SPIP ==== SPIP, acronyme pour Système de publication pour l'Internet, est un système de gestion de contenu (CMS) qui permet la création et la gestion de sites ou de blogs de manière simple et rapide grace à son langage de "squelettes". Il se distingue par sa facilité d'installation d'usage et de maintenance. Nous allons voir dans ce tutoriel comment installer SPIP tout en respectant les bonnes pratiques de sécurité. .. image:: images/spip-logo.png :align: center 1 - Installer SPIP ----------------------- Récupérer SPIP depuis le `site `_ Il est recommandé de choisir la dernière version stable de SPIP pour des raisons de sécurité. .. note:: Vérifiez la compatibilité de SPIP avec les versions PHP et MySQL de votre hébergement en consultant la configuration requise pour la version choisie. Une fois le téléchargement terminé, faites un clic droit sur l'archive et choisir "Extraire tout...", indiquez une destination afin d’extraire vos fichiers dans un nouveau dossier. **Déposer les fichiers dans votre espace** Maintenant, il faut déposer les fichiers dans votre espace d'hébergement. Pour cela nous vous recommandons l'utilisation d'un logiciel de FTP comme Filezilla ou WinScp (voir nos `tutoriaux `_ à ce sujet). **Créer une base de données** Il faut maintenant créer une base de données MySQL et un utilisateur avec les bons privilèges. Pour cela reportez vous à notre `tutorial `_ Une fois la base et l'utilisateur créés, récupérez les identifiants qui seront utiles lors des étapes de paramètrage de SPIP. **Lancer l'installation** Rendez-vous sur votre site pour débuter l'installation de SPIP. Vous arriverez sur une page indiquant que le site est en travaux. .. image:: images/spip-1.png :align: center Pour accéder à l'administration de SPIP et commencer l'installation, ajoutez /ecrire à l'url puis valider. L'URL change en https://example.com/ecrire/?exec=install L'installation peut commencer : .. image:: images/spip-2.png :align: center Choisissez la langue du site et cliquer sur "Suivant" Indiquez le type de base de données puis entrez les informations de connexion à la base créée précédemment. .. image:: images/spip-3.png :align: center Vous pouvez également laisser le CMS créer la base lors de l'étape suivante si vous disposez déjà d'un utilisateur. .. image:: images/spip-4.png :align: center SPIP va ensuite vous demander de renseigner quelques informations personnelles : * Signature : c'est le nom sous lequel vous apparaitrez en tant que rédacteur du site. * Votre login : votre identifiant avec lequel SPIP vous reconnaitra lors de vos connexions. * Mot de passe : Le mot de passe utilisé lors de la connexion. .. image:: images/spip-5.png :align: center Cliquer sur suivant. L'installation de SPIP est maintenant terminée. Cliquer sur "espace privé" pour rejoindre votre espace d'administration. .. image:: images/spip-6.png :align: center .. image:: images/spip-7.png :align: center .. image:: images/spip-8.png :align: center 2 - Installer des plugins ------------------------- L'ajout de plugins se fait simplement depuis l'interface d'administration. Aller dans **Configuration** puis **Gestion des plugins**. .. image:: images/spip-9.png :align: center Cliquez sur **Mes plugins** Un message d'avertissement apparait. Il faut créer manuellement le répertoire plugins/auto depuis votre accès FTP ou SSH. Le message disparaitra ensuite et vous accéderez à la liste de vos plugins. .. image:: images/spip-10.png :align: center Cliquez ensuite sur **Ajouter des plugins** et ajoutez un dépôt comme conseillé. .. image:: images/spip-11.png :align: center Le dépôt apparait ensuite dans la liste avec le nombre de plugins disponibles. .. image:: images/spip-12.png :align: center Cliquez ensuite sur **Plugins** Vous pouvez maintenant explorer le dépôt ajouté à la recherche des plugins que vous souhaitez installer. .. image:: images/spip-13.png :align: center Cliquez sur **rechercher**, la liste des plugins trouvés s'affichera. Il suffira de cocher le plugin désiré et cliquer sur **Télécharger et activer**. Validez la sélection. Les plugins sont maintenant installés et activés. .. image:: images/spip-14.png :align: center 3 - Sécuriser SPIP ------------------ **Garder une version à jour** Il est important de garder SPIP ainsi que ses plugins à jour, la plupart des nouvelles versions incluant des correctifs et patchs de sécurité. **Empecher l'affichage des squelettes** Les squelettes personnalisés peuvent contenir des failles. Aussi il est important d'en protéger l'accès. Pour se faire créez un fichier .htaccess contenant ces lignes et placez le dossier */squelettes* : .. code-block:: apache Deny from all **Changer le nom du dossier du back office** Il peut être judicieux de renommer le dossier */ecrire* avec un nom personnalisé afin de compliquer la tâche des hackers qui tenteraient d'y accéder. Vous pouvez également personnaliser les entêtes générées par SPIP afin de limiter les informations retournées comme la version des plugins installés. Ajoutez la directive suivante dans */config/mes_options.php* .. code-block:: **Choisir un mot de passe suffisamment complexe** Evitez les mots de passe génériques pour votre accès administrateur comme AZERTY, 123456. Utilisez un mot de passe complexe à base de chiffres, majuscules et caractères spéciaux et imposez cette contrainte au rédacteurs. Le plugin `mot de passe compliqué `_ vous permet de faire appliquer cette politique de sécurité. **Utiliser des plugins de sécurité** SPIP propose de nombreux `plugins `_ pour renforcer la sécurité. Par exemple le plugin `NoSPAM `_ permet de limiter l'envoi de spams depuis les formulaires du CMS. **Vérifier que votre poste est bien protégé** Si votre PC est infecté par un virus ou un malware, un hacker peut avoir accès à vos fichiers SPIP en local et donc vos identifiants. Il est donc important d'avoir un programme antivirus à jour.