On peut par exemple mettre ce bouton dans un Module avec niveau d'accès "Utilisateurs Enregistrés" ("Registered")

Bonjour

Qu'est-ce qu'un membre ? Quelqu'un qui s'est préalablement connecté. Si tu caches le bouton, comment vont faire tes visiteurs pour avoir accès à la page de connexion ?

En fait, le bouton, on s'en moque un peu je pense. Si ton url est du type /login, c'est l' url qui est attaquée et pas "le bouton".

Et en fait tant qu'ils ne passent pas, bah, c'est pas grave...

Tu pourrais toutefois trouver des extensions qui pourraient bloquer l'IP pendant trente minutes après cinq tentatives infructueuses.

Tu pourrais aussi protéger l'URL avec une demande de mot de passe (htpasswd), tu trouveras des informations sur Ggle ainsi que, très récemment, @daneel a posté une très longue réponse sur le forum.

En gros : l'affichage du bouton n'est pas le souci.

Bonne fin de journée.

Bonjour,

Le conseil que je te donnerai également, c'est de protéger l'accès avec cloudflare de façon à imposer une règle concernant les ip venant de ces pays.
La version de base est gratuite et permet de bloquer notamment contre des attaques par deni de service.

Ainsi cela permet de soulager le serveur car les ressources sont moins sollicités et l'installation est très simple.
Il suffit de s'inscrire et d'indiquer le site... Cloudflare va alors scanner les dns pour déterminer les paramètres.
Auprès de ton registrar, il suffira d'indiquer les serveurs de dns que cloudflare te donnera à la fin et il se placera entre ceux qui se connecte et le serveur.

Cloudflare offre en plus de la sécurité, un cdn gratuit qui optimisera l'accès au fichiers et plus encore ! Cela fait des années que je travaille avec cloudflare sans problème !

Cela fait longtemps que des hackers russes tentent des attaques et cela date bien avant la guerre en ukraine.
En général, tu as les pays de l'est, la chine et le brésil...
Il n'y a pas forcément de lien de cause à effet mais un scan des pages contenant généralement des formulaires... comme l'authentification
Tu peux vraiment mieux sécuriser sans forcément entrer dans la technique, la plupart des pages de cloudflare sont désormais traduites en français.

L'autre solution serait d'ajouter des règles dans le htaccess mais c'est toujours à faire avec précaution.
Perso, je combine les deux avec mes propres protections sur mes serveurs. J'ai déjà expliqué cela...

Sincèrement, commence avec cloudflare et teste le en examinant toutes les possibilités de l'offre gratuite.
Tu as de quoi répondre sans délai avec des modes "je suis attaqué" qui impose un challenge (captcha) pour accéder à tes pages.

Quand j'évoque les règles, c'est le fait de pouvoir par exemple indiquer que tu ne veux pas que tel pays se connecte directement à la ou les pages ou a à l'intégralité du site. C'est un des paramètrages possibles que l'on peut réaliser en quelques minutes...

Bonjour,

Merci pour vos réponses à tous.

Un Membre est quelqu'un qui doit s'est effectivement préalablement connecté, ce qui necessite un mot de passe. L'url n'est pas du type /login et le bouton est dans un module. Ce qui me gêne un peu est que tout le monde le voit, membre ou pas et effectivement le fait qu'il soit visible attisera toujours la tentation d'un hacker de cliquer dessus.
Jusque là les hackers ne sont pas passés et mon outil me la signalé. Mais jusqu'à quand il en sera ainsi, c'est ce qui m'inquiète un peu.

Je vais analyser vos réponse et je reviendrai vers vous au cas ou.

Merci encore à tous

Un hackeur n'est pas un humain, c'est un programme qui attaque ton site. Il ne va pas cliquer sur un bouton mais scanner la page, analyser le code html et suivre les liens.

Si la nouvelle page est de type formulaire et s'il s'agit d'un écran de connexion, le brute force commencera.

C'est assez rare qu'un pirate vise spécifiquement ton site, ce sont ses scripts qui recherche des failles. Tous les sites et tous les serveurs subissent régulièrement des attaques. Il suffit de regarder le journal des connexions. Personne n'est épargné.

La méthode de hacking la plus courante commence par un serveur piraté ( cela peut être un site existant ou du matériel connecté ayant des failles de sécurité ) qui tente de pirater à son tour des sites ou serveurs. Exemple : Une attaque d'une grande ampleur avait utilisé comme source des webcams connectées d'une certaine marque à travers le monde en wifi, détournées pour attaquer des sites web. Le matériel piraté se retrouve donc à tenter de s'introduire sur des sites par brute force.

J'ai déjà expliqué précédemment et de façon sommaire la sécurisation d'un site, de tenir une checklist... cependant il n'y a pas que cela...

En effet, ton pc et ton comportement sur internet peut devenir une faille pour ton site. Tu dois adopter de bonnes pratiques comme la gestion de tes mots de passe,
d'avoir un antivirus digne de ce nom, d'utiliser des logiciels conformes et éviter d'aller visionner des films sur des sites de streamings. Cela peut prêter à sourire mais tous les sites ne sont pas gérés en entreprise et souvent, on bosse de plus en plus chez soi avec le pc perso. Dans le milieu pro, le pc est sécurisé par l'entreprise avec des verrouillages assez strictes mais là, je prends en exemple tous les créateurs de sites perso ou pro qui n'ont pas la moindre idée de ce qui peut arriver.

Régulièrement, des sites pro se font pirater (du niveau de facebook, linkedin, dropbox, adobe, etc. ) et les données se retrouvent sur le net. Si tu utilise le même mot de passe quand tu t'inscris à divers sites connus et qu'il s'agit également du mot de passe de ton site, il est fort probable qu'il soit désormais inscrit dans ces listes. le site https://haveibeenpwned.com/ est devenu une référence pour vérifier si ton adresse mail et ton mot de passe sont déjà connus des pirates. Ce n'est pas les seules données qui circulent, le profil ( date et lieu de naissance, numero de tel...) et autres peuvent être diffusés ou vendus sur le dark web.

La réglementation européenne (RGPD) a permis de mettre en évidence que les sites très connus (reseaux sociaux, applications, logiciel pouvaient être piratés et désormais, les utilisateurs et l'organisme comme la CNIL doivent être avertis rapidement. Le site haveibeenpwned permet d'agir en prévoyance afin d'éviter d'utiliser des comptes compromis, son api permet d'avertir les utilisateurs à la création de compte. ( sous joomla4, on a également un plugin gratuit lié à ce site : https://extensions.joomla.org/extens...aveibeenpwned/ ).

Pour simplifier :

• 1 site = 1 adresse e-mail + 1 mot de passe différent + double-authentification si nécessaire
• Connectez-vous depuis un pc/mac sécurisé (antivirus, etc.) et ne prenez pas de risque inutile, utilisez des adblocks pour bloquer les pubs
• Vérifiez régulièrement si vos adresse e-mail ou mot de passes ne sont pas corrompus https://haveibeenpwned.com/ , changez régulièrement de mot de passe.
• Filtrez vos messages et faites attention à l'expéditeur des e-mails reçus.

Salut

Il n'y a qu'une seule réelle sécurité : tes sauvegardes ( de ton hebergeur, de ton site )
Les faire régulièrement, les mettre ailleurs que sur le serveur du site, afin de pouvoir restaurer.
Si données confidentielles, ne pas stocker en ligne, tout simplement.
Et ne pas psychoter ... (si tu voyais le nombre de tentatives sur mon site )

Bonsoir
Pour info, il y a une extension qui intègre https://haveibeenpwned.com/
J'ai testé avec succès: https://extensions.joomla.org/extens...aveibeenpwned/
J'ai fais une suggestion au développeur https://n3t.boards.net/thread/119/di...1#scrollTo=238 pour différentier le paramétrage sur les rôles.
C'est bien parti mais vous pouvez encore soutenir

euh ? oui c'est ce que j'ai indiqué plus haut


pour la suggestion, je n'en vois pas trop l'intérêt mais ce sera peut être plus clair si l'auteur met à jour son extension.

Ah désolé je n'ai pas relu (>Je voulai partagé cette suggestion car en ce moment j’ai désactivé le verrouillage du compte
En fait la besoin de sécurisation n'est pas la même selon le rôle ACL.
On peut envisager une tolérance pour un membre enregistré < celle d'un auteur < celle d'un validateur < administrateur (0 tolérance vu les enjeux)