Je reviens sur cette histoire de spam.
Je me demandais quel était l'intérêt de spammer l'administrateur d'un site Joomla.

En fait, si on part de l’hypothèse que beaucoup d'utilisateur partent du site Joomla de base avec les pages exemples installées.
Alors il suffit d'appeler la fiche contact exemple 1 sur n'importe quel site Joomla (index.php?option=com_contact&view=contact&id=1)
Et peut-être 1 fois sur 2 , on tombe sur un formulaire non protégé...
Reste plus qu'à faire un robot qui tape au hasard sur tous les sites Joomla... et voilà ! comment empoisonner des milliers d'utilisateurs Joomla

Si quelqu'un pouvait remonter ça aux équipes de développeurs, ça pourrait être utile (j'ai pas encore eu assez de temps pour me mettre à Github pour proposer un commit à ce sujet)

Bonjour,

Les développeurs n'y feront rien. A partir du moment où un concat existe, qu'il y ait ou pas de formulaire qui lui soit lié, l'adresse est fonctionnelle. Idem pour la création de compte : si ell est autorisée, que le formulaire soit ou non visible, son adresse est utilisable.

Alors oui, il faut supprimer les contacts standard si on ne se sert pas de son formulaire, tout comme il faut désactiver les inscriptions si le site n'en a pas besoin. Seules ces interventions permettront de désactiver les adresses qu'utilisent les spammeurs.

Bonjour Charlynancy. Je suis confronté au même problème de spam. Je constatais que l'adresse mail liée à mon site était utilisée pour envoyer des spams. Des mailer daemon dans ma boîte spam me le prouvaient. J'ai changé l'adresse mail liée au site et ça a continué avec la nouvelle adresse mail. Cette nouvelle adresse apparaissait dans les fiches de contact pour me permettre de faire des tests... Je l'ai donc supprimée de la liste de contacts. Mais il reste d'autres contacts. Leurs adresses ne vont-elles pas être utilisées à leur tour par le spammeur?
Le plugin Captcha - ReCaptcha est activé mais non configuré (je ne sais pas trop comment m'y prendre...)
Par ailleurs j'ai supprimé l'utilisateur "admin" qui était dans le groupe utilisateurs "public" car le log des actions utilisateur me montre de régulières tentatives de connexions à l'administration.

Bonjour,
Si des formulaires standard sont nécessaires, il faut activer le captcha : pour reCaptcha récupérer les clés site et secrète depuis le lien présent dans le plugin (captcha 2 sur l'un ou captcha invisible sur l'autre) et l'activer, puis activer son utilisation dans la configuration générale du site, ça limitera les attaques par robots.

S'il y a des attaques sur l'administration, il faut ajouter une extension qui nécessite un "code" ajouté à l'adresse de l'administration, Admin Exile par exemple, ou équivalent : sans cette info supplémentaire, le formulaire d'identification ne sera pas affiché.

Bonjour.

J'ajouterai que modifier l'adresse e-mail dans la config du site ou pisser dans un violon, c'est la même chose.

L'adresse e-mail du site n'est pas directement utilisée puis que ce sont les formulaires qui sont sollicités. CQFD.

J'ai donc supprimé le menu contacts en page d'accueil, les fiches de contact dans l'administration, j'ai activé le plugin Recaptcha (qui a un inconvénient, c'est que si on veut modifier un article ou un module depuis la frontpage, il faut remplir un captcha) et j'espère avoir réglé mon problème de spams.
Par ailleurs j'ai carrément supprimé l'identifiant administrator/admin. Le superadministrateur a un autre nom et est moins identifiable.
Merci à vous tous, O.B.

"admin" est en effet depuis longtemps déconseillé car trop facile à trouver.

Bonjour Robert,

Et si aucun de ces formulaires n'est nécessaire (j'utilise une extension pour générer les formulaires dont j'ai besoin), comment faire pour éviter que
n'affiche un formulaire ?

En fait, j'aimerais même que cette URL n'affiche rien du tout : puis-je carrément supprimer toute fiche contact, sans risquer que mes formulaires (gérés par Chronoform) dysfonctionnent ?

Merci.

PS: c'est en découvrant que j'étais loin d'être la seule à me faire spammer depuis mon propre site par des milliers de mail delivery failed que j'ai fouillé le forum et (re)découvert que Joomla intégrait ces fiches contact (que je n'ai jamais utilisé, mais j'ai visiblement renseigné une de ces fiches en 2014 quand j'ai créé mon premier site sous Joomla!) et que c'était probablement grâce à ça que le hacker/spammer passait...
J'ai donc commencé par supprimer toutes les fiches contact exemple et les catégories de contact correspondantes.
Mes formulaires sont tous sécurisés par un captcha, j'étais loin de penser qu'il pouvait y avoir des données exemple permettant d'accéder à un formulaire !

Bonjour,

Si tu n'as pas besoin d'utiliser le formulaire standard, il suffit que tu n'aies aucun "contact" dans le composant standard, l'adresse aboutira à une erreur 404. Dans la mesure où tu as supprimé ce contact, tu ne devrais donc plus être contactée par ce formulaire.

Merci Robert, problème réglé