Spip et debutant

Répondre
 
Partager Rechercher
Bonjour,

J'ai un site en html/css.
J'aimerai que le contenu de ce site soit rédigé et publié par les "membres officiels" du site.

J'ai découvert Spip qui semble être idéal.
Seulement j'ai jamais utilisé et je viens de découvrir l'existence de ce genre d'outil.

J'ai donc plusieurs questions sachant que je connais l'html et le css:

- Puis je en 1 mois réussir à utiliser Spip et faire ce que j'ai dit plus haut?
- Y a t-il des problèmes ou des choses à savoir pour sécuriser tout ça (piratage,...)

Voilou. Merci
Lien direct vers le message - Vieux 01/02/2009, 19h39
Hmmm... j'ai un pote qui bosse dans un bahut et à qui on a imposé l'usage de SPIP (sans aucune raison valable d'ailleurs... l'ami d'un ami du collègue d'un oncle qui bosse chez caramail et qui prétend savoir de quoi il parle), bref, y a rien qui fonctionne comme il faut, za a l'air d'être un sacré merdier.

Y a des CMS plus performants à mon avis. Après, ne l'ayant jamais utilisé, il faudrait des avis pour confirmer.
Lien direct vers le message - Vieux 01/02/2009, 20h43
C'est un bon CMS mais il faut rentrer sous le capot pour en faire ce que l'on veut, en bref y'a du taf, mais son avantage est du coup qu'il est bien plus flexible.

Si tu ne veux pas passer trop de temps dessus, j'aime beaucoup Joomla, la version 1.5 est très bien et flexible.

Voici un bon lien pour trouver le CMS qui te correspond le mieux : http://www.cmsmatrix.org/
Lien direct vers le message - Vieux 01/02/2009, 20h57
Ouaip joomla 1.5 ou Drupal sont parfaits et relativement simple à utiliser pour des sites communautaires. Ils disposent de nombreux modules et plugins de gestion efficaces. En plus, au niveau du résultat, on obtient des trucs visuellement très agréables et ergonomiques rapidement.

Par contre, il faut bien veiller à suivre les mises à jour de ce type de CMS pour éviter les blagues des script-kiddies et autres farceurs.
Lien direct vers le message - Vieux 01/02/2009, 21h29
Pour la question de sécurité oui il faut être régulièrement à jour, de toute façon tout ce qui est basé sur le php est une vaste blague niveau sécurité
Aujourd'hui presque n'importe qui peut défigurer un site sans aucunes connaissances en hacking.
Lien direct vers le message - Vieux 01/02/2009, 21h41
Je viens de me renseigner un peu sur joomla, c'est sympa en effet.
Spip ou joomla, je sais pas encore

Par contre, c'est possible de prendre le design d'un site statique et d'intégrer les boucles d'un cms?
Lien direct vers le message - Vieux 01/02/2009, 21h44
Si ton design est correctement codé en xhtml/css oui tu peux l'adapter très facilement en template sur n'importe quel CMS, par contre si tu mélanges mise en forme et structure tu vas en baver. Ceci dit, cela t'obligera à plus de rigueur et à bien dissocier conteneur et contenu ce qui n'est pas un mal, au contraire
Lien direct vers le message - Vieux 01/02/2009, 21h59
Citation :
Publié par Eno
Pour la question de sécurité oui il faut être régulièrement à jour, de toute façon tout ce qui est basé sur le php est une vaste blague niveau sécurité
Aujourd'hui presque n'importe qui peut défigurer un site sans aucunes connaissances en hacking.
Sources ? exemples ? ...
Lien direct vers le message - Vieux 01/02/2009, 23h39
Citation :
Publié par Assuran
Sources ? exemples ? ...
Il suffit de voir le nombre de sites vulnérables aux failles XSS par exemple, ce genre de failles est utilisable par n'importe qui, il n'y a pas vraiment besoin de connaissances poussées en réseaux pour les utiliser
Lien direct vers le message - Vieux 01/02/2009, 23h50
Citation :
Publié par Assuran
Sources ? exemples ? ...
Pour monsieur tout le monde, les sites comme Milw0rm te balancent un nombre incalculables de failles et d'injection MySQL. La seul connaissance nécessaire étant de savoir faire un copier-coller.

Heureusement que les sites tels que Security Focus et consors sont mieux informés... sinon ce serait un chaos sans nom :P

Après t'as une tonne de forums 0 days qui ne font que distribuer des failles par packs de 10... et même chose : copy/paste

Après, maintenir un site à jour niveau sécurité, installer des sécurités de base (comme camoufler la page admin), gérer correctement ses droits et créer un htaccess en fouillant un peu permettent de régler la majorité des problèmes de base.
Lien direct vers le message - Vieux 02/02/2009, 02h51
Non mais vous me faites bien marrer, dire que PHP & mySql ne sont pas safe car il y a des blaireaux qui codent avec leurs doigts de pied ... faut arrêter de me faire rire...

Oui, il y a des failles dans les languages webs mais il viennent surtout de la façon dont sont codés les pages. Donc globalement si tu codes comme il faut voir un paranoïaquement sur les bords tu sais les éviter et une injection SQL, ou ce genre de cochonneries, je vois pas le rapport avec le php et mysql, c'est juste une erreur de codage, tu respecte un minimum de points et ta page est safe :

=> jamais faire confiance aux donnée saisies par l'utilisateur, (en gros htmlspecialchars() et autres fonctions utiles,

=> les cookies c'est de la merde, donc TTL très faibles et si tu les utilise bien identifier l'utilisateur (par exemple par son IP + type de navigateurs, + id machine enfin plusieurs truc comme ça

=>pareils pour les sessions, toujours identifier une session par son IP + autre,

=> Savoir ce qu'est un htaccess et pas donner accès à n'importe quoi

=> Quand t'utilise du passage de paramètres par URL, toujours vérifier la page de source, et que les paramètres soient valides avant de les utiliser

ETC fin bref la liste est longue, tu peux aussi utiliser des framework genre Zend ou Symfony, qui intègrent systématiquement ce genre de pratiques.
Lien direct vers le message - Vieux 02/02/2009, 09h15
Pour compléter, les principales failles de sécurité sur les CMS viennent de :

- htaccess oublié ou mal écrit
- utilisation de plugin, module, composants non suivis et mal codés
- utilisation d'hébergeurs type free qui ne permettent pas la gestion du htaccess et des permissions
- autoriser les utilisateurs à publier du HTML voire des scripts dans leurs messages/billets

Parce que les CMS opensources sont pour la plupart maintenus par de très larges communautés et quand une faille est trouvée, elle est corrigée rapidement.
Lien direct vers le message - Vieux 02/02/2009, 09h26
Citation :
Publié par JorianMenelrana
....
Je rajouterais surtout que les méthodes de fonctionnement de ces dits CMS sont standardisées.

Ce qui veut dire "robotisable" et scriptables, voir un problème de plus en plus courant "Chinoistisable" l'époque du both publicitaire est révolu, maintenant tu as un chinois dans ça cave qui luit sait lire tes 5 mots complètement barés et lire un mail avant de faire son coup de pub (m'enfin généralement temps que tu as un petit site tu crains moins ce genre de problèmes)

Puis c'est bien connu, en informatique le problème c'est le end-user
Lien direct vers le message - Vieux 02/02/2009, 09h36
Citation :
Publié par Assuran
Non mais vous me faites bien marrer, dire que PHP & mySql ne sont pas safe car il y a des blaireaux qui codent avec leurs doigts de pied ... faut arrêter de me faire rire...
C'est pas faux mais bon php est le seul à interpréter le code dans une variable vachement logique d'exécuter un script passé en paramètre bref ...
Lien direct vers le message - Vieux 02/02/2009, 19h18
Citation :
Publié par Eno
C'est pas faux mais bon php est le seul à interpréter le code dans une variable vachement logique d'exécuter un script passer par en paramètre bref ...
A ma connaissance, la seule façon pour PHP d'interpréter un script contenu dans une variable c'est de faire eval($var), donc ya l'utilisateur un peu noob avec la directive register_global à "on" (les paramètres de l'url sont directement injectés dans le script en tant que variables) qui va faire des eval sans savoir ce qui est contenu dans la variable mais bon ...

Sinon il y a les injections SQL qui sont très utilisées contre les sites en PHP qui ne contrôlent pas les paramètres des requêtes en base, mais un utilisateur averti qui utilise PDO et qui fait un minimum attention aux user inputs ne risque pas grand chose
Lien direct vers le message - Vieux 02/02/2009, 20h16
Spip est très bien pour de la publication d'articles. Dans mon ancienne boite, on en avait une bonne centaine, ça marche nickel, les mises à jour se passent bien, une fois compris le système de boucle, on arrive à développer un squelette sympa. Pour ceux qui étaient sur les listes de dev, c'était relativement propre et bien pensé.

Un seul souci de site défiguré en 6 ans, cause un plugin externe ajouté qui n'était plus utilisé. Bref, attention aux plugins que tu voudrais ajouté, mieux vaut éviter ou bien suivre le truc. Sinon, en regardant rapidos les infos de sécurité du certa, Joomla est beaucoup plus attaqué que Spip. Moins populaire peut être, trop facile le Joomla? Perso, j'évite au final.

Pour Spip, veille à laisser un max de répertoires à root et vérifie les droits sur les autres. Vire la possibilité de laisser des commentaires, fais les maj du soft. Tu ne devrais pas avoir de soucis.
Lien direct vers le message - Vieux 02/02/2009, 20h38
Citation :
Publié par Eno
C'est pas faux mais bon php est le seul à interpréter le code dans une variable vachement logique d'exécuter un script passé en paramètre bref ...
Je suis pas sur qu'il soit le seul mais en tout cas il le propose contrairement à d'autres.

L'imense avantage d'une applique web c'est que si je veux je la fait tourner sur ma PSP, etc trouve moi un autre truc fiable qui le fasse ? java ? ah nan scuse j'avais dit qui tourne
Lien direct vers le message - Vieux 03/02/2009, 00h53
C'est clair, les applis web en PHP sont des trous de sécurité, surement pour cela que les collectivités territoriales, les ministères et les grandes administrations les utilisent de plus en plus, par exemple, SPIP Agora qui est issus de SPIP 1.7
Je doute que s'il n'y avait pas un certaine fiabilité il aurait été adopté.

Sinon Joomla est bien plus solide depuis la 1.5, ce sont les composants, souvent loufoques qui posent problème. Il est très populaire (spip c'est français et répandu quasiment qu'en france, ce qui est loin d'être le cas de joomla), donc logique qu'il soit plus attaqué.
D'un avis personnel, beaucoup de personnes mettent un joomla en place sans absolument rien connaitre au B A BA de la sécurité et leurs sites sont des pousses au crime.

L'interopérabilité et l'accessibilité du PHP est un atout non négligeable pour une réelle cohérence dans la communication web (incluant les mobiles)
Lien direct vers le message - Vieux 03/02/2009, 01h08
Citation :
Publié par Assuran
L'imense avantage d'une applique web c'est que si je veux je la fait tourner sur ma PSP, etc trouve moi un autre truc fiable qui le fasse ? java ? ah nan scuse j'avais dit qui tourne
J'vois pas le rapport avec la choucroute. Les gens (certains) te disent que PHP c'est dangereux pour faire des applis web, et toi tu réponds qu'on peut pas toujours faire une appli en Java... Ca n'a rien à voir. Pour faire des applis web, il y a des alternatives à PHP, et Java en est justement une (un peu plus lourde à mettre en place, certes).

Par contre, je suis globalement d'accord avec toi sur PHP, le problème vient souvent du développeur. Le gros problème de PHP c'est d'être très permissif. Il permet de faire des trucs dégueux et dangereux super facilement. A mon sens, ce qui manque le plus c'est des warnings lors de l'utilisation de fonctions dangereuses (pas toujours évident à lever, vu que ça peut venir de la composition ou absence de composition de plusieurs fonctions) ainsi que dans la doc PHP elle-même.
Lien direct vers le message - Vieux 03/02/2009, 02h01
Re coucou

Je me suis mis comme prévu à Spip.
Je cherche un livre (ou autre) sur tout ce qui est personnalisation de squelettes principalement. J'ai rien trouvé d'intéressant comme livre...
Lien direct vers le message - Vieux 19/02/2009, 21h28
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés
Thème visuel : Fuseau horaire GMT +2. Il est actuellement 10h50.
^^ Haut de page ^^