alerte OVH

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] alerte OVH

    Alerte
    OVH a mis en place un robot qui repère les versions des cms et de leurs extensions qui ne sont pas à jour et qui bloquent systématiquement l'accès au site par modification des doits chmod.
    Ils mettent les webmasters au pied du mur pour effectuer les mises à jour en bloquant le site au lieu d'envoyer un simple mail d'avertissement.
    Je suis scandalisée par cette intrusion
    Information à faire circuler: ce serait bien d'obtenir d'être prévenus seulement et non bloqués

  • #2
    Re : alerte OVH

    Effectivement, mais il suffit de voir ici les multiples fois où nous conseillons fortement à des utilisateurs de migrer leurs sites et de les mettre à jour, en ayant des réponses qui montrent bien qu'ils n'ont pas l'intention de le faire! J'imagine qu'OVH n'a pas voulu s'encombrer de mails qui trop souvent n'auraient aucun impact...
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

    Commentaire


    • #3
      Re : alerte OVH

      Certes la position semble radicale, mais pas d'autre choix face à l'irresponsabilité de certains (beaucoup ?) quant à la maintenance de leur(s) site(s).

      On le sait bien, la sensibilisation ne sert presque plus à rien, et il faut passer par le répressif pour faire bouger les choses.

      Commentaire


      • #4
        Re : alerte OVH

        Je doute de la légalité de cette pratique..
        Dernière édition par Five_Phil à 21/07/2014, 18h12

        Commentaire


        • #5
          Re : alerte OVH

          Envoyé par Five_Phil Voir le message
          Je doute de la l'égalité de cette pratique..
          Pas si sûr, sur un serveur mutualisé, une intrusion sur un site, met en danger les autres sites du même serveur, qu'ils soient à jour (eux) ou pas.

          Et c'est de la responsabilité de l'hébergeur de faire en sorte que cela ne se produise pas.

          Que les hébergeurs se protègent des inconscients par tous les moyens ne semble pas tout à fait illégitime. @RobertG le dit bien, on n'a pas de cesse sur le forum de dire et répéter de mettre à jour les versions Joomla! (et certainement que Wordpress, Drupal et les autres font de même).
          Une version Joomla 1.5 est un danger pour le site de son propriétaire et aussi pour tous les sites qui cohabitent sur le même serveur. Personnellement je met à jour mon site aussitôt que possible pour Joomla!, mais aussi pour tous les composants que j'utilise. Je détesterai que mon site soit hacké parce qu'un petit malin plus fainéant que la moyenne a laissé son site mourir en douceur sur le même serveur mutualisé que moi.

          Alors oui, pour une fois je pense que OVH prend la bonne décision. Et si @mathrem voulait bien en prime nous donner son numéro de version Joomla! active sur son serveur, je pense que nous serions à même de voir depuis combien de temps il n'a pas bougé
          Dernière édition par PieceOfCake à 21/07/2014, 08h18
          Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

          Commentaire


          • #6
            Re : alerte OVH

            Je suis d'accord sur vos remarques de mise à jour, c'est tellement évident. Mais je reste quand même sur mon 1er avis
            - la pratique est quand même limite légal à mon sens

            Envoyé par mathrem Voir le message
            Ils mettent les webmasters au pied du mur pour effectuer les mises à jour en bloquant le site au lieu d'envoyer un simple mail d'avertissement.
            Alors non ce n'est pas une décision ou plutôt une pratique qui est "juste" elle est juste dominante, voir contraignante, elle devrait être juste avenante vis à vis de ces clients avant d'arriver à cette décision finale bloquante.

            Mais c'est sure cela n'excuse pas mathrem, il est surement en retard..

            Commentaire


            • #7
              Re : alerte OVH

              Envoyé par PieceOfCake Voir le message
              Pas si sûr, sur un serveur mutualisé, une intrusion sur un site, met en danger les autres sites du même serveur, qu'ils soient à jour (eux) ou pas.

              Et c'est de la responsabilité de l'hébergeur de faire en sorte que cela ne se produise pas.

              Que les hébergeurs se protègent des inconscients par tous les moyens ne semble pas tout à fait illégitime. @RobertG le dit bien, on n'a pas de cesse sur le forum de dire et répéter de mettre à jour les versions Joomla! (et certainement que Wordpress, Drupal et les autres font de même).
              Une version Joomla 1.5 est un danger pour le site de son propriétaire et aussi pour tous les sites qui cohabitent sur le même serveur. Personnellement je met à jour mon site aussitôt que possible pour Joomla!, mais aussi pour tous les composants que j'utilise. Je détesterai que mon site soit hacké parce qu'un petit malin plus fainéant que la moyenne a laissé son site mourir en douceur sur le même serveur mutualisé que moi.

              Alors oui, pour une fois je pense que OVH prend la bonne décision. Et si @mathrem voulait bien en prime nous donner son numéro de version Joomla! active sur son serveur, je pense que nous serions à même de voir depuis combien de temps il n'a pas bougé
              je ne te permet pas tes insinuations, je suis webmaster et je gère plus d'une vingtaine de sites

              Commentaire


              • #8
                Re : alerte OVH

                Quelles insinuations ?

                Le fait est que :

                tu utilises des objets dépassés et considérés comme dangereux par la communauté Joomla!, pour lesquels des évolutions de versions successives au cours des 5 dernières années ont bouché de multiples failles de sécurité non pas dans les versions que tu utilises, mais dans les versions successives de Joomla! ainsi que dans les composants utilisés par ces versions obsolètes.

                Des insinuations s'effectuent sans preuves. Je n'insinue pas j'affirme des faits irréfutables. La version 2 de Joomla! (de la 2.0 à la 2.5.22) a réparé de multiples failles et corrigé de nombreuses erreurs de code et ce n'est pas faire injure aux développeurs, c'est la vie d'un cycle de développement.
                La version 3 de la 3.0 à la 3.3.4 actuelle a poursuivi ce travail de réparation. Elle est notoirement reconnue par la communauté comme la plus stable ayant jamais été déployé et le plus sure depuis la mise en œuvre de Joomla!

                Continuer à utiliser une version aussi obsolète que la 1.5 est une mise en danger non seulement des sites que tu administres mais aussi de tous les sites hébergés sur les serveurs concernés.

                Tu te dis webmaster, c'est le moment de le prouver en organisant la migration de tes sites vers un environnement sécurisé. Il n'est que grand temps
                Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

                Commentaire


                • #9
                  Re : alerte OVH

                  il bloques les sites dont les composants ont combien de versions de retard ?

                  Commentaire


                  • #10
                    Re : alerte OVH

                    Les mesures employées par cet hébergeur sont peut être fortes mais cela relève des obligations en France de l'hébergeur pour la sécurité physique et logique. Ce dernier doit mettre également tous les moyens en oeuvre avant que sa responsabilité soit engagé en connaissance de cause. Autrement dit, ils ne peuvent pas attendre quand la faille est déclarée que le client corrige le problème. Aux grand maux, les grands remèdes...

                    Par comparaison, vous avez plus de soucis quand Google vous blackliste d'un écran rouge d'avertissement. Dans la plupart des cas, le hacker s'est installé dans votre site sans vous rendre compte, il modifie le htaccess pour rediriger toute requête provenant de google sur un de ces sites malware et autres. Bref, vous perdez à la fois votre site, votre référencement et vous devez désormais indiquer que vous avez pris les mesures nécessaires via les googles webmaster tools... A choisir entre un site bloqué par l'hébergeur ou perdre le référencement et le travail de plusieurs années, je vous laisse deviner ma préférence !

                    Les procédures anti-hack ne sont pas récentes mais les attaques des anciennes versions de Joomla sont de plus en plus courantes et faciles donc les mesures de prévention se sont donc multipliées. Vous être toujours libre de changer d'hébergeur ou de migrer vos sites sur une autre solution. Avant tout, si vous êtes bloqués chez ovh par exemple, prenez le temps de lire leur procédure : https://www.ovh.com/fr/g1392.mutuali..._pour_hack_ovh

                    ----------------------------------

                    Pour info :

                    Joomla 1.5 n'est plus suivi et les extensions tierces sont depuis longtemps obsolètes. Par exemple, si vous avez encore JCE actif sous Joomla 1.5, vous avez automatiquement une faille (très connue) ! Alors courage, faites le grand saut ! Vous avez raté Joomla 2.5, ne ratez pas Joomla 3 !!!

                    Il n'y a aucun malentendu, il ne faut pas se plaindre aujourd'hui alors que le message a toujours été clair.

                    Outre l'obsolescence de joomla 1.5, il y a plusieurs raison de migrer les sites :

                    - html5 et css3, boostrap, fontface et responsive : rien que pour les nombreux avantages de performance, de qualité d'affichage sur des supports mobiles (40% des navigations sont sur tablettes et smartphones), je prends !

                    - Ergonomie dans l'administration de Joomla. Convivial, responsive ! Combien de personnes n'ont toujours pas compris la différence entre section et catégorie sous Joomla 1.5 !

                    - La gestion de droits, le multilangue natif... Combien de personnes ont du utiliser des hacks pour améliorer la gestion de droits rendant difficile l'application d'une mise à jour de joomla. C'est du passé maintenant ! On appréciera également la surcharge (l'override) pour personnaliser sans modifier les fichiers natifs.

                    - Les mises à jour automatiques depuis le backend autant pour Joomla que pour ses extensions et templates... en quelques clics, c'est fait! Quel gain de temps!

                    - Performance : Oui! Joomla 3 bien configuré est bien plus performant! Par exemple, on ne charge plus la librairie mootools qui était utilisé par peu d'extensions. Jquery natif! Le routeur s'est amélioré également en performance.

                    - le cache optimisé : memcached est par exemple très apprécié, votre hébergeur l'a installé ? le gestionnaire de cache sous Joomla 3 l'utilise à merveille !

                    - La double authentification native ! A titre perso, tous mes emails, accès FTP/SSH et identification de site web passent obligatoirement par l'activation via mon smartphone (j'utilise google authenticator ou latch). Si je perd mon téléphone, j'ai toujours le moyen de desactiver cela, c'est une sécurité supplémentaire.

                    - Exigez php 5.3.10 minimum !! Si votre site Joomla 1.5 est obsolète, il se peut que l'hébergement le soit également... Les dernières versions de Joomla ne fonctionneront que sur php 5.3.10, cette version intègre bcrypt, un algorythme qui renforce la sécurité pour vos mots de passe. Avec les attaques répétés sur les cms populaires (Joomla, Drupal, Wordpress), les développeurs se sont adaptés.

                    ------------------------------------

                    Alors en résumé : OUI ! Les hébergeurs sont obligé de réagir promptement. Je pense que l'avertissement par mail arrive également mais que le blocage doit se faire sans délai. Imposer un délai de 24 ou 48h avant d'agir serait préjudiciable à l'hébergeur et certains pourraient en profiter pour porter en justice.

                    Certainement que le temps, les moyens financiers ou techniques vous manquent pour migrer... mais dans tous les cas, vous ne pouvez pas rester dans cette situation sur un serveur mutualisé. A ceux qui se refusent, je conseille tout simplement de transformer leur site en statique (en page html sans admin via HTTrack par exemple) ou avoir suffisamment de technicité pour continuer à protéger efficacement leur site 1.5 soit dans leur propre dédié, soit un hebergeur qui prendra ses propres responsabilités.
                    Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                    Commentaire


                    • #11
                      Re : alerte OVH

                      les propriétaires des sites ne peuvent pas forcément faire les mises à jour, ils ne savent pas et n'ont pas forcément les moyens de payer des honoraires pour le faire faire.Quand à moi je te rassure, les sites dont je suis propriétaire sont tous mis à jour, alors tes leçons tu te les gardes!

                      Commentaire


                      • #12
                        Re : alerte OVH

                        tout ce que tu dis à mon propos est entièrement gratuit, moi je n'utilises rien de ce que tu dis, tu ne connais pas ce que je fais, le forum n'est pas un tribunal, les sites que j'ai fait après je ne les gère plus, j'ai eu le retour par mes clients qui eux sont dépourvus devant cette situation et ne savent pas forcément faire des mises à jour à partir de joomla 1.5 ou alors craignent de le faire.
                        Je demanderai bien des excuses sur tes affirmations " Continuer à utiliser une version aussi obsolète que la 1.5 est une mise en danger non seulement des sites que tu administres mais aussi de tous les sites hébergés sur les serveurs concernés.
                        Tu te dis webmaster, c'est le moment de le prouver en organisant la migration de tes sites vers un environnement sécurisé. Il n'est que grand temps "

                        pour moi çà va, alors soit un peu moins vindicatif sans savoir

                        Commentaire


                        • #13
                          Re : alerte OVH

                          dernière version installée en janvier et ses extensions (acymailing), ce devait être la 2.5.15 je pense avec jupgrade,
                          de plus version de dernière de wordpress installée en mars : idem

                          Commentaire


                          • #14
                            Re : alerte OVH

                            Envoyé par mathrem Voir le message
                            tout ce que tu dis à mon propos est entièrement gratuit, moi je n'utilises rien de ce que tu dis, tu ne connais pas ce que je fais, le forum n'est pas un tribunal, les sites que j'ai fait après je ne les gère plus, j'ai eu le retour par mes clients qui eux sont dépourvus devant cette situation et ne savent pas forcément faire des mises à jour à partir de joomla 1.5 ou alors craignent de le faire.
                            Envoyé par mathrem Voir le message
                            alors tes leçons tu te les gardes!
                            Bonjour,

                            Pas de soucis, on assume parfaitement le discours "il faut migrer!".

                            On est juste à préciser que l’hébergeur réagit par rapport à ses obligations. Pourquoi s'énerver ?
                            C'est plutôt de l'étonnement, il n'y a pas de problème à dire que les versions sont obsolètes, non ?

                            D'après les échos que j'ai eu, ovh bloque les versions 1.5, peut être aujourd'hui les 1.6, 1.7... ?
                            Quand aux versions mineures, 2.5.x et 3.3.x... cela m'étonne qu'il soit déjà à ce niveau de blocage
                            Pour les extensions, on commence à voir de plus en plus de référence à VEL ( http://vel.joomla.org/ ).

                            Personnellement, je peux comprendre que l'on n'est pas migré depuis 2012 pour x raisons mais je reste persuadé qu'un site n'ayant pas évolué depuis deux ans est un site mort. Il n'y a pas que le contenu à s'occuper mais aussi des versions.
                            Si je t'ai donné les nombreux exemples de pourquoi migrer, c'est valable autant pour la sécurité que pour le référencement, la performance... Aujourd'hui je viens de passer "bénévolement" une heure pour aider une asso à migrer... pas compliqué quand même et ce n'est pas un gouffre financier !

                            On est là pour aider gracieusement, on n'est pas là pour vous juger. Merci de respecter cela.

                            Yann.
                            Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                            Commentaire


                            • #15
                              Re : alerte OVH

                              Envoyé par mathrem Voir le message
                              dernière version installée en janvier et ses extensions (acymailing), ce devait être la 2.5.15 je pense avec jupgrade,
                              de plus version de dernière de wordpress installée en mars : idem
                              Reste à prouver que ces versions ont bien été considérées comme obsolètes et bloquées pur cette raison et qu'il ne s'agit pas d'un blocage consécutif à un piratage.

                              Pour info, tourne encore chez OVH en mode hors-ligne (depuis trois ou quatre ans) le site Joomla! 1.0 d'une amie, qu'elle n'avait pas voulu migrer en raison de nombreuses modifications sur des extensions, et qui n'a pas été supprimé. OVH n'a pas bloqué ce site.
                              "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                              MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X