eZPublish et Sécurité

En général, un site sous eZPublish n'utilise que très peu des fonctionnalités disponibles sur le système. Le moyen de base pour prévenir les diverses attaques est d'éviter la fuite d'information et l'utilisation frauduleuse de certaines des fonctionnalités : il suffit pour cela de désactiver les modules inutiles et/ou les vues.

Désactiver les modules et les vues inutilisées

Par exemple la vue about du module ezinfo permet de voir que le site tourne sous eZPublish, et de connaître la version utilisée. Cette information est disponible pour tous les visiteurs. Certaines personnes mal intentionnées pourraient trouver ces informations à la main, et éventuellement exploiter une faille de cette version, qui ne serait pas encore patchée.

Désactiver des fonctionnalités est en général l'une des dernières étapes du processus avant la mise en ligne d'un site. L'exemple suivant montre que différentes vues et modules pouvant être désactivés, grâce au fichier de configuration site.ini.append.php.

[SiteAccessRules]
Rules[]=access;disable
Rules[]=module;class
Rules[]=module;ezinfo
Rules[]=module;form
Rules[]=module;pdf
Rules[]=module;content/tipafriend

Cet exemple désactive l'accès aux modules suivants : class, ezinfo, form et pdf. La dernière ligne montre comment désactiver une seule vue de module (la vue tipafriend du module content).

En général, on peut désactiver ces modules / vues pour la plupart des sites Internet publics.