• [^] # Re: attaques sur les installations pmwiki?

    Posté par . En réponse à la dépêche Sortie de PmWiki 2.2.36. Évalué à 2.

    ok, je crois avoir compris.

    tu as fais une mise à jour vers une version plus récente, mais présentant peut-être une faille de sécurité. Ou bien ton serveur a été corrompu d'une autre manière.

    Quoi qu'il en soit, si tu as réinstallé tout pmwiki sans réutiliser ta configuration de l'ancien site, dans l'installation de base, il n'y a pas de mot de passe. Si l' « attaque » a été aussi rapide, c'est possible que cela soit lié à ton IP qui était la même que sur l'ancien site déjà attaqué.

    Je pense tout de même que pmwiki devrait être blindé contre toute effraction avant configuration.

    En fait même si PmWiki peut plus qu'un simple wiki (tout comme wordpress est plus qu'un simple moteur de blog), PmWiki garde (à tort ou à raison, je pense que c'est un peu à tort), la philosophie wiki, c'est à dire que n'importe qui peut « contribuer » au nouveau wiki. Si tu veux mettre des barrières, il faut le faire dès l'installation (dans le fichier local/config.php). Quoi qu'il en soit, il y a un garde-fou tout de même, puisque l'historique du wiki est systématiquement archivé, ainsi même en cas de vandalisme, rien n'est vraiment perdu.

    Je pense que la doc d'installation devrait être plus explicite sur ce point, en indiquant clairement que le wiki de base est sans mot de passe.

    En tout cas, si tu as récupéré une version de PmWiki en décembre dernier, cela devait être la 2.2.35, qui corrige la faille. Avec un mot de passe, il ne devrait y avoir aucun souci pour ton site.

    Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it