde complète de votre site, fichiers et données, que vous conserverez précieusement (notez bien les modifications liées à ces sauvegardes ainsi que la date/heure). Vous apprécierez de pouvoir restaurer votre site dans un état précédent le jour où vous aurez un gros problème... Notez par ailleurs que la mise à jour du noyau ou des plugins peut conduire à une modification (normale) de la structure des données, d’où l’importance de sauvegarder votre base de données avant ET après l’opération, ce qui vous permettra de restaurer votre site dans ces deux états.

Pour information, vous trouverez vos numéros de version (du noyau, et de l’écran de sécurité sur SPIP 3), en bas de l’espace privé :

Affichage de la version installée, en bas de l'espace privé
Affichage de la version installée, en bas de l’espace privé

Dans cet exemple, ce site a deux mises à jour de retard pour le noyau, et davantage pour l’écran de sécurité qui est lui (au jour de rédaction de ce contenu) en version 1.2.2 !

Est-il nécessaire de mettre à jour le Kit labos ?

Nous publions environ tous les mois une mise à jour du Kit labos (voir l’Historique des changements). Au moment de la rédaction de cet article, la version 5.x.14 est la dernière publiée, la 5.x.15 sortira très prochainement.

Le Kit labos est un plugin comme les autres, il bénéficie de deux couches de sécurité apportées par SPIP :

  • en entrée : toutes les requêtes des internautes sont traitées en frontal par le noyau SPIP, qui assure l’inhibition des demandes malveillantes ; par exemple, il protège de l’injection SQL par le biais de laquelle le pirate pourrait arriver à s’authentifier sans pour autant disposer d’identifiants ;
  • en sortie : le noyau assure le nettoyage des textes saisis par vos utilisateurs permettant ainsi, typiquement, de pallier aux attaques de type XSS permettant des actions en javascript sur le navigateur de l’internaute qui, en visitant votre site, affiche ces textes saisis par d’autres utilisateurs.

C’est donc le noyau qui — en grande partie — sécurise, systématiquement et implicitement, les plugins. Il reste malgré tout possible que certains plugins aient des failles de sécurité, mais cette situation est plutôt exceptionnelle. La plupart du temps, les mises à jour des plugins sont des corrections de bugs ou des évolutions fonctionnelles. Il est cependant recommandé, par principe, de maintenir tous vos plugins à jour (ne serait-ce que pour les corrections de bugs).

Concernant le Kit labos, cette opération peut prendre un peu de temps si vous avez personnalisé beaucoup de squelettes, car il faut également mettre à niveau les squelettes surchargés pour y reporter les évolutions (Cf. “Mettre à jour les fichiers du plugin Kit labos (toutes versions)”).

Lorsqu’une mise à jour du Kit labos est publiée, consultez les apports réalisés ; si vous n’en avez pas particulièrement besoin, et que votre site fonctionne sans problème, il n’est pas impératif de mettre à jour le Kit ; nous vous recommandons cependant de le faire car il est fréquent que nous corrigions de petits bugs, et nous enrichissons au fil du temps l’habillage CSS et les fonctionnalités de ce plugin.

Pensez également à sécuriser vos comptes utilisateurs

Pour la sécurité de votre site, il est également important de veiller :

  • à ce que tous les comptes utilisateurs utilisent des mots de passe complexes et uniques
  • à désactiver les comptes d’utilisateurs n’étant plus amenés à travailler sur le site (ex : collègues ayant changé de service)
  • à n’attribuer que les privilèges juste nécessaires à vos utilisateurs (ne pas attribuer de statut d’administrateur à une personne pour laquelle le statut de rédacteur est suffisant).

Cela limitera le champ d’action des pirates qui tenteront de se connecter à un compte existant.

Des mots de passe complexes et uniques

Selon une étude, 91% des mots de passe des comptes utilisateurs seraient parmi les 1000 mots de passe les plus utilisés. Il faut donc bannir l’utilisation de mots de passe faciles à deviner.

Voici les consignes de l’Agence Nationale de la Sécurité des Systèmes d’Information sur le sujet :

  • 12 caractères minimum, mélange de majuscules, minuscules, chiffres, et de caractères spéciaux (vous pouvez par exemple utiliser un générateur en ligne)
  • Ne pas utiliser de mots de passe simples ayant un lien avec vous (noms, dates de naissance, etc.) ; bannir les noms communs ou propres utilisés seuls
  • Un mot de passe différent par accès (ne pas réutiliser le même mot de passe sur différents sites)
  • Ne pas stocker vos mots de passe dans un fichier ou lieu proche de l’ordinateur ; le plus sécurisé est de le mémoriser, et d’utiliser un mot de passe mnémotechnique comme indiqué sur cette page (ex : “J’aiété2foisàl’école”)

→ Voir l’ensemble des recommandations.

Désactiver les comptes devenus inutiles

Au fil du temps, certains contributeurs de votre site changent de service ou d’activité, et ne sont finalement plus amenés à utiliser le backoffice de votre site : laisser actifs des comptes devenus inutiles, qui plus est avec des privilèges étendus (administrateur, webmestre), c’est prendre des risques inutiles.

Vérifiez donc régulièrement que les comptes actifs sont toujours utiles, et que le niveau de privilèges attribué (administrateur, webmestre) est réellement nécessaire.

Faut-il mettre le statut “à la poubelle” pour les comptes devenus inutiles ?

  • avantage : le compte est désactivé, il n’est plus possible de s’y connecter
  • inconvénient : le nom de l’auteur n’est plus affiché en crédit des articles qu’il a rédigés ; la page de présentation de l’auteur n’est également plus accessible.

Nous conseillons donc, pour ces raisons :

  • Si l’auteur n’a rédigé aucun contenu, de le mettre “à la poubelle” (après avoir vérifié que ce compte n’était pas utilisé pour la page “Contact” de votre site)
  • Sinon : de conserver actif son compte, après ces modifications :
    • modifiez les identifiants de connexion comme suit :
      • Login : vous pouvez le remplacer par l’adresse mail de l’auteur (en particulier si ce champ n’était pas renseigné)
      • Mot de passe : remplacez-le d’autorité avec un mot de passe fort ; comme ce compte ne sera plus utilisé, inutile de le mémoriser ; l’emploi d’un générateur en ligne est ici idéal pour générer rapidement un mot de passe long et complexe
    • retirez les privilèges élevés (mettre le compte en statut “rédacteur”)
    • à moins que ce compte ne soit utilisé pour la page de contact sur votre site, retirez l’adresse e-mail (autrement, la page auteur affichera le formulaire de contact, et si l’adresse mail est toujours valide l’auteur risque de recevoir des messages non désirés puisqu’il ne travaille plus sur ce site) ; notez au passage que la fonctionnalité « mot de passe oublié » (lien de connexion provisoire envoyé par mail) ne sera plus utilisable pour ce compte, l’adresse mail ayant été supprimée.

Liens utiles

FAQ installation / mise à jour
spip.net : Dernières versions stables
spip.net : Télécharger spip
spip.net : Écran de sécurité
Mettre à jour les fichiers du plugin Kit labos (toutes versions)
Guides de l’ANSSI pour Protéger son site Internet des cyberattaques