Re : Possible piratage Joomla 3.4.8

Salut

A ton avis ? Tu fais quoi ? Aaaaah, tu ne mets pas à jour. Ben, c'est pas bon alors

Re : Possible piratage Joomla 3.4.8

Même ce type d'extensions liées au design ? Sûr et certain, ça joue ? Un exemple ? juste pour ma culture perso, pendant que je fais mes MAJ...

Re : Possible piratage Joomla 3.4.8

Avec chaque composant, tu as toujours la possibilité de faire du "cosmétique" sans pour autant perdre les possibilités de mises à jour.
Avec Maximenuck par exemple, tu dupliques ton "template" de menu et tu peux alors faire toutes les mises à jour que tu veux : tu ne perdras pas ton template.
Et si ton compo/module n'a pas cette possibilité, tu as 2 autres solutions :
- tu fais des surcharges de templates
- tu sauvegardes sur ta machine toutes les modifs que tu as pu faire dans le compo/module pour pouvoir les réappliquer rapidement en cas de mise à jour qui te fait perdre tes personnalisations.

Cordialement

Re : Possible piratage Joomla 3.4.8

Oui oui tout-à-fait, c'est exactement ce que je fais pour la plupart de mes extensions, les 2 techniques, selon mes habitudes ou préférences. Je copie même certains fichiers modifiés directement sur les sites, à coté des fichiers originaux, en les renommant, afin d'être sûr de les avoir sous la main en cas de souci.

Mais sur des extensions très cosmétiques (les menus, les carrousels, les slideshow), j'avoue désactiver leur sites de mises à jour, car leur cadence de mise à jour m'a toujours parue superflue et chronophage.

Mais peut-on imaginer de vrais failles de sécurité liées à ces extensions qui ne font que de la cosmétique ? D'ailleurs, ne font-elle que vraiment de la cosmétique ? Une extension qui affiche des menus va chercher les items en BDD, donc est-ce vraiment que de la cosmétique ?

Re : Possible piratage Joomla 3.4.8

Prenons un exemple : un module de statistiques qui compte le nombre de visites et qui, p.ex., détecte le user-agent pour faire une stat par browser. Ce type d'extensions étaient à la mode il y a encore quelques années.

As-tu suivi le trou de sécurité de Jooml 3.4.5 mi-décembre 2015 ? Il concernant le stockage de ce fameux user-agent où les pirates injectaient du code PHP. Pas très grave, pas très méchant, ... sauf que l'instruction session_decode() de PHP (anciennes versions) exécutaient le code stocké dans user-agent.

Cet exemple pour dire : oui, tu as raison, en principe un module "c'est pas bien méchant" mais non, ce n'est pas exempt de failles. Soit en lui-même soit qui contribue à une faille.

Re : Possible piratage Joomla 3.4.8

OK merci des conseils et de votre avis.

Je pense revoir mes habitudes sur cela...