Inscription des utilisateurs sans mon autorisation

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Inscription des utilisateurs sans mon autorisation

    Bonjour,

    Sur mon site, www.photopro66.fr j'ai des inscriptions d'utilisateurs, alors que je n'ai pas de page ou il est possible de s'inscrire.
    C'est dû à quoi?
    Heureusement le site m'envoie un mail qu'il faut que je confirme pour accepter...

    Mais comment peut-on s'inscrire sur un site alors qu'aucun endroit ne le prévoit?

    Merci de vos lumières...

  • #2
    Re : Inscription des utilisateurs sans mon autorisation

    Si tu suis un peu le forum, tu verras que la question est souvent posée et que la réponse est toujours la même : tu autorises l'inscription, dans le paramétrage des utilisateurs, et il n'est nul besoin d'un formulaire publié pour s'inscrire, il suffit de connaître l'adresse par défaut vers le composant...
    Donc désactive l'autorisation d'inscription, ce qui ne t'empêchera pas de créer toi-même des comptes depuis l'administration.
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

    Commentaire


    • #3
      Re : Inscription des utilisateurs sans mon autorisation

      Bonjour

      J'en parle longuement ici : http://aesecure.com/fr/documentation...ns-joomla.html

      Solution : bloquer les inscriptions depuis le composant utilisateurs.


      Une erreur souvent commise : ce n'est pas parce que tu n'as pas prévu une page vers telle vue d'un composant installé que tu ne peux pas accéder à la vue depuis une url. Tu n'utilises pas Weblinks, tu n'as pas de liens de menu; ok mais si weblinks n'est pas dépublié/désinstallé, il est parfaitement possible d'afficher une vue avec p.ex. /index.php?option=com_weblinks&view=category
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire


      • #4
        Re : Inscription des utilisateurs sans mon autorisation

        D'accord, j'ai bloqué la possibilité de s'inscrire, mais quel est l'intéret pour quelqu'un de vouloir s'inscrire si pas prévu?
        Est-ce que ce serait une recherche de nuire?

        Je vais lire ton article...

        Merci, A+

        Commentaire


        • #5
          Re : Inscription des utilisateurs sans mon autorisation

          Bon, j'ai désactivé wenlinks, enlevé la possibilité de s'inscrire, mais quand on tape:
          http://photopro66.fr/index.php/compo...rs/?view=login j'ai toujours la fenêtre de connexion...
          Comment la supprimer?

          Commentaire


          • #6
            Re : Inscription des utilisateurs sans mon autorisation

            Bonjour,

            D'accord, j'ai bloqué la possibilité de s'inscrire, mais quel est l'intéret pour quelqu'un de vouloir s'inscrire si pas prévu?
            Pour tenter d'exploiter une faille potentielle qui permettrait à un hacker / spammer de prendre la main sur ton site par exemple...
            Cordialement,
            Chabi01 - http://www.xlformation.com

            Commentaire


            • #7
              Re : Inscription des utilisateurs sans mon autorisation

              D'accord, mais comment? Quelle faille ?

              Et donc comment on enlève la possibilité de se connecter?

              Commentaire


              • #8
                Re : Inscription des utilisateurs sans mon autorisation

                Une faille due à un composant ou même Joomla! qui ne serait pas à jour.
                Si tu as désactivé les inscriptions sur ton site, on ne peut normalement pas créer de compte.
                Cordialement,
                Chabi01 - http://www.xlformation.com

                Commentaire


                • #9
                  Re : Inscription des utilisateurs sans mon autorisation

                  OK, merci. Ce qui m'embète, c'est que en faisant: http://photopro66.fr/index.php/compo...rs/?view=login on arrive à un pavé de connexion, du coup un hacker pourrait chercher...

                  Commentaire


                  • #10
                    Re : Inscription des utilisateurs sans mon autorisation

                    Salut,

                    La solution est de créer un fichier default_login.php dans templates/ton_template/html/com_users/login avec le code suivant:
                    Code PHP:
                    <?php
                    defined
                    ('_JEXEC') or die;
                    ?>
                    <h1>Inutile d'insister, il n'y a pas de module de connexion</h1>
                    Tout autre message peut aussi convenir
                    UP, le plugin universel à découvrir sur https//up.lomart.fr
                    bgMax
                    , AdminOrder, MetaData, Zoom, ArtPlug, Custom, Memo, Filter, ... sur http://lomart.fr/extensions

                    Commentaire


                    • #11
                      Re : Inscription des utilisateurs sans mon autorisation

                      Il pourra chercher... mais ne trouvera qu'à essayer de se connecter sans y arriver à moins que tu aies des comptes d'utilisateurs avec des mots de passe simples, ou à demander un rappel d'identifiant ou un changement de mot de passe qui n'aboutiront pas puisque son adresse électronique sera inconnue du site.

                      Ensuite, si tu n'as rien sur ton site qui soit réservé à des membres identifiés, même s'il se connecte, ça ne l'avancera à rien.

                      Enfin, une remarque : les mentions légales sont obligatoires (identité, adresse, SIRET, hébergeur, etc.) pour les sites professionnels (l'hébergeur peut suffire pour un particulier), et je ne les trouve sur aucun de tes deux sites.
                      "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                      MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                      Commentaire


                      • #12
                        Re : Inscription des utilisateurs sans mon autorisation

                        Envoyé par mlamer Voir le message
                        D'accord, mais comment? Quelle faille ?
                        Si la faille est déjà connue, ce serait simple à répondre et ... inutile puisque Joomla aurait alors un patch.

                        Potentiellement : un gars qui parvient à créer un compte pourrait avoir accès à du contenu privé et pourrait proposer un article, un évènement, poster des commentaires, ... n'importe quoi que tu as prévu pour des utilisateurs enregistrés.

                        Quand je vois ton url http://photopro66.fr/index.php/compo...rs/?view=login je me demande comment tu peux avoir une telle url... Repasse dans ta configuration générale pour activer correctement (les deux options) la réécriture des urls et renomme ton fichier htaccess.txt en .htaccess.

                        Ensuite, en interdisant la création d'un compte utilisateur depuis le frontend, tu ne permettras plus de création. L'url que tu as donné; ce n'est pas l'url de création mais de connexion. Rien à voir donc.
                        Christophe (cavo789)
                        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                        Commentaire


                        • #13
                          Re : Inscription des utilisateurs sans mon autorisation

                          Pense également à mettre ton Joomla à jour (deux versions de retard) et si possible ton PHP (tu as dix versions de retard). Je peux même regarder ma boule de cristal et oser affirmer que tu es chez OVH car il n'y a qu'eux pour proposer un antique PHP 5.3.16 alors que nous sommes à la version 5.3.28. Ils ont dû congeler leur administrateur PHP depuis quelques mois...
                          Christophe (cavo789)
                          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                          Commentaire


                          • #14
                            Re : Inscription des utilisateurs sans mon autorisation

                            il n'y a pas de dossier com_users dans le html...Il ya com_content, mod-_custom et mod_login...

                            Commentaire


                            • #15
                              Re : Inscription des utilisateurs sans mon autorisation

                              Envoyé par RobertG Voir le message

                              Enfin, une remarque : les mentions légales sont obligatoires (identité, adresse, SIRET, hébergeur, etc.) pour les sites professionnels (l'hébergeur peut suffire pour un particulier), et je ne les trouve sur aucun de tes deux sites.
                              Ah bon, je ne savais pas...je vais voir ça!


                              Envoyé par cavo789 Voir le message
                              Pense également à mettre ton Joomla à jour (deux versions de retard) et si possible ton PHP (tu as dix versions de retard). Je peux même regarder ma boule de cristal et oser affirmer que tu es chez OVH car il n'y a qu'eux pour proposer un antique PHP 5.3.16 alors que nous sommes à la version 5.3.28. Ils ont dû congeler leur administrateur PHP depuis quelques mois...
                              Pour le PHP, je peux quoi ? Pour le joomla, je vais le faire...
                              Et oui, chez OVH...

                              Envoyé par cavo789 Voir le message
                              Quand je vois ton url http://photopro66.fr/index.php/compo...rs/?view=login je me demande comment tu peux avoir une telle url... Repasse dans ta configuration générale pour activer correctement (les deux options) la réécriture des urls et renomme ton fichier htaccess.txt en .htaccess.

                              Ensuite, en interdisant la création d'un compte utilisateur depuis le frontend, tu ne permettras plus de création. L'url que tu as donné; ce n'est pas l'url de création mais de connexion. Rien à voir donc.
                              Réécriture d'URL en clair (SEF) est activée.
                              Le .htaccess, c'est OK.
                              Dernière édition par mlamer à 20/04/2014, 19h41

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X