Seguridad por omisión de SPIP
En SPIP existen dos carpetas «sensibles», que son CACHE y ecrire/data. La primera contiene todos los archivos que utiliza la cache para acelerar la visualización de las páginas, luego es de mediana sensibilidad; pero la segunda almacena los registros de actividad de SPIP (los spip.log) y sobre todo permite crear dump.xml, el archivo de respaldo de la base de datos.
El valioso archivo dump.xml contiene datos muy sensibles: en particular se pueden ver todos los artículos, incluso los que no se han publicado en el sitio web, sin contar que igualmente lista los identificadores y contraseñas [1] de los redactores y administradores del sitio.
La seguridad de todos estos archivos tradicionalmente se asegura mediante unos archivos de configuración de acceso llamados .htaccess. SPIP genera estos archivos automáticamente para impedir el acceso a los datos sensibles almacenados en el servidor: se puede comprobar que las carpetas CACHE y ecrire/data contienen cada una un archivo .htaccess.
Por desgracia, estos archivos funcionan bajo Apache (el servidor Web libre que mueve la mayoría de los sitios Web de Internet) pero no bajo IIS (Internet Information Services, el servidor Web de Microsoft).
Proteger sus datos bajo IIS: un paso más
Si el sitio SPIP está instalado en un IIS, cualquiera podrá ver las carpetas que se hayan asegurado por medio de archivos .htaccess: por lo tanto, es necesario protegerlas.
Para proteger una carpeta del sitio web: ir al panel de administración del servidor Web, hacer clic con el botón derecho sobre la carpeta deseada, pulsar en «propiedades», y en la pestaña «Directorio» desmarcar la casilla «Leer».
Hace falta realizar esta operación en cada una de las dos carpetas CACHE y ecrire/data. Si se ha hecho bien, no debería ser posible el acceso a los archivos de estas carpetas a través del servidor web. Se puede comprobar la configuración intentando abrir http://www.tu-sitio.com/ecrire/data/spip.log con el navegador. Se debería obtener un mensaje de tipo « Acceso denegado ».