SPIP

SPIP, acronyme pour Système de publication pour l’Internet, est un système de gestion de contenu (CMS) qui permet la création et la gestion de sites ou de blogs de manière simple et rapide grace à son langage de « squelettes ». Il se distingue par sa facilité d’installation d’usage et de maintenance. Nous allons voir dans ce tutoriel comment installer SPIP tout en respectant les bonnes pratiques de sécurité.

../_images/spip-logo.png

1 - Installer SPIP

Récupérer SPIP depuis le site

Il est recommandé de choisir la dernière version stable de SPIP pour des raisons de sécurité.

Note

Vérifiez la compatibilité de SPIP avec les versions PHP et MySQL de votre hébergement en consultant la configuration requise pour la version choisie.

Une fois le téléchargement terminé, faites un clic droit sur l’archive et choisir « Extraire tout… », indiquez une destination afin d’extraire vos fichiers dans un nouveau dossier.

Déposer les fichiers dans votre espace

Maintenant, il faut déposer les fichiers dans votre espace d’hébergement. Pour cela nous vous recommandons l’utilisation d’un logiciel de FTP comme Filezilla ou WinScp (voir nos tutoriaux à ce sujet).

Créer une base de données

Il faut maintenant créer une base de données MySQL et un utilisateur avec les bons privilèges. Pour cela reportez vous à notre tutorial

Une fois la base et l’utilisateur créés, récupérez les identifiants qui seront utiles lors des étapes de paramètrage de SPIP.

Lancer l’installation

Rendez-vous sur votre site pour débuter l’installation de SPIP. Vous arriverez sur une page indiquant que le site est en travaux.

../_images/spip-1.png

Pour accéder à l’administration de SPIP et commencer l’installation, ajoutez /ecrire à l’url puis valider. L’URL change en https://example.com/ecrire/?exec=install

L’installation peut commencer :

../_images/spip-2.png

Choisissez la langue du site et cliquer sur « Suivant »

Indiquez le type de base de données puis entrez les informations de connexion à la base créée précédemment.

../_images/spip-3.png

Vous pouvez également laisser le CMS créer la base lors de l’étape suivante si vous disposez déjà d’un utilisateur.

../_images/spip-4.png

SPIP va ensuite vous demander de renseigner quelques informations personnelles :

  • Signature : c’est le nom sous lequel vous apparaitrez en tant que rédacteur du site.

  • Votre login : votre identifiant avec lequel SPIP vous reconnaitra lors de vos connexions.

  • Mot de passe : Le mot de passe utilisé lors de la connexion.

../_images/spip-5.png

Cliquer sur suivant. L’installation de SPIP est maintenant terminée.

Cliquer sur « espace privé » pour rejoindre votre espace d’administration.

../_images/spip-6.png ../_images/spip-7.png ../_images/spip-8.png

2 - Installer des plugins

L’ajout de plugins se fait simplement depuis l’interface d’administration. Aller dans Configuration puis Gestion des plugins.

../_images/spip-9.png

Cliquez sur Mes plugins

Un message d’avertissement apparait. Il faut créer manuellement le répertoire plugins/auto depuis votre accès FTP ou SSH. Le message disparaitra ensuite et vous accéderez à la liste de vos plugins.

../_images/spip-10.png

Cliquez ensuite sur Ajouter des plugins et ajoutez un dépôt comme conseillé.

../_images/spip-11.png

Le dépôt apparait ensuite dans la liste avec le nombre de plugins disponibles.

../_images/spip-12.png

Cliquez ensuite sur Plugins

Vous pouvez maintenant explorer le dépôt ajouté à la recherche des plugins que vous souhaitez installer.

../_images/spip-13.png

Cliquez sur rechercher, la liste des plugins trouvés s’affichera. Il suffira de cocher le plugin désiré et cliquer sur Télécharger et activer.

Validez la sélection. Les plugins sont maintenant installés et activés.

../_images/spip-14.png

3 - Sécuriser SPIP

Garder une version à jour

Il est important de garder SPIP ainsi que ses plugins à jour, la plupart des nouvelles versions incluant des correctifs et patchs de sécurité.

Empecher l’affichage des squelettes

Les squelettes personnalisés peuvent contenir des failles. Aussi il est important d’en protéger l’accès.

Pour se faire créez un fichier .htaccess contenant ces lignes et placez le dossier /squelettes :

<Files *.html>
Deny from all
</Files>

Changer le nom du dossier du back office

Il peut être judicieux de renommer le dossier /ecrire avec un nom personnalisé afin de compliquer la tâche des hackers qui tenteraient d’y accéder. Vous pouvez également personnaliser les entêtes générées par SPIP afin de limiter les informations retournées comme la version des plugins installés.

Ajoutez la directive suivante dans /config/mes_options.php

<?php
$spip_header_silencieux = 1;
?>

Choisir un mot de passe suffisamment complexe

Evitez les mots de passe génériques pour votre accès administrateur comme AZERTY, 123456. Utilisez un mot de passe complexe à base de chiffres, majuscules et caractères spéciaux et imposez cette contrainte au rédacteurs.

Le plugin mot de passe compliqué vous permet de faire appliquer cette politique de sécurité.

Utiliser des plugins de sécurité

SPIP propose de nombreux plugins pour renforcer la sécurité.

Par exemple le plugin NoSPAM permet de limiter l’envoi de spams depuis les formulaires du CMS.

Vérifier que votre poste est bien protégé

Si votre PC est infecté par un virus ou un malware, un hacker peut avoir accès à vos fichiers SPIP en local et donc vos identifiants. Il est donc important d’avoir un programme antivirus à jour.