Inscription des utilisateurs sans mon autorisation

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Inscription des utilisateurs sans mon autorisation

    Bonjour,

    Sur mon site, www.photopro66.fr j'ai des inscriptions d'utilisateurs, alors que je n'ai pas de page ou il est possible de s'inscrire.
    C'est dû à quoi?
    Heureusement le site m'envoie un mail qu'il faut que je confirme pour accepter...

    Mais comment peut-on s'inscrire sur un site alors qu'aucun endroit ne le prévoit?

    Merci de vos lumières...

  • #2
    Re : Inscription des utilisateurs sans mon autorisation

    Si tu suis un peu le forum, tu verras que la question est souvent posée et que la réponse est toujours la même : tu autorises l'inscription, dans le paramétrage des utilisateurs, et il n'est nul besoin d'un formulaire publié pour s'inscrire, il suffit de connaître l'adresse par défaut vers le composant...
    Donc désactive l'autorisation d'inscription, ce qui ne t'empêchera pas de créer toi-même des comptes depuis l'administration.
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

    Commentaire


    • #3
      Re : Inscription des utilisateurs sans mon autorisation

      Bonjour

      J'en parle longuement ici : http://aesecure.com/fr/documentation...ns-joomla.html

      Solution : bloquer les inscriptions depuis le composant utilisateurs.


      Une erreur souvent commise : ce n'est pas parce que tu n'as pas prévu une page vers telle vue d'un composant installé que tu ne peux pas accéder à la vue depuis une url. Tu n'utilises pas Weblinks, tu n'as pas de liens de menu; ok mais si weblinks n'est pas dépublié/désinstallé, il est parfaitement possible d'afficher une vue avec p.ex. /index.php?option=com_weblinks&view=category
      Christophe (cavo789)
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
      Mes logiciels OpenSource : https://www.avonture.be

      Commentaire


      • #4
        Re : Inscription des utilisateurs sans mon autorisation

        D'accord, j'ai bloqué la possibilité de s'inscrire, mais quel est l'intéret pour quelqu'un de vouloir s'inscrire si pas prévu?
        Est-ce que ce serait une recherche de nuire?

        Je vais lire ton article...

        Merci, A+

        Commentaire


        • #5
          Re : Inscription des utilisateurs sans mon autorisation

          Bon, j'ai désactivé wenlinks, enlevé la possibilité de s'inscrire, mais quand on tape:
          http://photopro66.fr/index.php/compo...rs/?view=login j'ai toujours la fenêtre de connexion...
          Comment la supprimer?

          Commentaire


          • #6
            Re : Inscription des utilisateurs sans mon autorisation

            Bonjour,

            D'accord, j'ai bloqué la possibilité de s'inscrire, mais quel est l'intéret pour quelqu'un de vouloir s'inscrire si pas prévu?
            Pour tenter d'exploiter une faille potentielle qui permettrait à un hacker / spammer de prendre la main sur ton site par exemple...
            Cordialement,
            Chabi01 - http://www.xlformation.com

            Commentaire


            • #7
              Re : Inscription des utilisateurs sans mon autorisation

              D'accord, mais comment? Quelle faille ?

              Et donc comment on enlève la possibilité de se connecter?

              Commentaire


              • #8
                Re : Inscription des utilisateurs sans mon autorisation

                Une faille due à un composant ou même Joomla! qui ne serait pas à jour.
                Si tu as désactivé les inscriptions sur ton site, on ne peut normalement pas créer de compte.
                Cordialement,
                Chabi01 - http://www.xlformation.com

                Commentaire


                • #9
                  Re : Inscription des utilisateurs sans mon autorisation

                  OK, merci. Ce qui m'embète, c'est que en faisant: http://photopro66.fr/index.php/compo...rs/?view=login on arrive à un pavé de connexion, du coup un hacker pourrait chercher...

                  Commentaire


                  • #10
                    Re : Inscription des utilisateurs sans mon autorisation

                    Salut,

                    La solution est de créer un fichier default_login.php dans templates/ton_template/html/com_users/login avec le code suivant:
                    Code PHP:
                    <?php
                    defined
                    ('_JEXEC') or die;
                    ?>
                    <h1>Inutile d'insister, il n'y a pas de module de connexion</h1>
                    Tout autre message peut aussi convenir
                    UP, le plugin universel à découvrir sur https//up.lomart.fr
                    bgMax
                    , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

                    Commentaire


                    • #11
                      Re : Inscription des utilisateurs sans mon autorisation

                      Il pourra chercher... mais ne trouvera qu'à essayer de se connecter sans y arriver à moins que tu aies des comptes d'utilisateurs avec des mots de passe simples, ou à demander un rappel d'identifiant ou un changement de mot de passe qui n'aboutiront pas puisque son adresse électronique sera inconnue du site.

                      Ensuite, si tu n'as rien sur ton site qui soit réservé à des membres identifiés, même s'il se connecte, ça ne l'avancera à rien.

                      Enfin, une remarque : les mentions légales sont obligatoires (identité, adresse, SIRET, hébergeur, etc.) pour les sites professionnels (l'hébergeur peut suffire pour un particulier), et je ne les trouve sur aucun de tes deux sites.
                      "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                      MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

                      Commentaire


                      • #12
                        Re : Inscription des utilisateurs sans mon autorisation

                        Envoyé par mlamer Voir le message
                        D'accord, mais comment? Quelle faille ?
                        Si la faille est déjà connue, ce serait simple à répondre et ... inutile puisque Joomla aurait alors un patch.

                        Potentiellement : un gars qui parvient à créer un compte pourrait avoir accès à du contenu privé et pourrait proposer un article, un évènement, poster des commentaires, ... n'importe quoi que tu as prévu pour des utilisateurs enregistrés.

                        Quand je vois ton url http://photopro66.fr/index.php/compo...rs/?view=login je me demande comment tu peux avoir une telle url... Repasse dans ta configuration générale pour activer correctement (les deux options) la réécriture des urls et renomme ton fichier htaccess.txt en .htaccess.

                        Ensuite, en interdisant la création d'un compte utilisateur depuis le frontend, tu ne permettras plus de création. L'url que tu as donné; ce n'est pas l'url de création mais de connexion. Rien à voir donc.
                        Christophe (cavo789)
                        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                        Mes logiciels OpenSource : https://www.avonture.be

                        Commentaire


                        • #13
                          Re : Inscription des utilisateurs sans mon autorisation

                          Pense également à mettre ton Joomla à jour (deux versions de retard) et si possible ton PHP (tu as dix versions de retard). Je peux même regarder ma boule de cristal et oser affirmer que tu es chez OVH car il n'y a qu'eux pour proposer un antique PHP 5.3.16 alors que nous sommes à la version 5.3.28. Ils ont dû congeler leur administrateur PHP depuis quelques mois...
                          Christophe (cavo789)
                          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                          Mes logiciels OpenSource : https://www.avonture.be

                          Commentaire


                          • #14
                            Re : Inscription des utilisateurs sans mon autorisation

                            il n'y a pas de dossier com_users dans le html...Il ya com_content, mod-_custom et mod_login...

                            Commentaire


                            • #15
                              Re : Inscription des utilisateurs sans mon autorisation

                              Envoyé par RobertG Voir le message

                              Enfin, une remarque : les mentions légales sont obligatoires (identité, adresse, SIRET, hébergeur, etc.) pour les sites professionnels (l'hébergeur peut suffire pour un particulier), et je ne les trouve sur aucun de tes deux sites.
                              Ah bon, je ne savais pas...je vais voir ça!


                              Envoyé par cavo789 Voir le message
                              Pense également à mettre ton Joomla à jour (deux versions de retard) et si possible ton PHP (tu as dix versions de retard). Je peux même regarder ma boule de cristal et oser affirmer que tu es chez OVH car il n'y a qu'eux pour proposer un antique PHP 5.3.16 alors que nous sommes à la version 5.3.28. Ils ont dû congeler leur administrateur PHP depuis quelques mois...
                              Pour le PHP, je peux quoi ? Pour le joomla, je vais le faire...
                              Et oui, chez OVH...

                              Envoyé par cavo789 Voir le message
                              Quand je vois ton url http://photopro66.fr/index.php/compo...rs/?view=login je me demande comment tu peux avoir une telle url... Repasse dans ta configuration générale pour activer correctement (les deux options) la réécriture des urls et renomme ton fichier htaccess.txt en .htaccess.

                              Ensuite, en interdisant la création d'un compte utilisateur depuis le frontend, tu ne permettras plus de création. L'url que tu as donné; ce n'est pas l'url de création mais de connexion. Rien à voir donc.
                              Réécriture d'URL en clair (SEF) est activée.
                              Le .htaccess, c'est OK.
                              Dernière édition par mlamer à 20/04/2014, 19h41

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X