Accueil > La Newsletter de RESINFO > Newsletter 13 > Vu sur la Liste ASR

Vu sur la Liste ASR


CONSEILS AUTOUR DE WORDPRESS

Après avoir décrit quelques éléments initiaux dans un premier message (intégration de la solution "awstats", de l’utilisation d’"adminer", de l’utilitaire "wp-cli" pour pouvoir mettre à jour à l’aide de commandes système, de l’utilitaire "wp-scan" pour rechercher les vulnérabilités, du plugin de sécurité "wordfence") la demande portait plutà´t sur une recherche de partenaire extérieurs.

Les développement qui ont suivi ce post n’ont pas répondu (sur la liste en tout cas), à la question, mais a permis de mettre en avant les points suivants :
- limiter le nombre de plugin
- se méfier des exploits, qui peuvent être très fréquents
- il est possible d’utiliser "matomo" pour gérer les statistiques

Le retour sur ce post a été l’occasion de présenter les sites d’analyses de sites web :
- https://observatory.mozilla.org qui permet de tester des éléments de sécurité
- https://gtmetrix.com/ qui permet de se faire une idée des éléments qui peuvent impacter la vitesse d’affichage d’un site.

D’ailleurs pour des questions de pérennité, il est bien précisé que les sites statiques (qui peuvent être généré par un CMS, comme Zola, voir https://www.getzola.org/) seront plus rapides, plus surs, et aussi plus pérennes.

Liste ASR :
Message initial : https://listes.services.cnrs.fr/wws/arc/asr/2021-12/msg00213.html
Continué en : https://listes.services.cnrs.fr/wws/arc/asr/2022-01/msg00040.html

PROBLEMES SUITE A DES MISES A JOUR DE MariaDB

Un message en guise d’avertissement, pour les utilisateurs de MariaDB. Certaines mise à jour plantent les bases de données, et nécessitent de repartir d’une sauvegarde, avec l’ancienne version. Il faut désactiver l’option unattended_upgrade pour les paquets du serveur, lancer régulièrement des mysql_upgrade pour mettre à jour les bases, et effectuer régulièrement des dumps des bases de données. Pour effectuer ces backups, le programme Mariabackup a aussi été recommandé.

Liste ASR : https://listes.services.cnrs.fr/wws/arc/asr/2021-10/msg00047.html

SECURISATION DES REPERTOIRES DES INSTANCES GLPI

Après un appel à vérification, sur les instances GLPI utilisée, que les directives .htaccess étaient bien prises en compte (sans quoi, le contenu de certains fichiers sensibles pourrait être exposé), la discussion a dérivé sur les bonnes pratiques en terme de configuration. On peut résumer les points suivants :
 les directives .htaccess ne fonctionneront que sur des serveurs apache (et pas avec nginx)
 quand cela est possible, il vaut mieux placer ces directives dans les fichiers de configuration des virtualhosts
 attention aux directives par défaut des serveurs apache, qui ne permettent pas l’application des .htaccess, car la directive "AllowOveride" a comme valeur "None". Il faut la placer à "AuthConfig" ou à "All".

Liste ASR : https://listes.services.cnrs.fr/wws/arc/asr/2021-12/msg00218.html