Re : Inscriptions non désirées

Il faut se tenir un peu informé : La version 3.6.4 de Joomla est sortie récemment pour corriger une faille en rapport avec ce problème. Il est donc plus qu'urgent de procéder à la mise à jour vers la version 3.6.4 (après une sauvegarde complète bien évidemment).
Il faudra aussi nettoyer le site de tous ces pseudo inscrits et aussi renforcer la sécurité en commençant par changer le mot de passe du super admin.
D'une manière générale il est conseillé de vérifier dans l'admin les mises à jour tant de Joomla que des extensions, et de les effectuer rapidement.

Re : Inscriptions non désirées

Bonjour

Il y a deux problèmes; le premier est que tu n'as pas totalement saisi ce qu'est un CMS et l'autre c'est que tu ne te tiens pas à jour des versions de Joomla.

Commençons par ce dernier point :

Tu es donc en version ... obsolète. Va lire l'information *de sécurité* https://www.joomla.fr/versions-3-x/i...tot-disponible.

Tu devras revoir ta gestion des mises-à-jour parce que, oui, parfois, ce sont des màj de sécurité et là, il ne faut ***jamais*** trainer. La preuve...

Le premier problème "je n'ai pas de formulaire", ben si tu en as un.
Sous Joomla mais c'est vrai pour n'importe quel CMS, le code de création d'un utilisateur est là, dans ton site. Le fait que tu n'ais pas prévu un formulaire, c'est juste que tu n'as pas souhaité activer une URL vers ce formulaire qui est bien présent.

Essaie http: //tonsite/index.php?option=com_users&view=registration et tu comprendras. Va lire ma doc https://www.aesecure.com/fr/document...ns-joomla.html pour avoir plus d'infos.

Un CMS, c'est pas que la partie "menu" que tu as créée mais c'est des centaines (milliers?) d'URLs préprogrammées qu'il suffit d'accéder.

Dans ton cas, hormis la faille de sécurité comblée par la version 3.6.4, le mieux étant alors d'interdire la création des comptes utilisateurs.

Note : en déplubiant un module de connexion, tu pourras, bien sûr, continuer à te connecter dans ton admin.

Bonne journée et surtout tiens-toi informé des mises-à-jour de ton CMS et applique-les sans délai quand ce sont des màj de sécurité.

Re : Inscriptions non désirées

Bien.
Je voulais le préciser, mais je me suis dit, non, je ne vais pas l'écrire et me faire engueuler comme une malpropre, ils sont assez intelligents pour ne pas tomber aussi bas ?
Et bien non ! Deux réponses : deux fois les mêmes réponses qui prennent les gens pour des imbéciles.

Donc, je voulais l'écrire et je ne l'ai pas dit : j'ai fait récemment une sauvegarde de mon site, pour le passer dans la dernière version.
Résultat : la plupart des modules ne fonctionnaient plus, j'ai donc remis ma sauvegarde, bien navrée de ne pouvoir mettre à jour mon site avec la dernière version de Joomla.


Mais merci quand même pour les conseils (hormis celui de mettre à jour Joomla, annoncé d'une façon pas très sympathique).

Re : Inscriptions non désirées

Le lien que tu m'as fourni cavo789 (mis avec le nom de mon site) n'amène à rien du tout.

Re : Inscriptions non désirées

Comme je l'indiquais dans mon message, la création de comptes utilisateurs est interdite.

Re : Inscriptions non désirées

Bonjour,

Je ne vois pas dans les messages la notion de "vous prendre pour un imbécile".

LeSoutier indique simplement qu'il faut faire rapidement une mise à niveau car il y a une faille de sécurité qui permet, même si vous avez désactivé l'inscription, de créer un compte : la faille a été signalée et on a en discuté longuement (http://forum.joomla.fr/showthread.ph...4-stable/page2) : cette faille correspond à du "code mort" qui a été supprimé en 3.6.4. J'ai mis 10 minutes ce weekend pour mettre en place un formulaire qui utilise cette faille et qui peut créer un utilisateur sur la plupart des sites qui auraient encore cette faille (juste pour voir, je n'ai pas diffusé...): cela fonctionne sur toutes les versions Joomla depuis la 2.5 (je n'ai pas testé avant...).

Pour bloquer cette faille avec votre version actuelle, supprimez dans components\com_users\controllers\user.php la fonction register (en ligne 293 et suite, jusqu'à la ligne 365).

Ensuite, pour effectuer votre mise à jour, passez par un environnement de test et, si vous avez des soucis, n'hésitez pas à recontacter le forum.

Pascal

Re : Inscriptions non désirées

Johl est hélas un habitué de ce genre de réaction.
Depuis bien longtemps, il est sur ma liste noire...

Re : Inscriptions non désirées

Salut

Ai-je été désobligeant ? Je ne le crois pas. Ni moi ni lesoutier. On a voulu attiré l'attention sur un fait et expliquer pourquoi tu as des nouveaux admins.

Ensuite, j'ai longuement détaillé ma réponse me semble-t-il.

Oserais-je dire que tu n'as pas pris connaissance de la faille ? C'est clairement indiqué que cette faille permet la création de comptes même si ... Mais non, je préfère ne pas l'écrire parce que sinon tu vas croire que je m'acharne alors même que je ne désirais que t'aider.

Bonne journée.

Yep, c'est en effet une réaction légitime. @Johl : il semblerait qu'il y a un petit boulot à faire de ton côté.

Re : Inscriptions non désirées

Sur liste noire ??? Tiens donc ? Alors que vous m'aviez contacté en MP un jour pour une aide sur un PB ? Bref, gardez-moi en liste noire et n'intervenez pas sur mes posts. Merci à vous et bonne journée Robert !

Re : Inscriptions non désirées

Merci Cavo pour tes réponses.
Non, pas désobligeant, mais c'est usant d'entendre à chaque question : "t'as qu'à mettre à jour". Du style, t'es trop nul, tu ne connais rien à rien, tu ne connais pas les CMS, tes questions sont idiotes.

Si je viens ici c'est que j'ai tourné dans tous les sens et que j'ai besoin d'aide, et pas de "leçon". Comme ROOOOObert qui met les gens sur liste noire....

J'essaie même de faire une redirection dans le .htaccess, cela ne change rien. Comme si le htaccess n'était pas lu.

Re : Inscriptions non désirées

Merci Pascal. Une aide sans jugement, c'est bien gentil et c'est tout ce que l'on attend en venant ici. :-)

Re : Inscriptions non désirées

Juste pour info, en 3.5.1 la fonction register est en ligne 156 jusqu'à 228 (je n'ai pas la 3.4.5, mais, l'important est de désactiver cette fonction du user.php dans com_users/controllers).

Pascal

Re : Inscriptions non désirées

Pour ma part, c'était en ligne 137 à 208.
J'ai désactivé tout ça, vidé le cache, mais toujours pareil....

Re : Inscriptions non désirées

Cela vient de faire tilt: vous êtes en 3.4.5, c'est la limite de la faille précédente qui était officiellement corrigée en 3.4.6 (http://www.cert.ssi.gouv.fr/site/CER...013/index.html).

Vérifiez dans vos logs si vous trouvez les attaques avec de beaux messages contenant JDatabaseDriverMysqli (personnellement, j'en ai tous les jours...,mais, ....).

Pascal