empêcher l’exécution de scripts PHP malveillants
Bien trop souvent, il arrive que des failles de sécurité dans des CMS web majeurs (wordpress, drupal, etc..) soient exploitées pour uploader sur le site des scripts PHP malveillants (généralement pour envoyer du spam ou faire télécharges des malwares).
Veiller à appliquer les les mises à jour de sécurité est donc un mal nécessaire, mais au delà il vaut mieux prévoir une mécanique pour se prémunir de l’exécution de ces scripts.
Dans ce premier temps, il faut déterminer les répertoires où les CMS vont stocker leurs données (c’est généralement les dossiers d’upload) et typiquement :
– pour Drupal : /sites/XXX/files/
– pour WordPress : /wp-content/uploads/
Pour y créer (ou modifier) le fichier .htaccess contenant le nécessaire empêchant l’exécution du PHP :
RemoveHandler .php .phtml .php3
RemoveType .php .phtml .php3
php_flag engine off
Bien sûr, ce c’est pas la panacée, çà ne fonctionne qu’avec Apache, et ne remplacera en aucun cas les mises à jours de sécurité ni empêchera les autres types d’attaques (injection SQL, XSS, etc…) mais c’est déjà çà …
Catégories : drupal, web, wordpress · Mots-clés: apache
de 16/08/2013 à 4:44 pm
Permalink
Merci pour ces conseils. Comme le risque zéro est encore loin d’être acquis dans le domaine de la sécurité informatique, toute prévention possible, même la plus anodine est à prendre, on ne sait jamais.