Site sécurisé

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Site sécurisé

    Bonjour à tous,
    Comment peut-on voir si notre site est sécurisé, est-ce que c'est dans la version de Joomla ou dans le contrat de l'hébergeur? Mon site normalement est HTTPS, mais depuis quelque temps Avast se déclenche à l'ouverture et à chaque recherche dans le site en mettant: "une menace est détectée" et en indiquant une adresse URL que je ne connais pas. J'ai donc un doute sévère sur la sécurisation de mon site! dotant que mes clients doivent avoir le souci aussi... Merci pour la réponse.
    Pour info, l'URL du site http://www.antykorn-bretagne.com/
    Ce que Avast affiche: http://fg1238tq38le.net/plix/scaner.php?id=4
    VIVI

  • #2
    Re : Site securise

    Bonjour

    Joomla est nativement un CMS fort sécurisé. Il faut voir l'ensemble : as-tu des composants, templates, ... en surnombre, non mis à jour, failible, etc. Est-ce que ton hébergeur a mis en place certains mécanismes comme veiller à toujours avoir la dernière version de PHP (et pas un antique PHP 5.2 p.ex.).

    Est-ce que tu as toi-même intégré certains concepts comme des mots de passe fort, ne pas installer n'importe quoi sur ton site, etc.

    C'est un domaine très vaste.

    Avast rouspète ? Ton site est donc plus que fort probablement vérolé; il n'a quasi aucun doute en fait.

    Petit coup d'oeil à ton code HTML, tu tournes encore sur un vieux Joomla 1.5; c'est hyper risqué. Et donc, tu es encore sur un PHP5.3 au mieux; et ça aussi c'est risqué.

    Et vu que tu poses la question "comment" c'est donc que ton site n'est pas sécurisé et là, ben, c'était donc juste une question de temps puisque J1.5 contient des failles et aussi PHP 5.3.

    Vois ma signature pour des conseils et des outils.

    Bonne journée.
    Christophe (cavo789)
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
    Mes logiciels OpenSource : https://www.avonture.be

    Cette année, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

    Commentaire


    • #3
      Re : Site securise

      Bonsoir
      ben oui c'était juste une question de temps
      Ton site tourne sous J!1.5.18 (si c'est le cas, ce n'est même pas la dernière version de la branche 1.5)
      Ce qui veut dire que tu ne t'es jamais occupé des mises a jour ... ni de Joomla, ni des extensions je suppose ...

      Alors, oui, tu as du souci a te faire .... tu pars de très loin là !

      La règle number one dans tous CMS, c'est de faire les mises a jour !!! Et comme Joomla! est au taquet ... il suis aussi les version récentes de PHP

      Au Pire, tu devras tout recommencer en version 3.6 ... Au mieux, tu fais une migration a la mano ou avec une extension "pro"
      Dernière édition par manu93fr à 20/09/2016, 17h48
      Cette année, le JoomlaDay FR aura lieu à Bruxelles mais les dates du 15 et 16 mai 2020 sont reportées. Plus d'infos sur https://www.joomladay.fr

      Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer

      Commentaire


      • #4
        Re : Site securise

        Merci pour ta réponse Christophe. Le site était il y a quelques jours encore en HTTPS, et nous avons un certificat SSL chez OVH. Donc sécurisé! la version effectivement est ancienne mais j'ai posté il y a quelques temps sur ce sujet et un forumeur s'est proposé il y a plusieurs mois pour me basculer en Joomla 3. Mais j'attends..... J'ai bloqué l'adresse URL qu'Avast annoncait, tout est rentré dans l'ordre. Mais j'ai aussi remarqué que FIREFOX indiquait tous les sites mêmes les plus connus en NON SECURISES depuis quelques temps! je me demande si il n'a pas un souci de ce côté là....
        VIVI

        Commentaire


        • #5
          Re : Site securise

          Pour Manu, j'ai posté à ce sujet il y a plusieurs mois, et tu étais un de mes interlocuteurs! alors dire que je ne m'en suis pas occupée.... J'ai expliqué à l'époque que j'étais coincée financièrement pour migrer en version 3, vu ce qu'on me demande! toutes les mises à jours ont été faites au maximum, mais ça c'est vite arrêté! je trouve ça un peu déplorable car l'informaticien devait le savoir... Bref... Un forumeur sympa m'a proposé de m'aider, j'attends. Qu'est-ce qu'une migration à la mano et l'extension PRO?
          VIVI

          Commentaire


          • #6
            Re : Site sécurisé

            Bonjour

            Oulàlà la méprise. HTTPS n'est pas une sécurisation du site; non non non !

            Le "s" veut dire que les échanges entre ton site et ton utilisateur sont cryptés. En clair : que tu te connectes, ton login et ton mot de passe ne sont pas envoyé en clair mais cryptés et ... c'est tout !

            Zéro protection du serveur ni du site; juste de l'échange.

            Et, rien mais rien ne t'empêche de mettre un Joomla 1.5.26 pour être un peu moins dans la zone rouge. Il n'y a aucune raison de rester en 1.5.18 si j'en crois le numéro de version indiqué par Manu

            Envoyé par vivijipe Voir le message
            toutes les mises à jours ont été faites au maximum
            Euh? 1.5.18 c'est un maximum ça ?
            Christophe (cavo789)
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
            Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
            Mes logiciels OpenSource : https://www.avonture.be

            Cette année, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

            Commentaire


            • #7
              Re : Site sécurisé

              Envoyé par vivijipe Voir le message
              Pour Manu, j'ai posté à ce sujet il y a plusieurs mois, et tu étais un de mes interlocuteurs! alors dire que je ne m'en suis pas occupée.... J'ai expliqué à l'époque que j'étais coincée financièrement pour migrer en version 3, vu ce qu'on me demande! toutes les mises à jours ont été faites au maximum, mais ça c'est vite arrêté! je trouve ça un peu déplorable car l'informaticien devait le savoir... Bref... Un forumeur sympa m'a proposé de m'aider, j'attends. Qu'est-ce qu'une migration à la mano et l'extension PRO?
              Tu parles de cette discussion ?
              http://forum.joomla.fr/showthread.ph...26#post1099326
              Il me semble que je t'avais juste prévenu du risque ... donc les allusions a mon égard ... évite

              Pour faire court, c'est TON site web ... non ?
              A toi de faire ce qu'il faut pour qu'il soit à jour, surtout si c'est une boutique (Moi je dis ça, je dis rien)
              Je peux comprendre tes problèmes, mais on ne peut pas interférer entre ton ancien webmaster et toi. Tu peux toujours te retourner sur un autre webmaster, il y en a des milliers de disponible .... par contre je doute que ce soit "gratuit" ... c'est juste une réalité

              Pour le forumeur "sympa" qui t'as proposer son aide, relance le ... s'il ne répond pas tu sais a quoi t'en tenir
              La migration a la "mano" ?, manuellement donc, on oublie, c'est assez compliqué si tu ne sais pas mettre un site a jour sur une branche.
              Un migration n'est pas chose aisée si on ne comprend pas les actions que l'on fait.

              Quand on te répond ici, ce n'est pas pour te dénigrer, on se doit juste de t'alerter sur les risques a rester sur une branche aussi obselète de Joomla. Rien de plus
              Dernière édition par manu93fr à 21/09/2016, 10h45
              Cette année, le JoomlaDay FR aura lieu à Bruxelles mais les dates du 15 et 16 mai 2020 sont reportées. Plus d'infos sur https://www.joomladay.fr

              Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer

              Commentaire


              • #8
                Re : Site sécurisé

                Manu dit n'importe quoi, nous avons la dernière version téléchargeable 1.5.26!
                VIVI

                Commentaire


                • #9
                  Re : Site sécurisé

                  [Modo]
                  @vivijipe : un peu de respect s'il te plaît. Ecrire "dire n'importe quoi" n'est pas, je pense, très respectueux de ton interlocuteur et n'invite plus à te venir en aide.
                  [/Modo]
                  Christophe (cavo789)
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                  Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                  Mes logiciels OpenSource : https://www.avonture.be

                  Cette année, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

                  Commentaire


                  • #10
                    Re : Site sécurisé

                    Bonjour,

                    Un peu d'explication et d'analyse.
                    Il existe des scanners de vulnérabilité comme celui de sucuri : https://sitecheck.sucuri.net/results...-bretagne.com/

                    Ce scanner teste le site et donne une estimation des risques...
                    Pas de firewall et version < joomla 3.5.1 donc risque majeur de faille de sécurité.

                    Vous pouvez voir dans le "website details" qu'il se base notamment sur la détection de deux fichiers pour J1.5 :
                    /media/system/js/caption.js
                    /language/en-GB/en-GB.ini
                    ces deux fichiers sont présent dans les version de Joomla de la 1.5.18 à la 1.5.26, la confusion vient de là.
                    Rien de plus... navré pour la méprise et on ne fait que tenter de vous aider.

                    Après il y a d'autres outils qui détectent un peu mieux et notamment la liste des composants utilisés, la version, etc.
                    mais ce n'est pas l'objectif de mon analyse...

                    Ce qu'il faut retenir :

                    - maintenir un site e-commerce sous joomla 1.5 est un peu comme jouer avec le feu. Le danger est constant et vous devez avoir des sauvegardes régulières sur plusieurs jours pour ne pas perdre les commandes. Le risque étant que le hacker récupère les comptes et mots de passe clients.

                    - votre admin n'est pas sécurisé... le minimum serait d'ajouter un htpasswd pour éviter que des malins lance un brute force sur la page ou exploitent une faille.

                    - Virtuemart, JCE sont des extensions comportant des failles qui ont été corrigées. Vm a bien évolué et le fait d'être figé dans la version pour j1.5 vous privent des dernières fonctionnalités et de ces derniers correctifs...

                    Il n'y a pas 36 extensions sur votre site et aucune obligation de rester sous joomla 1.5 :
                    - systempay de la banque populaire propose le téléchargement gratuit du pack pour virtuemart : https://systempay.cyberpluspaiement....ributions.html
                    - la migration contenu vm & joomla peut se faire assez facilement !

                    Désolé pour mes propos car je vais être brutal mais réaliste.

                    Pour moi, soit le budget de migration est peut être surestimé soit vous ne consacrez aucun budget pour votre site web. Il n'y a pas de template personnalisé et même un template vierge peut être configuré en quelques minutes pour retrouver l'ancien. Vos urls ne sont même pas réécrites et le slogan "...because open source matters" n'a jamais été changé depuis l'origine... Mis à part un peu de temps et en ajoute un peu d'huile de coude, vous n'avez pratiquement aucun frais pour migrer vous-même.

                    N'attendez pas que quelqu'un fasse le travail à votre place ou payez le !

                    Vous avez un site e-commerce donc vous avez au moins les moyens d'investir une centaine d'euros pour éviter de vous retrouver dans une fâcheuse situation... Le principe de la migration, c'est de télécharger votre site actuel et de l'installer localement (dans un serveur wamp par exemple) puis d'installer un joomla 3.6.x dans un 2ème repertoire de votre serveur avec une base distincte. L'importation de contenu d'un site à l'autre se fait en quelques minutes (utilisateurs, produits, pages articles...) et il vous reste juste à personnaliser un minima le template de votre choix.

                    A l'image du site original, il ne faut pas plus d'une heure pour faire ce travail pour ensuite le publier (en utilisant akeeba).
                    Le dernier conseil, c'est de profiter de la migration pour choisir un template qui peut mettre en valeur vos produits et la bretagne.

                    Cordialement,

                    Yann
                    Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                    Commentaire


                    • #11
                      Re : Site sécurisé

                      Envoyé par vivijipe Voir le message
                      Manu dit n'importe quoi, nous avons la dernière version téléchargeable 1.5.26!
                      Oui mais encore ... sourire ... c'est vrai que de rester en 1.526 , ça va te sauver !
                      On peut se tromper sur une version de Joomla! (c'est un outil qui m'a donné ta version) mais pas sur ta question initiale -> mon site est il sécurisé ? Et la dessus, je crois qu'on a fait le tour !

                      Je commence a comprendre la réaction du bon samaritain qui voulait t'aider ... je vais faire comme lui .. c'est bête, je commençais tout juste a compatir et a vouloir t'aider .... gratos bien sur
                      Cette année, le JoomlaDay FR aura lieu à Bruxelles mais les dates du 15 et 16 mai 2020 sont reportées. Plus d'infos sur https://www.joomladay.fr

                      Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer

                      Commentaire


                      • #12
                        Re : Site sécurisé

                        Juste pour info en complément de sécurité :

                        Afin de prévenir, vous pouvez également activer un monitoring de base en utilisant un webservice comme https://uptimerobot.com
                        Le monitoring nous informe régulièrement des problèmes d'accès.

                        Il existe également l'alerte par email en cas d'echecs d'accès à l'url de Notification instantanée de paiement (IPN) de system pay (à voir dans la console de votre passerelle de paiement).

                        Le système de sauvegarde doit être automatique et au minimum quotidien. Vous devez tester également la restauration pour vérifier que la sauvegarde fonctionne correctement.
                        Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                        Commentaire


                        • #13
                          Re : Site sécurisé

                          Je ne pense pas être irrespectueuse puisque "tu dis qu'il a dit"; ça fait déjà 2 fois sur le même post que Manu dit des choses erronnées. Lis sa réponse à ma demande, quand il met que je ne m'occupe pas de mon site, je suis un peu choquée. Ce site a été installé par un informaticien qui nous a taxé de plusieurs milliers d'€, en nous imposant Joomla, et peu de temps après il faut qu'on remette ça. Les mises à jour ont été faites régulièrement, j'ai apporté toutes les améliorations que je pouvais y apporter et je n'ai aucune solution pour avoir un site qui fonctionne bien, en toute sécurité. Bon, voilà, maintenant il faut aussi être correct avec moi . Pour l'instant je cherche l'explication pour savoir pourquoi le site d'un seul coup n'est plus sécurisé d'après le navigateur (par OVH et par l'informaticien, il y était). C'est tout.
                          Merci pour vos réponses
                          VIVI

                          Commentaire


                          • #14
                            Re : Site sécurisé

                            Merci Daneel pour ces renseignements qui me sont très précieux. Je n'y connais absolument rien en informatique, j'ai appris quelques trucs sur le tas et, vu, ce qu'on me réclame pour faire la migration que je doute d'être capable de faire moi-même sans perdre mon site, et malheureusement on est loin de quelques centaines d'€, c'est pour cela que je n'ai pas pu le faire. Loin de là le fait que je ne veuille pas payer, mais il faut que ça reste raisonnable, surtout si vous me dites que ce n'est pas si énorme que ça à faire, pour un pro...Je vais étudier votre message très intéressant, mettre à profit les conseils et étudier sérieusement certains paramètres. Je vais voir avec la personne qui doit m'aider à la transition. Si elle est trop occupée, je verrais autrement.
                            VIVI

                            Commentaire


                            • #15
                              Re : Site sécurisé

                              Allez revenons à l'essentiel !

                              La démarche est bien de vous aider. J'ai donné quelques conseils comme protéger la page admin, ajouter un monitoring...
                              libre à vous d'en tenir compte ou pas mais n'hésitez pas à faire un retour sur ces différents points de sécurisation. Pour moi, la configuration mutu peut donner susciter quelques problèmes pour faire tourner un site e-commerce (je me base sur mon experience auprès de configuration similaire).

                              Je vous laisse réfléchir sur la migration mais n'hésitez pas à poser les bonnes questions dans vos étapes de migration, cela peut donner aussi lieu à une remise en cause de la méthode pour sécuriser, optimiser ou apporter un peu plus de design dans votre site.

                              N'oubliez pas que cela vous pénalise déjà sur le mobile, votre site n'étant pas adapté aux smartphones, Google pénalise le référencement de vos pages et difficile de sortir d'une pénalité... il est donc urgent de réagir !

                              Sur votre certificat SSL :

                              Comme l'a dit christophe, cela ne sécurise en aucun cas le site mais uniquement les échanges... la encore, le choix du certificat est important pour un site e-commerce mais on reviendra plus tard sur ce sujet.

                              Pour info, ssllabs teste le certificat ssl : https://www.ssllabs.com/ssltest/
                              Normalement c'est bon, il indique simplement que votre certificat n'est pas compatible sni donc ne fonctionne pas sous ie8 (donc les anciens internet explorer comme celui sur xp...). Le certificat est celui de let's encrypt qui est gratuit. Il est déployé sur toutes les configurations mutualisés chez votre hébergeur.

                              Par contre, votre hébergeur n'effectuera pas la modification du passage http vers https à votre place. Pour cela vous devez editer votre fichier htaccess et ajouter une redirection déjà donnée sur le forum (en cherchant un peu).

                              Pour le https, vous avez des éléments en http d'où l'indication du mix dans les navigateurs (la page mélange http et https)
                              dans votre contenu par exemple, vos urls sont écrit en dur avec le "http" devant... alors que les liens internes devraient être relatifs ( http://www.alsacreations.com/astuce/...t-absolus.html )

                              Sous chrome, tapez votre adresse avec le "https"
                              https://www.________-bretagne.com/
                              puis examinez le résultat dans la console (accessible depuis le bouton droit puis inspecter / onglet console)

                              On voit effectivement que l'icône cyberplus est indiqué en lien http dans votre article au lieu du https, idem pour un fichier de syndication url .... Le plus inquiétant étant :

                              stat15d.php:5 Mixed Content: The page at 'https://www.________-bretagne.com/' was loaded over HTTPS, but requested an insecure script 'http://.....net/plix/scaner.php?id=4'. This request has been blocked; the content must be served over HTTPS.(anonymous function) @ stat15d.php:5

                              (index):163 Mixed Content: The page at 'https://www.________-bretagne.com/' was loaded over HTTPS, but requested an insecure image 'http://www.antykorn-bretagne.com/images/stories/an_ty_korn/logo_cyberplus.gif'. This content should also be served over HTTPS.

                              (index):1 Mixed Content: The page at 'https://www.________-bretagne.com/' was loaded over HTTPS, but requested an insecure script 'http://pagead2.googlesyndication.com/pagead/show_ads.js'. This request has been blocked; the content must be served over HTTPS.
                              donc le fichier : https://www.________-bretagne.com/me...js/stat15d.php
                              me parait plus que suspect et ne devrait pas exister ! C'est sans doute que votre site est hacké !
                              Voila pourquoi vous avez l'alerte d'avast !

                              Le mieux étant de nettoyer votre site ou de faire appel à des personnes susceptible de le faire sérieusement.
                              Vous pouvez poster votre demande dans "demande de service" et profitez pour demander un devis sur la migration.
                              http://forum.joomla.fr/forumdisplay....nde-de-service

                              Bon je crois que j'ai ma BA de la journée

                              Yann
                              Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X