Fonctionnement mise à jour des CMS ?

a marqué ce sujet comme résolu.

arglow, samedi 20 février 2016 à 17h09

Bonjour à tous,

Je suis en phase de recherche pour des travaux pour un de mes projets (un CMS) et j'ai une probléme auquel je n'arrive pas à trouver de réponse. J'espère que vous allez pouvoir m'éclairer.

Bon nombre de CMS (wordpress and co) ont une fonction bien utile qui est la mise à jour de leur système. En cliquant sur un bouton dans l'admin, les fichiers mis à jour sont uploader directement sur votre site.

Toutefois, comment wordpress accède à notre FTP et y télécharge des fichiers sans le login et le mot de passe ? Idem pour les thèmes, plugins, etc.

Car en effet, lors de l'installation on ne lui fourni pas les identifiants FTP, seuls ceux de la base de données.

Ou c'est juste un upload basique comme pour un hébergeur d'image ?

Selon vous quel est la meilleure façon de faire ?

Merci d'avance pour vos réponses. Florian

20/02/16 à 17h09

+0 -0

qwerty, samedi 20 février 2016 à 20h22

1
2
3

<?php
file_put_contents("file_get_contents(http://example.org/file.zip"), "file.zip"));
wp_perso_bidule_unzip("file.zip", "."));

20/02/16 à 20h22

La tero estas nur unu lando | Géographe de service | Cliquez 👍 pour dire merci

+1 -0

arglow, samedi 20 février 2016 à 20h32
Modifié

Merci beaucoup qwerty. J'étais parti sur cette solution mais fichier par fichier en les récrivant. Le soucis c'est qu'il n'accepte pas bien les fichiers php, j'ai donc du transformer en txt pour ensuite écrire en dans un fichier php.

<?php
$page = 'http://www.mapage.com/test.txt';
$contenu = file_get_contents($page);
$resultat = file_put_contents('test.php', $contenu);

En tout cas je te remercie. Florian

20/02/16 à 20h32
Modifié

+1 -0

viki53, lundi 22 février 2016 à 12h32

Fais attention quand même : en te basant sur du HTTP simple il est très facile pour un attaquant de se placer au milieu et de modifier les fichiers transmis (pour injecter du code dangereux par exemple).

Fais au moins en sorte de vérifier l'idée du serveur qui sert les ressources (les nouveaux fichiers) et que les fichiers n'ont pas été modifiés (en comparant les hash sur les deux serveurs, par exemple).

22/02/16 à 12h32

Mes tutos / Blog d’un dev(ops) Web

+0 -0

arglow, lundi 22 février 2016 à 13h40
Modifié

Meci pour le conseil viki53.

Tu aurais des ressources ou un tuto sur ce que tu m'indiques ?

Car là ou j'ai du mal à comprendre c'est que si la source est certifiée (le site ou est hébergé l'update) en quoi cela créé un risque ?

Merci Florian

22/02/16 à 13h40
Modifié

+0 -0

viki53, lundi 22 février 2016 à 14h02

En HTTP simple, les échanges ne sont pas chiffrés, donc facilement modifiables.

Du coup tu ne peux pas être sûr que les fichiers reçus sont les bons, ni même que le serveur contacté est bien celui que tu cherches (il est facile de rediriger les requêtes).

22/02/16 à 14h02

Mes tutos / Blog d’un dev(ops) Web

+0 -0

Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte