Conflit Mot de passe

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Conflit Mot de passe

    Bonjour à toutes et à tous,

    Je rencontre un problème sur un site de version Joomla 2.5.28:
    depuis une mise à jour d'un module nommé JCE Editor, les mots de passe ne sont plus écrits et lus de la même manière.
    Je m'explique:
    Lors de la création d'un compte via le site ou lors du changement d'un mot de passe par ce même site, les mots de passe associés à ces comptes créés/modifiés ne sont plus reconnus (login échoue).
    Lorsque je compare ces mots de passe stockés dans la base avec ceux dont le login réussi, il s'avère que ces derniers
    sont stockés de cette manière qsTr89@$:assOppaX1, avec SALT, alors que ceux qui échoue sont stockés
    SANS SALT.

    Information importante:
    Le client n'envisage pas de passer à une version plus récente de Joomla.

    Je suis dans une petite impasse.
    Pourrais-je avoir de l'aide?

    Merci d'avance

    Cordialement
    Abdoupepone

  • #2
    Re : Conflit Mot de passe

    Bonjour et bienvenue sur ce forum.

    Pour débuter, il est "suicidaire" de dire "le client n'envisage pas de passer à une version plus récente". Je viens de mettre à jour un site en version 2.5.28 qui était un nid à virus avec des comportements de plus en plus bizarres (un peu comme le vôtre...). De plus, un jour ou l'autre votre hébergeur changera de version php et vous n'aurez d'autre choix que d'évoluer...Actuellement, en php, on en est à la version 7.1.0 et les anciennes versions sont de moins en moins maintenues, chaque nouvelle version corrigeant des failles de sécurité en plus des bugs habituels (tout comme Joomla qui est maintenant en 3.6.5).

    Pour revenir à votre problème, je n'ai pas encore vu l'extension JCE modifier les modules de création de compte.

    Avez-vous un template spécial qui aurait dans un répertoire HTML avec un sous-répertoire com_users ou mod_login ? utilisez-vous des extensions telles que Community Builder ?

    Il est effectivement anormal d'avoir des mots de passe non cryptés dans votre base de données.

    Si vous avez une sauvegarde de votre site avant mise à jour JCE, c'est peut-être le moment de la tester en local puis, si elle fonctionne correctement, d'aller l'installer sur votre site.

    Cordialement,

    Pascal
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      Re : Conflit Mot de passe

      Bonsoir,
      JCE n'affecte en rien les champs de saisie des mots de passe utilisateurs, jamais !

      Cela me fait plus penser à un site compromis (hacké) ou avec des fichiers endommagés (peut être pour la même raison).

      C'est un Joomla 2.5.28 patché contre la faille de sécurité récente ? Si non, il est fortement possible que le site ait été hacké...

      Cordialement,
      Chabi01 - http://www.xlformation.com

      Commentaire


      • #4
        Re : Conflit Mot de passe

        Bonjour Chabi01,

        Merci pour ta réponse.
        Je ne pense pas que la version 2.5.28 soit patchée contre les failles.
        J'avais une petite appréhension sur ça (hacking).

        Mais je pense que je vais suivre le conseil de Pascal (pmleconte): Passer à la version 3.6.5 de Joomla.

        Merci encore

        Cordialement

        Commentaire


        • #5
          Re : Conflit Mot de passe

          Bonjour Pascal,

          Merci pour ta réponse. Désolé de ne pas avoir répondu plus tôt (trêve des confiseurs ).

          Je vais faire le forcing pour passer à la version 3.6.5 de Joomla.
          Peux-tu me conseiller une méthode fonctionnelle et facile à mettre en place pour faire cet upgrade?

          De plus, quelles sont les premières mesures à prendre pour éviter les hacks (comme le suggère chabi01)?
          Dans le htaccess par exemple? Mettre les fichiers en "lecture seule"?

          Merci d'avance.

          Cordialement.

          Commentaire


          • #6
            Re : Conflit Mot de passe

            Bonjour,

            La meilleure solution est la mise à jour rapide.

            AEsecure (https://www.aesecure.com/fr/) permet de fermer quelques portes (htaccess, contrôle des accès sur les répertoires,...) mais, les hackeurs passent par les failles connues des CMS.

            Pour faire la mise à jour, il y a un guide qui a été fait : https://docs.joomla.org/Joomla_2.5_t...p_Migration/fr.

            Personnellement, je procède comme suit:
            - sauvegarde de l'existant avec akeeba
            - récupération de la sauvegarde en local
            - création d'un environnement en local avec uwamp (http://www.uwamp.com/fr/) sur mon PC à l'identique (même version php)
            - contrôle avec antivirus de tous les fichiers
            - installation des mises à jour (Joomla + modules/extension)
            - remplacement des extensions/modules qui ne fonctionnent plus en 3.6 (revoir le template qui souvent n'a pas été prévu en responsive)
            - mise à niveau du php
            - sauvegarde du nouvel environnement une fois qu'il est ok (akeeba encore)
            - restauration du nouvel environnement dans une répertoire du serveur d'exploitation
            - test avec l'environnement de production (en général, la version php pose problème)
            - mise à jour de la version php de l'environnement de production (qui peut provoquer l'arrêt du site de production)
            - bascule des répertoires

            Cela nécessite un peu de temps, mais, en respectant bien ces étapes, cela fonctionne.

            Remarque: si tu as des intrus dans ton système ou que tu as des doutes, tu peux recréer un environnement "neuf" 3.6.5 et ne récupérer que les articles avec un outil style J2XML (http://www.eshiol.it/joomla/j2xml/j2xml-3.html). Cette solution ne fonctionne que si ton site est assez simple et ne contient pas trop d'extensions "exotiques".

            Naturellement, nous sommes là pour aider en cas de soucis.

            A bientôt,

            Pascal
            If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

            Commentaire


            • #7
              Re : Conflit Mot de passe

              A noter que JCE vient de passer en 2.6.x (les corrections se succèdent très rapidement, une mise à jour vient de sortir il y a quelques heures) : si vous étiez en 2.5.x pour JCE, vérifier si en désinstallant la version 2.6 et en passant en 2.5 cela va mieux...

              Mais je le redis, dans le doute du hack (je suis un peu parano...), je préfère tout vérifier.

              Est-ce que tu as une url de ton site à fournir ? Regarde également sur le site d'Aesecure, tu as un outil fourni par l'auteur qui va pouvoir te scanner ton site pour te donner déjà quelques infos :


              Et.... Bonne année !!!

              Cordialement,
              Chabi01 - http://www.xlformation.com

              Commentaire

              Annonce

              Réduire
              Aucune annonce pour le moment.

              Partenaire de l'association

              Réduire

              Hébergeur Web PlanetHoster
              Travaille ...
              X