[Résolu] Documents en accès public après upload : problème de sécurité ?

  • Statut : non résolu
6 sujets de 1 à 6 (sur un total de 6)
  • Auteur
    Messages
  • #449332
    LH
    Membre
    Chevalier WordPress
    372 contributions

    Bonjour,

    Ma configuration WP actuelle
    – Version de WordPress : 2.0.5
    – Thème utilisé : default (mais ça va changer!)
    – Plugins en place : ceux par défaut (et même pas activés)
    – Nom de l’hebergeur : microwa.com

    Problème(s) rencontré(s) :

    Je viens d’installer mon blog avec WP2.0.5 et mes fichiers chargés sont mis dans des répertoires crées par wordpress (wp-content/uploads par défaut).
    Mais je me suis rendu compte que ces répertoires sont en accès public !
    Il suffit de suivre un document inséré dans un article publié et puis de visiter son répertoire pour voir tous les autres documents!

    Pour pallier à cela, il faudrait juste que wordpress ajoute un fichier index.html ou index.php avec chaque répertoire crée.

    Ca me parait étonnant que ce soit en accès libre ?
    Est-ce que vous savez si il y a une raison à cela ?

    Cheers. LH.

    #584413
    matthieu
    Membre
    Chevalier WordPress
    296 contributions

    Il n’y a pas vraiment de raison je pense. Les fichiers qui sont dans ce dossier sont sensés être publics en fait.
    Si tu veux un dossier privé il faut le protéger par HTACCESS.

    Tu peux vouloir seulement faire en sorte que tes lecteurs ne puissent lire le contenu en suivant le chemin donc pour pallier à cela il faut :
    Créer un fichier “.HTACCESS”, colle ça dedans :

    php_flag display_errors on
    Options -Indexes

    Et met ce fichier dans ton dossier uploads, teste.
    Ca marche chez moi, voir pour toi.
    exemple > http://www.radiocampusparis.org/UserFiles/

    #584414
    AmO
    Participant
    Maître WordPress
    4452 contributions

    Question à poser à ton hebergeur.

    Ca n’a rien à voir avec WordPress… meme si créer un fichier index.html corrigerai ce problème…

    Mais la solution n’est pas propre… y’a une option à configurer dans la config de Apache et hop problème résolu 😉

    #584415
    LH
    Membre
    Chevalier WordPress
    372 contributions

    Merci pour la rapidité des réponses!

    J’ai essayé en mettant
    Options -Indexes
    dans un .htaccess à la racine de mon blog et ça marche.
    (Ca m’évitera de créer un index.html chaque mois 🙂)

    Par contre, comme on a la possibilité de mettre des mots de passe pour protéger un article, ça m’a surpris de constater que les images insérées restent publiques!
    Il me semble que la plupart des hébergeurs permettent le listing des répertoires, ce serait plus général que wordpress le gère directement.

    Bonne soirée.

    #584416
    AmO
    Participant
    Maître WordPress
    4452 contributions
    LH wrote:
    Merci pour la rapidité des réponses!

    J’ai essayé en mettant
    Options -Indexes
    dans un .htaccess à la racine de mon blog et ça marche.
    (Ca m’évitera de créer un index.html chaque mois 🙂)

    Par contre, comme on a la possibilité de mettre des mots de passe pour protéger un article, ça m’a surpris de constater que les images insérées restent publiques!
    Il me semble que la plupart des hébergeurs permettent le listing des répertoires, ce serait plus général que wordpress le gère directement.

    Bonne soirée.

    Oh que non !!!

    A part Free, peu le font…

    1and1 le fait pas, ovh non plus, etc.

    #584417
    LH
    Membre
    Chevalier WordPress
    372 contributions
    AmO wrote:
    Oh que non !!!

    A part Free, peu le font…

    1and1 le fait pas, ovh non plus, etc.

    Pardon, mon argument était inexact.
    Sur les questions de confidentialité, l’argument est plutôt:
    Du moment que certains hébergeurs laissent l’accès public, il vaut mieux le gérer dans WordPress -en plus, c’est possible et simple. (…Et Free héberge quand même pas mal de sites web…)

    Bon w-e.

6 sujets de 1 à 6 (sur un total de 6)
  • Vous devez être connecté pour répondre à ce sujet.