Inscriptions non désirées

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Inscriptions non désirées

    Bonjour,

    Je suis en Joomla! 3.4.5

    Je n'ai pas de formulaire d'inscription sur mon site.

    J'ai par contre en activé (j'ai peur de les désactiver, je ne sais pas si après ça je pourrais encore me connecter en backend...), les modules :

    Login : en position loginload, type Connexion, public
    Login (Atomic Template) : en position user7, type Connexion, public

    Dans la gestion utilisateurs, paramètres :

    autoriser l'inscription des utilisateurs : Non
    groupe des inscrits : registered
    groupe des visiteurs : public
    etc..
    activation des comptes : aucun

    Et pourtant j'ai depuis quelques temps des gens qui s'inscrivent (des mails bidons avec des extensions russes pour la plupart), je reçois la notification (heureusement), et le pire c'est qu'ils s'inscrivent en tant que "administrator".

    Quelqu'un aurait-il une idée d'où vient le problème ? Et comment le résoudre ?

    Merci

  • #2
    Re : Inscriptions non désirées

    Il faut se tenir un peu informé : La version 3.6.4 de Joomla est sortie récemment pour corriger une faille en rapport avec ce problème. Il est donc plus qu'urgent de procéder à la mise à jour vers la version 3.6.4 (après une sauvegarde complète bien évidemment).
    Il faudra aussi nettoyer le site de tous ces pseudo inscrits et aussi renforcer la sécurité en commençant par changer le mot de passe du super admin.
    D'une manière générale il est conseillé de vérifier dans l'admin les mises à jour tant de Joomla que des extensions, et de les effectuer rapidement.
    Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
    Confucius

    Commentaire


    • #3
      Re : Inscriptions non désirées

      Bonjour

      Il y a deux problèmes; le premier est que tu n'as pas totalement saisi ce qu'est un CMS et l'autre c'est que tu ne te tiens pas à jour des versions de Joomla.

      Commençons par ce dernier point :

      Tu es donc en version ... obsolète. Va lire l'information *de sécurité* https://www.joomla.fr/versions-3-x/i...tot-disponible.

      Tu devras revoir ta gestion des mises-à-jour parce que, oui, parfois, ce sont des màj de sécurité et là, il ne faut ***jamais*** trainer. La preuve...

      Le premier problème "je n'ai pas de formulaire", ben si tu en as un.
      Sous Joomla mais c'est vrai pour n'importe quel CMS, le code de création d'un utilisateur est là, dans ton site. Le fait que tu n'ais pas prévu un formulaire, c'est juste que tu n'as pas souhaité activer une URL vers ce formulaire qui est bien présent.

      Essaie http: //tonsite/index.php?option=com_users&view=registration et tu comprendras. Va lire ma doc https://www.aesecure.com/fr/document...ns-joomla.html pour avoir plus d'infos.

      Un CMS, c'est pas que la partie "menu" que tu as créée mais c'est des centaines (milliers?) d'URLs préprogrammées qu'il suffit d'accéder.

      Dans ton cas, hormis la faille de sécurité comblée par la version 3.6.4, le mieux étant alors d'interdire la création des comptes utilisateurs.

      Note : en déplubiant un module de connexion, tu pourras, bien sûr, continuer à te connecter dans ton admin.

      Bonne journée et surtout tiens-toi informé des mises-à-jour de ton CMS et applique-les sans délai quand ce sont des màj de sécurité.
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire


      • #4
        Re : Inscriptions non désirées

        Bien.
        Je voulais le préciser, mais je me suis dit, non, je ne vais pas l'écrire et me faire engueuler comme une malpropre, ils sont assez intelligents pour ne pas tomber aussi bas ?
        Et bien non ! Deux réponses : deux fois les mêmes réponses qui prennent les gens pour des imbéciles.

        Donc, je voulais l'écrire et je ne l'ai pas dit : j'ai fait récemment une sauvegarde de mon site, pour le passer dans la dernière version.
        Résultat : la plupart des modules ne fonctionnaient plus, j'ai donc remis ma sauvegarde, bien navrée de ne pouvoir mettre à jour mon site avec la dernière version de Joomla.


        Mais merci quand même pour les conseils (hormis celui de mettre à jour Joomla, annoncé d'une façon pas très sympathique).

        Commentaire


        • #5
          Re : Inscriptions non désirées

          Le lien que tu m'as fourni cavo789 (mis avec le nom de mon site) n'amène à rien du tout.

          Commentaire


          • #6
            Re : Inscriptions non désirées

            Envoyé par cavo789 Voir le message

            Dans ton cas, hormis la faille de sécurité comblée par la version 3.6.4, le mieux étant alors d'interdire la création des comptes utilisateurs.
            Comme je l'indiquais dans mon message, la création de comptes utilisateurs est interdite.

            Commentaire


            • #7
              Re : Inscriptions non désirées

              Bonjour,

              Je ne vois pas dans les messages la notion de "vous prendre pour un imbécile".

              LeSoutier indique simplement qu'il faut faire rapidement une mise à niveau car il y a une faille de sécurité qui permet, même si vous avez désactivé l'inscription, de créer un compte : la faille a été signalée et on a en discuté longuement (http://forum.joomla.fr/showthread.ph...4-stable/page2) : cette faille correspond à du "code mort" qui a été supprimé en 3.6.4. J'ai mis 10 minutes ce weekend pour mettre en place un formulaire qui utilise cette faille et qui peut créer un utilisateur sur la plupart des sites qui auraient encore cette faille (juste pour voir, je n'ai pas diffusé...): cela fonctionne sur toutes les versions Joomla depuis la 2.5 (je n'ai pas testé avant...).

              Pour bloquer cette faille avec votre version actuelle, supprimez dans components\com_users\controllers\user.php la fonction register (en ligne 293 et suite, jusqu'à la ligne 365).

              Ensuite, pour effectuer votre mise à jour, passez par un environnement de test et, si vous avez des soucis, n'hésitez pas à recontacter le forum.

              Pascal
              Dernière édition par pmleconte à 14/11/2016, 11h50
              If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

              Commentaire


              • #8
                Re : Inscriptions non désirées

                Johl est hélas un habitué de ce genre de réaction.
                Depuis bien longtemps, il est sur ma liste noire...
                "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                Commentaire


                • #9
                  Re : Inscriptions non désirées

                  Salut

                  Ai-je été désobligeant ? Je ne le crois pas. Ni moi ni lesoutier. On a voulu attiré l'attention sur un fait et expliquer pourquoi tu as des nouveaux admins.

                  Ensuite, j'ai longuement détaillé ma réponse me semble-t-il.

                  Comme je l'indiquais dans mon message, la création de comptes utilisateurs est interdite.
                  Oserais-je dire que tu n'as pas pris connaissance de la faille ? C'est clairement indiqué que cette faille permet la création de comptes même si ... Mais non, je préfère ne pas l'écrire parce que sinon tu vas croire que je m'acharne alors même que je ne désirais que t'aider.

                  Bonne journée.

                  Envoyé par RobertG Voir le message
                  Johl est hélas un habitué de ce genre de réaction.
                  Depuis bien longtemps, il est sur ma liste noire...
                  Yep, c'est en effet une réaction légitime. @Johl : il semblerait qu'il y a un petit boulot à faire de ton côté.
                  Dernière édition par cavo789 à 14/11/2016, 11h44
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Re : Inscriptions non désirées

                    Sur liste noire ??? Tiens donc ? Alors que vous m'aviez contacté en MP un jour pour une aide sur un PB ? Bref, gardez-moi en liste noire et n'intervenez pas sur mes posts. Merci à vous et bonne journée Robert !

                    Commentaire


                    • #11
                      Re : Inscriptions non désirées

                      Merci Cavo pour tes réponses.
                      Non, pas désobligeant, mais c'est usant d'entendre à chaque question : "t'as qu'à mettre à jour". Du style, t'es trop nul, tu ne connais rien à rien, tu ne connais pas les CMS, tes questions sont idiotes.

                      Si je viens ici c'est que j'ai tourné dans tous les sens et que j'ai besoin d'aide, et pas de "leçon". Comme ROOOOObert qui met les gens sur liste noire....

                      J'essaie même de faire une redirection dans le .htaccess, cela ne change rien. Comme si le htaccess n'était pas lu.

                      Commentaire


                      • #12
                        Re : Inscriptions non désirées

                        Envoyé par pmleconte Voir le message
                        Bonjour,

                        Je ne vois pas dans les messages la notion de "vous prendre pour un imbécile".

                        LeSoutier indique simplement qu'il faut faire rapidement une mise à niveau car il y a une faille de sécurité qui permet, même si vous avez désactivé l'inscription, de créer un compte : la faille a été signalée et on a en discuté longuement (http://forum.joomla.fr/showthread.ph...4-stable/page2) : cette faille correspond à du "code mort" qui a été supprimé en 3.6.4. J'ai mis 10 minutes ce weekend pour mettre en place un formulaire qui utilise cette faille et qui peut créer un utilisateur sur la plupart des sites qui auraient encore cette faille (juste pour voir, je n'ai pas diffusé...): cela fonctionne sur toutes les versions Joomla depuis la 2.5 (je n'ai pas testé avant...).

                        Pour bloquer cette faille avec votre version actuelle, supprimez dans components\com_users\controllers\user.php la fonction register (en ligne 293 et suite, jusqu'à la ligne 365).

                        Ensuite, pour effectuer votre mise à jour, passez par un environnement de test et, si vous avez des soucis, n'hésitez pas à recontacter le forum.

                        Pascal
                        Merci Pascal. Une aide sans jugement, c'est bien gentil et c'est tout ce que l'on attend en venant ici. :-)

                        Commentaire


                        • #13
                          Re : Inscriptions non désirées

                          Juste pour info, en 3.5.1 la fonction register est en ligne 156 jusqu'à 228 (je n'ai pas la 3.4.5, mais, l'important est de désactiver cette fonction du user.php dans com_users/controllers).

                          Pascal
                          If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                          Commentaire


                          • #14
                            Re : Inscriptions non désirées

                            Pour ma part, c'était en ligne 137 à 208.
                            J'ai désactivé tout ça, vidé le cache, mais toujours pareil....

                            Envoyé par pmleconte Voir le message
                            Juste pour info, en 3.5.1 la fonction register est en ligne 156 jusqu'à 228 (je n'ai pas la 3.4.5, mais, l'important est de désactiver cette fonction du user.php dans com_users/controllers).

                            Pascal

                            Commentaire


                            • #15
                              Re : Inscriptions non désirées

                              Cela vient de faire tilt: vous êtes en 3.4.5, c'est la limite de la faille précédente qui était officiellement corrigée en 3.4.6 (http://www.cert.ssi.gouv.fr/site/CER...013/index.html).

                              Vérifiez dans vos logs si vous trouvez les attaques avec de beaux messages contenant JDatabaseDriverMysqli (personnellement, j'en ai tous les jours...,mais, ....).

                              Pascal
                              If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X