Sécuriser les mails avec les codes envoyés par Joomla

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Sécuriser les mails avec les codes envoyés par Joomla

    Bonjour,

    Par défaut Joomla envois le code d'accès en clair par mail non chiffré.
    Je trouve ça moyennement sûr...

    Sur mon site, est-ce qu'il y aurais moyen:
    • soit de modifier le mail type pour chiffrer/crypter seulement le mot de passe qui est envoyé à l'utilisateur
    • soit de modifier la procédure pour que joomla n’envoie pas automatiquement de mail. Mais qu'il puisse être envoyé par l'administrateur/le Webmaster, manuellement (et donc par échange mail PGP)
    • soit de modifier la procédure pour que joomla puisse envoyer des mails chiffrés ou/et avec signature numérique?

  • #2
    Il suffit de cliquer sur le bouton "Options" (sans doute "Paramètres" en français) en haut à droite de la page de gestion des Utilisateur et de décocher l'option "envoyer le mot de passe".
    Présentations : slides.woluweb.be | Coordonnées complètes : www.woluweb.be

    Un message d’erreur sur votre site Joomla... ayez le reflexe de consulter la base de connaissance : https://kb.joomla.fr

    Ce forum, vous l'aimez ? Il vous a sauvé la vie ? Vous y apprenez régulièrement ? Alors adhérer à l'AFUJ, l'Association Francophone des Utilisateurs de Joomla : https://www.joomla.fr/association/adherer

    Commentaire


    • #3
      J'ai fait un test:
      L'option "Envoyer le mot de passe" était déjà désactivée
      J'ai créer un utilisateur avec un mot de passe sur une de mes adresses mail
      J'ai quand même reçu un mail avec le code en clair et en plus, ça n'est pas l'adresse réelle du site qui est indiquée mais l'adresse de prévisualisation.

      Commentaire


      • #4
        Tu peux faire un override sur le langage français pour le message concerné.

        Commentaire


        • #5
          Envoyé par el_pequeno Voir le message
          J'ai fait un test:
          L'option "Envoyer le mot de passe" était déjà désactivée
          J'ai créer un utilisateur avec un mot de passe sur une de mes adresses mail
          J'ai quand même reçu un mail avec le code en clair et en plus, ça n'est pas l'adresse réelle du site qui est indiquée mais l'adresse de prévisualisation.
          alors c'est que tu n'as pas tout dit
          Si c'est désactivé là où j'ai indiqué, le mot de passe n'est pas envoyé. S'il est quand même envoyé... c'est qu'il y a une extension tierce (genre Community Builder ou autre).
          Présentations : slides.woluweb.be | Coordonnées complètes : www.woluweb.be

          Un message d’erreur sur votre site Joomla... ayez le reflexe de consulter la base de connaissance : https://kb.joomla.fr

          Ce forum, vous l'aimez ? Il vous a sauvé la vie ? Vous y apprenez régulièrement ? Alors adhérer à l'AFUJ, l'Association Francophone des Utilisateurs de Joomla : https://www.joomla.fr/association/adherer

          Commentaire


          • #6
            S'il est quand même envoyé... c'est qu'il y a une extension tierce (genre Community Builder ou autre)
            Pas à ma connaissance.
            J'ai fait une recherche dans les extensions installées, je l'ai pas vu.

            alors c'est que tu n'as pas tout dit
            Bah, si j'ai pas tout dis, c'est que je l'ignore moi-même

            Les seuls trucs que j'ai ajouté, c'est:
            • module de langue Français
            • module de langue Anglais
            • module de langue Espagnol
            • Phoca Download
            Serait-ce les extensions linguistiques qui prennent la main?
            Le mail reçu est en Français.
            Dernière édition par el_pequeno à 09/10/2022, 14h26
            woluweb aime ceci.

            Commentaire


            • #7
              Envoyé par el_pequeno Voir le message
              J'ai fait un test:
              L'option "Envoyer le mot de passe" était déjà désactivée
              J'ai créer un utilisateur avec un mot de passe sur une de mes adresses mail
              J'ai quand même reçu un mail avec le code en clair et en plus, ça n'est pas l'adresse réelle du site qui est indiquée mais l'adresse de prévisualisation.
              Bonjour,

              De mon avis, c'est une extension tierce... surtout que tu nous explique que l'url ne correspond pas au site, ton histoire est quand même bizarre, non ?



              Un module est un élément de contenu qui s'affiche dans une position du template.
              Un pack de langue représentent un ensemble de fichiers ini destinés à la traduction soit de Joomla ou d'une extension tierce.

              Tu évoque des modules de langues ??? tu veux dire des packs de langue ?
              Et Non la traduction n'effectue pas d'actions mais certainement un plugin.
              Un plugin peut être associé à un évènement comme l'inscription et traiter l'information saisi dans le formulaire d'inscription.

              Essaye de voir la liste des plugins système, cela devrait réduire les options.
              woluweb aime ceci.
              Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

              Commentaire


              • #8
                De mon avis, c'est une extension tierce... surtout que tu nous explique que l'url ne correspond pas au site, ton histoire est quand même bizarre, non ?
                Pour l'url,
                • chez Infomaniak : (peut être ailleurs aussi?)
                  - on peut accéder au site classique avec "www.monsite.fr", "monsite.fr" ou "codedusite.preview.infomaniak.website"
                  - on peut accéder à la console d’administration Joomla qu'avec "codedusite.preview.infomaniak.website"
                • Ça marche comment chez vous? Vous n'avez pas une adresse spécifique pour accéder à la console d’administration?
                • Quand je suis dans la console d’administration et que je clique en haut pour avoir l’aperçu du site, c'est sur l'adresse de prévisualisation que je suis renvoyé
                • Ça reste une adresse de mon site, sinon, j'aurais déclenché "une alerte rouge"
                • la même chose s'est produite avec les mails d'informations de mise à jour. J'ai modifié ce modèle.
                  (j'ai même rajouté une phrase code dans le mail -du style "le petit chaperon rouge a une cape verte"- pour contrer un éventuel mail de phishing calqué sur le modèle standard de Joomla. Je me connecte toujours via le marque page enregistré sur mon navigateur, mais si par la suite, je partage ce travail, ça évitera une récupération des codes si un faux mail renvois sur un site malveillant ayant l’apparence de l'interface admin Joomla.
                • au départ, dans certain mails, c'était l'adresse http qui était indiquée, pas l'adresse https
                Tu évoque des modules de langues ??? tu veux dire des packs de langue ?
                Oui.

                Hier, j'ai (vainement) fouiné dans Joomla pour essayer de trouver ou était stockée cette fameuse variable nommé (de mémoire) {website_url} qui est utilisée dans les mails, pour la modifier avec la véritable adresse https du site...

                Essaye de voir la liste des plugins système, cela devrait réduire les options.
                ok, je vais regarder ça, et je mettrais la liste.

                Commentaire


                • #9
                  C'est vraiment une configuration atypique. l'accès se fait via le domaine du site suivi du terme administrator correspondant en réalité au nom du repertoire donnant accès aux pages d'administration.

                  A moins de le protéger par diverses manières, tous les sites joomla sont donc gérables depuis :



                  Quand aux adresses avec ou sans www, http et https... On doit choisir et rediriger sur une seule adresse en https avec ou sans www.
                  Sans ces redirections, vous aurez un référencement qui mélangera les urls et diminuera votre visibilité dans les moteurs de recherche.

                  L'adresse de preview est généralement proposé par l'hébergeur quand le nom de domaine n'est pas encore attaché à l'hebergement (le temps de configurer et de propagation des dns). Je ne comprends pas cette notion qui vous empêche de vous connecter autrement que par ce biais. C'est un peu flou.

                  Sur des serveurs dédiés, il arrive que l'ip affiche également le site, dans ce cas, on redirige vers la bonne adresse. De mon avis, l'ancienne adresse ne devrait plus être accessible. Toutes ces redirections se font avec le htaccess et sont expliqués généralement par les hébergeurs. On a déjà évoqué à plusieurs reprises les redirections.

                  Pour faire un petit topo sur les mails et les urls, tout est relatif !

                  Par exemple, quand le package Joomla est à mettre à jour, un mail est envoyé par le site au superadmin. Il est déclenché au chargement de page d'un visiteur ou d'un robot sans qu'il le sache (chaque envoi ou rappel est espacé d'un nombre d'heures paramétré, dans mon cas c'est 6h). Aussi curieux que ce soit, Les urls indiquées dans le mail dépendent de la connexion du visiteur... Si celui-ci s'est connecté en https sans www et qu'il n'a pas été redirigé alors les urls du mail auront le même nom de domaine. D'ailleurs tous les liens de chaque menu, chaque article sont en relatif.

                  Donc pour éviter d'avoir d'autres urls que celle que l'on a déterminé pour le site (par exemple en https sans www), il faut effectuer les redirections nécessaires dans le htaccess. On vérifiera le fonctionnement des redirections via des sites comme https://httpstatus.io/ qui indiqueront les redirections effectuées.
                  Ce sera mieux pour le référencement, mieux pour la sécurité, mieux pour l'envoi de mail...
                  Dernière édition par daneel à 10/10/2022, 13h24
                  el_pequeno aime ceci.
                  Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                  Commentaire


                  • #10
                    A moins de le protéger par diverses manières, tous les sites joomla sont donc gérables depuis :
                    https://nomdusite.com/administrator
                    heu... oups! Je viens de m’apercevoir que cette méthode fonctionne aussi sur mon site.

                    L'adresse de preview est généralement proposé par l'hébergeur quand le nom de domaine n'est pas encore attaché à hébergement (le temps de configurer et de propagation des dns). Je ne comprends pas cette notion qui vous empêche de vous connecter autrement que par ce biais. C'est un peu flou.
                    Bah, c'est simplement que je n'avais pas compris. Je suis novice.
                    Je pensais que c'était une sécurité, le fait de devoir passer par un répertoire au nom imprévisible pour accéder à l'administration d'un site,
                    un peu comme Firefox et Thunderbird qui stockent le profil utilisateur dans un répertoire dont le nom est généré de façon aléatoire.

                    De mon avis, l'ancienne adresse ne devrait plus être accessible. Toutes ces redirections se font avec le htaccess et sont expliqués généralement par les hébergeurs. On a déjà évoqué à plusieurs reprises les redirections.
                    Bon, je vais regarder ça...

                    Bon, bah, j'ai encore du boulot! .

                    Commentaire


                    • #11
                      Bon, le service technique d'Infomaniak vient de m'indiquer que l'adresse de preview n'était pas désactivable.

                      Commentaire

                      Annonce

                      Réduire
                      Aucune annonce pour le moment.

                      Partenaire de l'association

                      Réduire

                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X