Comment savoir si SPIP est à jour ou vulnérable ?
Pourquoi mettre SPIP à jour ?
Je ne parle pas ici de changer de version pour avoir les dernières nouveautés/évolutions, mais les mises à jour que l’on peut qualifier de "mise à jour de sécurité".
Plusieurs failles de sécurité ont été repérées récemment dans SPIP, et ont été corrigées dans les nouvelles versions 1.9.X.o, 2.0.Xet 2.1.X La plupart des failles concernent des possibilités d’injection XSS.
Source. Les mises à jour sont donc immportantes car parfois, SPIP, comme tout logiciel, présente des failles de sécurité. Pour en être informé, il faut suivre le site Spip-blog.net et mieux s’abonner
au Fil RSS, pour être sûr d’être informer en temps et en heure.
La mise à jour est simple, c’est du copier-coller via ftp, ça ne prend pas longtemps et ça évite que son site se fasse hacker.
Pour les plugins, je vous invite à lire l’article Mise à jour automatique des plugins sur SPIP-ContribUne nouvelle lame du Couteau Suisse permet de visualiser les plugins nécessitant une mise à jour, tout comme SPIP lui-même !
Comment connaitre la version d’un site...
Le plus simple c’est via Spip en lui-même quand on peut se connecter dessus. Mais pour quelqu’un d’extérieur, il est très simple de connaitre la version d’un site SPIP, des plugins qu’il a.
Avec des sites comme http://web-sniffer.net/, http://urlespion.co/
et autre, on a récolte des informatios du type :
SPIP 2.1.11 @ www.spip.net + images(1.0.1), msie_compat(1.0), porte_plume(1.X.X), safehtml(1.X.X), vertebres(X.0), cfg(1.XX.2), gravatar(1.X.0), forum(0.1), itwx_2_X_X_classic(2.3.7), nospam(0.X.X), notation(0.X.X), spip_bonux(2.2.XX), agenda(2.2.1), contact(0.XX), compresseur(1.X.X),
pas forcément à jour (mon site est en version 2.1.13 au moment de la rédaction de cet article), mais bien utile pour quelqu’un qui voudrait sonder un site...
Et on sait donc si le site est vulnérable (ou non). D’où l’importance des mises à jour.