Re : Site securise

Bonjour

Joomla est nativement un CMS fort sécurisé. Il faut voir l'ensemble : as-tu des composants, templates, ... en surnombre, non mis à jour, failible, etc. Est-ce que ton hébergeur a mis en place certains mécanismes comme veiller à toujours avoir la dernière version de PHP (et pas un antique PHP 5.2 p.ex.).

Est-ce que tu as toi-même intégré certains concepts comme des mots de passe fort, ne pas installer n'importe quoi sur ton site, etc.

C'est un domaine très vaste.

Avast rouspète ? Ton site est donc plus que fort probablement vérolé; il n'a quasi aucun doute en fait.

Petit coup d'oeil à ton code HTML, tu tournes encore sur un vieux Joomla 1.5; c'est hyper risqué. Et donc, tu es encore sur un PHP5.3 au mieux; et ça aussi c'est risqué.

Et vu que tu poses la question "comment" c'est donc que ton site n'est pas sécurisé et là, ben, c'était donc juste une question de temps puisque J1.5 contient des failles et aussi PHP 5.3.

Vois ma signature pour des conseils et des outils.

Bonne journée.

Re : Site securise

Bonsoir
ben oui c'était juste une question de temps
Ton site tourne sous J!1.5.18 (si c'est le cas, ce n'est même pas la dernière version de la branche 1.5)
Ce qui veut dire que tu ne t'es jamais occupé des mises a jour ... ni de Joomla, ni des extensions je suppose ...

Alors, oui, tu as du souci a te faire .... tu pars de très loin là !

La règle number one dans tous CMS, c'est de faire les mises a jour !!! Et comme Joomla! est au taquet ... il suis aussi les version récentes de PHP

Au Pire, tu devras tout recommencer en version 3.6 ... Au mieux, tu fais une migration a la mano ou avec une extension "pro"

Re : Site securise

Merci pour ta réponse Christophe. Le site était il y a quelques jours encore en HTTPS, et nous avons un certificat SSL chez OVH. Donc sécurisé! la version effectivement est ancienne mais j'ai posté il y a quelques temps sur ce sujet et un forumeur s'est proposé il y a plusieurs mois pour me basculer en Joomla 3. Mais j'attends..... J'ai bloqué l'adresse URL qu'Avast annoncait, tout est rentré dans l'ordre. Mais j'ai aussi remarqué que FIREFOX indiquait tous les sites mêmes les plus connus en NON SECURISES depuis quelques temps! je me demande si il n'a pas un souci de ce côté là....

Re : Site securise

Pour Manu, j'ai posté à ce sujet il y a plusieurs mois, et tu étais un de mes interlocuteurs! alors dire que je ne m'en suis pas occupée.... J'ai expliqué à l'époque que j'étais coincée financièrement pour migrer en version 3, vu ce qu'on me demande! toutes les mises à jours ont été faites au maximum, mais ça c'est vite arrêté! je trouve ça un peu déplorable car l'informaticien devait le savoir... Bref... Un forumeur sympa m'a proposé de m'aider, j'attends. Qu'est-ce qu'une migration à la mano et l'extension PRO?

Re : Site sécurisé

Bonjour

Oulàlà la méprise. HTTPS n'est pas une sécurisation du site; non non non !

Le "s" veut dire que les échanges entre ton site et ton utilisateur sont cryptés. En clair : que tu te connectes, ton login et ton mot de passe ne sont pas envoyé en clair mais cryptés et ... c'est tout !

Zéro protection du serveur ni du site; juste de l'échange.

Et, rien mais rien ne t'empêche de mettre un Joomla 1.5.26 pour être un peu moins dans la zone rouge. Il n'y a aucune raison de rester en 1.5.18 si j'en crois le numéro de version indiqué par Manu

Euh? 1.5.18 c'est un maximum ça ?

Re : Site sécurisé

Tu parles de cette discussion ?

Il me semble que je t'avais juste prévenu du risque ... donc les allusions a mon égard ... évite

Pour faire court, c'est TON site web ... non ?
A toi de faire ce qu'il faut pour qu'il soit à jour, surtout si c'est une boutique (Moi je dis ça, je dis rien)
Je peux comprendre tes problèmes, mais on ne peut pas interférer entre ton ancien webmaster et toi. Tu peux toujours te retourner sur un autre webmaster, il y en a des milliers de disponible .... par contre je doute que ce soit "gratuit" ... c'est juste une réalité

Pour le forumeur "sympa" qui t'as proposer son aide, relance le ... s'il ne répond pas tu sais a quoi t'en tenir
La migration a la "mano" ?, manuellement donc, on oublie, c'est assez compliqué si tu ne sais pas mettre un site a jour sur une branche.
Un migration n'est pas chose aisée si on ne comprend pas les actions que l'on fait.

Quand on te répond ici, ce n'est pas pour te dénigrer, on se doit juste de t'alerter sur les risques a rester sur une branche aussi obselète de Joomla. Rien de plus

Re : Site sécurisé

Manu dit n'importe quoi, nous avons la dernière version téléchargeable 1.5.26!

Re : Site sécurisé

[Modo]
@vivijipe : un peu de respect s'il te plaît. Ecrire "dire n'importe quoi" n'est pas, je pense, très respectueux de ton interlocuteur et n'invite plus à te venir en aide.
[/Modo]

Re : Site sécurisé

Bonjour,

Un peu d'explication et d'analyse.
Il existe des scanners de vulnérabilité comme celui de sucuri : https://sitecheck.sucuri.net/results...-bretagne.com/

Ce scanner teste le site et donne une estimation des risques...
Pas de firewall et version < joomla 3.5.1 donc risque majeur de faille de sécurité.

Vous pouvez voir dans le "website details" qu'il se base notamment sur la détection de deux fichiers pour J1.5 :
ces deux fichiers sont présent dans les version de Joomla de la 1.5.18 à la 1.5.26, la confusion vient de là.
Rien de plus... navré pour la méprise et on ne fait que tenter de vous aider.

Après il y a d'autres outils qui détectent un peu mieux et notamment la liste des composants utilisés, la version, etc.
mais ce n'est pas l'objectif de mon analyse...

Ce qu'il faut retenir :

- maintenir un site e-commerce sous joomla 1.5 est un peu comme jouer avec le feu. Le danger est constant et vous devez avoir des sauvegardes régulières sur plusieurs jours pour ne pas perdre les commandes. Le risque étant que le hacker récupère les comptes et mots de passe clients.

- votre admin n'est pas sécurisé... le minimum serait d'ajouter un htpasswd pour éviter que des malins lance un brute force sur la page ou exploitent une faille.

- Virtuemart, JCE sont des extensions comportant des failles qui ont été corrigées. Vm a bien évolué et le fait d'être figé dans la version pour j1.5 vous privent des dernières fonctionnalités et de ces derniers correctifs...

Il n'y a pas 36 extensions sur votre site et aucune obligation de rester sous joomla 1.5 :
- systempay de la banque populaire propose le téléchargement gratuit du pack pour virtuemart : https://systempay.cyberpluspaiement....ributions.html
- la migration contenu vm & joomla peut se faire assez facilement !

Désolé pour mes propos car je vais être brutal mais réaliste.

Pour moi, soit le budget de migration est peut être surestimé soit vous ne consacrez aucun budget pour votre site web. Il n'y a pas de template personnalisé et même un template vierge peut être configuré en quelques minutes pour retrouver l'ancien. Vos urls ne sont même pas réécrites et le slogan "...because open source matters" n'a jamais été changé depuis l'origine... Mis à part un peu de temps et en ajoute un peu d'huile de coude, vous n'avez pratiquement aucun frais pour migrer vous-même.

N'attendez pas que quelqu'un fasse le travail à votre place ou payez le !

Vous avez un site e-commerce donc vous avez au moins les moyens d'investir une centaine d'euros pour éviter de vous retrouver dans une fâcheuse situation... Le principe de la migration, c'est de télécharger votre site actuel et de l'installer localement (dans un serveur wamp par exemple) puis d'installer un joomla 3.6.x dans un 2ème repertoire de votre serveur avec une base distincte. L'importation de contenu d'un site à l'autre se fait en quelques minutes (utilisateurs, produits, pages articles...) et il vous reste juste à personnaliser un minima le template de votre choix.

A l'image du site original, il ne faut pas plus d'une heure pour faire ce travail pour ensuite le publier (en utilisant akeeba).
Le dernier conseil, c'est de profiter de la migration pour choisir un template qui peut mettre en valeur vos produits et la bretagne.

Cordialement,

Yann

Re : Site sécurisé

Oui mais encore ... sourire ... c'est vrai que de rester en 1.526 , ça va te sauver !
On peut se tromper sur une version de Joomla! (c'est un outil qui m'a donné ta version) mais pas sur ta question initiale -> mon site est il sécurisé ? Et la dessus, je crois qu'on a fait le tour !

Je commence a comprendre la réaction du bon samaritain qui voulait t'aider ... je vais faire comme lui .. c'est bête, je commençais tout juste a compatir et a vouloir t'aider .... gratos bien sur

Re : Site sécurisé

Juste pour info en complément de sécurité :

Afin de prévenir, vous pouvez également activer un monitoring de base en utilisant un webservice comme https://uptimerobot.com
Le monitoring nous informe régulièrement des problèmes d'accès.

Il existe également l'alerte par email en cas d'echecs d'accès à l'url de Notification instantanée de paiement (IPN) de system pay (à voir dans la console de votre passerelle de paiement).

Le système de sauvegarde doit être automatique et au minimum quotidien. Vous devez tester également la restauration pour vérifier que la sauvegarde fonctionne correctement.

Re : Site sécurisé

Je ne pense pas être irrespectueuse puisque "tu dis qu'il a dit"; ça fait déjà 2 fois sur le même post que Manu dit des choses erronnées. Lis sa réponse à ma demande, quand il met que je ne m'occupe pas de mon site, je suis un peu choquée. Ce site a été installé par un informaticien qui nous a taxé de plusieurs milliers d'€, en nous imposant Joomla, et peu de temps après il faut qu'on remette ça. Les mises à jour ont été faites régulièrement, j'ai apporté toutes les améliorations que je pouvais y apporter et je n'ai aucune solution pour avoir un site qui fonctionne bien, en toute sécurité. Bon, voilà, maintenant il faut aussi être correct avec moi . Pour l'instant je cherche l'explication pour savoir pourquoi le site d'un seul coup n'est plus sécurisé d'après le navigateur (par OVH et par l'informaticien, il y était). C'est tout.
Merci pour vos réponses

Re : Site sécurisé

Merci Daneel pour ces renseignements qui me sont très précieux. Je n'y connais absolument rien en informatique, j'ai appris quelques trucs sur le tas et, vu, ce qu'on me réclame pour faire la migration que je doute d'être capable de faire moi-même sans perdre mon site, et malheureusement on est loin de quelques centaines d'€, c'est pour cela que je n'ai pas pu le faire. Loin de là le fait que je ne veuille pas payer, mais il faut que ça reste raisonnable, surtout si vous me dites que ce n'est pas si énorme que ça à faire, pour un pro...Je vais étudier votre message très intéressant, mettre à profit les conseils et étudier sérieusement certains paramètres. Je vais voir avec la personne qui doit m'aider à la transition. Si elle est trop occupée, je verrais autrement.

Re : Site sécurisé

Allez revenons à l'essentiel !

La démarche est bien de vous aider. J'ai donné quelques conseils comme protéger la page admin, ajouter un monitoring...
libre à vous d'en tenir compte ou pas mais n'hésitez pas à faire un retour sur ces différents points de sécurisation. Pour moi, la configuration mutu peut donner susciter quelques problèmes pour faire tourner un site e-commerce (je me base sur mon experience auprès de configuration similaire).

Je vous laisse réfléchir sur la migration mais n'hésitez pas à poser les bonnes questions dans vos étapes de migration, cela peut donner aussi lieu à une remise en cause de la méthode pour sécuriser, optimiser ou apporter un peu plus de design dans votre site.

N'oubliez pas que cela vous pénalise déjà sur le mobile, votre site n'étant pas adapté aux smartphones, Google pénalise le référencement de vos pages et difficile de sortir d'une pénalité... il est donc urgent de réagir !

Sur votre certificat SSL :

Comme l'a dit christophe, cela ne sécurise en aucun cas le site mais uniquement les échanges... la encore, le choix du certificat est important pour un site e-commerce mais on reviendra plus tard sur ce sujet.

Pour info, ssllabs teste le certificat ssl : https://www.ssllabs.com/ssltest/
Normalement c'est bon, il indique simplement que votre certificat n'est pas compatible sni donc ne fonctionne pas sous ie8 (donc les anciens internet explorer comme celui sur xp...). Le certificat est celui de let's encrypt qui est gratuit. Il est déployé sur toutes les configurations mutualisés chez votre hébergeur.

Par contre, votre hébergeur n'effectuera pas la modification du passage http vers https à votre place. Pour cela vous devez editer votre fichier htaccess et ajouter une redirection déjà donnée sur le forum (en cherchant un peu).

Pour le https, vous avez des éléments en http d'où l'indication du mix dans les navigateurs (la page mélange http et https)
dans votre contenu par exemple, vos urls sont écrit en dur avec le "http" devant... alors que les liens internes devraient être relatifs ( http://www.alsacreations.com/astuce/...t-absolus.html )

Sous chrome, tapez votre adresse avec le "https"
https://www.________-bretagne.com/
puis examinez le résultat dans la console (accessible depuis le bouton droit puis inspecter / onglet console)

On voit effectivement que l'icône cyberplus est indiqué en lien http dans votre article au lieu du https, idem pour un fichier de syndication url .... Le plus inquiétant étant :

donc le fichier : https://www.________-bretagne.com/me...js/stat15d.php
me parait plus que suspect et ne devrait pas exister ! C'est sans doute que votre site est hacké !
Voila pourquoi vous avez l'alerte d'avast !

Le mieux étant de nettoyer votre site ou de faire appel à des personnes susceptible de le faire sérieusement.
Vous pouvez poster votre demande dans "demande de service" et profitez pour demander un devis sur la migration.


Bon je crois que j'ai ma BA de la journée

Yann