Re : Faille de sécurité avec le module connexion ?

Bonjour

Oui, tu dois t'inquiéter si tu as des utilisateurs bidons (c'est ton cas) qui ont un niveau différent de "Enregistré". Là, tu as une faille quelque part et il faut investiguer où.

Sinon, avoir des utilisateurs bidons, c'est ... normal. Ce n'est pas réellement un souci de sécurité : des scripts ont lancé une URL précise sur ton site; requête qui affiche la page de création d'un compte et qui ont complété les champs; tout ça de manière automatique. C'est ... normal, tout le monde à ce souci-là. Il te faudrait un captcha.

Maintenant, si tu ne veux pas permettre la création d'un compte depuis le frontend, là, c'est plus facile : tu dois aller dans les paramètres du composant utilisateurs (depuis l'admin donc) et interdire la création de compte.

Ce faisant, tu vas résoudre ton souci.

Mais, pour revenir au premier paragraphe de ma réponse, il est "légitime" d'avoir des comptes bidons en "Enregistré" mais certainement pas en "Gestionnaire" ou "Super utilisateurs". Là, cela démontre une faille sur ton site qu'il faut combler.

Re : Faille de sécurité avec le module connexion ?

Bonjour

merci pour cette réponse très rapide

Je ne sais pas vraiment où chercher pour la faille. J'ai installé Joomla tout à fait normalement (me semble-t-il) dans l'espace que m'a alloué l'hébergeur. Est ce que ça peut se faire via la base de données sans passer par le site ?

Pour interdire la création de compte via le front end je n'ai pas trouvé les bons liens dans les pages d'administration. J'ai cherché sur "gestions des utilisateurs" et "composants', mais ni sur l'un ni sur l'autre je n'ai identifié les actions à faire. Peux-tu (encore) m'aider ?

Par précaution j'ai changé les niveaux d'accès pour les "enregistrés"

Merci

Re : Faille de sécurité avec le module connexion ?

N'hésite pas à supprimer les comptes utilisateurs que tu ne connais pas ! Aucune pitié ;-)

Pour l'interdiction, c'est dans gestion des utilisateurs puis paramètres.

Bonne soirée

Re : Faille de sécurité avec le module connexion ?

Bonjour

je ne sais pas si c'est un coincidence ou pas, mais en le reconnectant au sit ce matin je tombe sur ce panneau (impossible d'accéder à l'admin)



Et quand je clique sur le lien j'arrive à ce panneau. A ce stade là j'hésite à aller plus loin. Un conseil ? Merci

Re : Faille de sécurité avec le module connexion ?

Non, rien à voir. Ces deux écrans sont parfaitement normaux

Re : Faille de sécurité avec le module connexion ?

Il faudrait pouvoir remercier plusieurs fois pour l'aide que tu m'apportes !

Maintenant qu'est ce que je dois faire : activer l'authentification en deux étapes ? Si je le fais, qu'est ce que ça va changer pour mes accès ?

Re : Faille de sécurité avec le module connexion ?

L'authentification en deux étapes est une chouette protection (oui, intéressant à activer; lire http://cinnk.com/joomla/3/trucs-et-a...en-deux-etapes) mais cela ne corrigera en rien le souci que tu as décris dans ce post.

1. Désactive l'inscription frontend (admin -> utilisateurs -> paramètres) (je pense que tu as du le faire hier)
2. Supprime tous les comptes bidons; ceux que tu ne connais pas
3. Si tu devrais encore avoir des comptes bidons avec un niveau d'accès autre que Enregistré; tu as une faille sur ton site et/ou p.ex. ton mot de passe d'admin a été volé (change-le dans le doute).

Comme mentionné, des comptes bidons "enregistré", tout le monde ou presque en a dès que l'inscription est possible. Des comptes bidons ayant un niveau supérieur à enregistré est synonyme d'un vrai problème de sécurité.

Bonne journée.

Re : Faille de sécurité avec le module connexion ?

Bonjour

j'ai fini par cocher "cacher les messages" pour tenter d'accéder à mon espace admin. Je suis bien enregistré, mais j'ai un écran blanc !!!



La seule chose que je puisse faire c'est modifier mon compte, mais plus aucun menu n'apparait

Re : Faille de sécurité avec le module connexion ?

Je viens de faire une curieuse expérience

J'ai transféré ma BDD depuis le serveur jusque sur mon micro, j'ai relancé Joomla en local et il se passe la même chose que pour le site en ligne : plus de menus, page blanche !! Si j'utilise une autre BDD aucun problème

Le plus curieux c'est que le site est publié de manière tout à fait normale : il n'y a pas d'anomalie de ce coté là, il n'y a que l'administration qui est totalement inutilisable

et je n'ai pas de sauvegarde

Re : Faille de sécurité avec le module connexion ?

Je suppose que la prochaine fois tu en feras ?

Re : Faille de sécurité avec le module connexion ?

C'est sympa comme conseil, mais ça ne me tire pas forcément d'affaire. Ca m'intéresserait quand même si quelqu'un savait ce qui peut planter le backend comme ça pendant que le site lui continue de fonctionner gentiment et sans accroc (voire quelqu'un qui aurait rencontré le même problème).

Cela dit je crois que la seule solution c'est RAZ et huile de coude. Ca n'est pas dramatique parce que de toute façon c'est un site amateur et c'est une version d'essai, mais ça fait quand même râler

Re : Faille de sécurité avec le module connexion ?

Bonjour,
Cavo t'a deja donné des reponses claires
vu que tu as plusieurs comptes "louches" en gestionaire ou superadmin ... ça craint !
Quelqu'un d'autre que toi les a créé, il a donc des droits superadmin et peut devenir nuisible pour ton site web

Pour ton problème de page blanche, as tu fait une recherche sur le forum ?
Tu aurais eu un debut de réponse ... comme ici par exemple

tu dois passer le rapport d'erreur de Joomla! au max en allant changer la valeur dans le fichier configuration.php
Une fois cela fait, ton site affichera un message d'erreur en lieu et place de ta page blanche.

Re : Faille de sécurité avec le module connexion ?

bonjour

déjà un grand merci à tous pour l'aide que vous m'apportez. Je fais en ce moment comme un gosse de 18 mois : c'est en tombant que j'apprends à marcher, et pour le moment j'ai pas mal de bleus.

Comme je le disais dans mon post précédent, j'ai entamé la RAZ. Il y a d'autres petits problèmes qui sont apparus (de ma faute)mais qui n'empêchent pas apparemment Joomla de tourner (aussi bien en frontend qu'en backend). J'en parlerai dans un autre topic pour rester sur le problème qui a justifié celui-ci.

Donc à présent j'ai une base de donnée réduite mais toute neuve, avec un nouveau login et pwd et juste moi en superadmin. J'espère que ce passage du site au Karcher (©) me permettra d'être tranquille pendant un temps (en tout cas je vais surveiller de beaucoup plus près le panneau utilisateurs). Le menu utilisateur est hors ligne, donc en principe pas d'inscription possible (apparemment ça n'a pas suffit la première fois). J'ai aussi interdit l'inscription pour plus de sureté.

Je vais quand même suivre le conseil concernant le rapport d'erreur parce que si j'en ai la possibilité j'aimerais avoir le fin mot de l'histoire (et ça servira peut être à d'autres)

Re : Faille de sécurité avec le module connexion ?

P.S. : j'ai voulu consulter la page https://www.aesecure.com/fr/blog/error-reporting.html mais malheureusement il y a une erreur d'affichage (chez moi ) qui ne laisse apparaître que la moitié gauche de l'article !!!