Site joomla haché

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par Alexandrio, 13 Avril 2013.

  1. Alexandrio
    Alexandrio Nouveau WRInaute
    Inscrit:
    15 Mars 2013
    Messages:
    13
    J'aime reçus:
    0
    Bonjour, mon site quel temps Joomla 3.0 vient de se fait hacker, plusieurs dizaines de fichiers ont étés corrompus.
    Heureusement j'avais des backups créés avec le module ackeeba.

    Je vais essayer de tirer une bonne leçon de ce malheur.

    Qui pourrait me dire que les grandes règles et les astuces à respecter pour
    à l'avenir essayer d'éviter ce genre de problème.

    Un grand merci, Alexandrio
     
  2. ybet
    ybet WRInaute accro
    Inscrit:
    22 Novembre 2003
    Messages:
    7 516
    J'aime reçus:
    1
    PAs la peine de remettre les fichiers: s'ils sont rentrés dans le site, ils vont utiliser les mêmes techniques dans les jours qui viennent: d'abord mettre à jour puis transférer.
     
  3. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 196
    J'aime reçus:
    1
    éviter d'utiliser de l'open source c'est déjà pas mal pour éviter beaucoup d'ennuis si on est pas derrière le site 24/24.
     
  4. loran750
    loran750 WRInaute passionné
    Inscrit:
    15 Mars 2005
    Messages:
    2 019
    J'aime reçus:
    0
    mais ça veut rien dire Zeb "éviter d'utiliser de l'open source"...

    Quant à ce genre de problème de piratage, souvent c'est un soucis de piratage du compte FTP (tu disposes de Filezilla ? Tu as enregistré ton mot de passe dans Filezilla ? ça veut dire que ton PC est hacké)

    Sinon pour Joomla, tu n'aurais jamais dû passer à la 3.0 si tu n'es pas un utilisateur averti. C'est marqué noir sur blanch. Tu aurais du rester à la version stable 2.5 dite "LTS : Long term support , supporté à long terme, soit environ 2 ans. Contre la 3.0 STS : short term support : environ 6 mois). Passe à la 3.1.x au plus vite.

    Et désactive le FTP sur ton hébergement. Le FTP n'est à activer qu'en cas de besoin.

    lolo
     
  5. equitable
    equitable WRInaute occasionnel
    Inscrit:
    22 Janvier 2008
    Messages:
    352
    J'aime reçus:
    0
    je pense qu il faut éviter d'utiliser jooomla3 actuellement
    et rester sur jooomla1.5 ou joomla2.5 car il y a plusieurs problèmes sur joomla3
     
  6. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    11 874
    J'aime reçus:
    72
    Si on installe les plugin en connaissance de cause et qu'on fait une veille régulière des bugs et failles liées à chaque plugin en présence. Mais bon, dans un cas comme dans un autre le hack est possible (et souvent plus difficile à identifier quand il s'agit d'un dév spécifique et que tu n'es pas un développeur chevronné).

    Pour le reste, +1 loran 750 : change déjà tes mots de passe FTP et met à jour ton site à une version stable, en y adjoignant les correctifs de sécurité nécessaire (et les mises à jour des différents plugins). Et désactives tous les plugins dont tu n'as pas besoin.

    Mais bon, j'ai facilement tendance à penser que Joomla est un des CMS les plus passoire du marché. Donc bon...
     
  7. loran750
    loran750 WRInaute passionné
    Inscrit:
    15 Mars 2005
    Messages:
    2 019
    J'aime reçus:
    0
    UsagiYojimbo : non, ce sont juste l'utilisation mal maîtrisée de plugins issus de personnes qui ne savent pas coder.
    Le CMS en lui-même est "propre" et sécurisé dès lors qu'on le met à jour régulièrement.
    Comme les autres CMS.

    Le problème comme je dis, ce sont les plugins qui ne sont pas codés correctement, avec des failles de sécurité aussi grandes que la route 66...

    Pareil sur Wordpress.

    Le seul conseil : c'est de prendre un plugin avec un suivi / mise à jour régulier, avec un développeur actif et de préférence une communauté.

    Grosso modo : choisir les plugins qui sont validés par l'équipe de Joomla et/ou ceux qui sont populaires.

    Et ce, quel que soit le CMS utilisé.

    lolo

    ps : et virez moi FILEZILLA une fois pour toute, c'est une plaie béante pour les maladies électroniquement transmissibles.
     
  8. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    11 874
    J'aime reçus:
    72
    WinSCP vaincra ! :wink:
     
  9. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 196
    J'aime reçus:
    1
    Je pense que si tu coupe la citation oui en effet ça ne veux rien dire mais si tu la prend en entier ça a un sens réel.
    Je ne suis pas en train de dire "Joomla c'est mal" ou "faut pas utiliser un script open source" je sous entend simplement que vis a vis de la sécurité, l'open source nécessite une veille très active car les failles y sont plus faciles a exploiter sur des sites qui ne font pas l'objet d'une attention continue (d'où le "si on est pas derrière le site 24/24" que tu ne prend pas en compte dans ta citation).

    Bref c'est pas un procès envers l'open source (je serais bien con j'utilise que ça chez moi) c'est une recommandation basé sur des faits vérifiés.

    Maintenant le "closed source" a les mêmes soucis mais il est moins ciblé si on met de côté les système d'exploitation car moins accessible au "grand public". Et les dev spécifiques sont eux totalement a l'abris des avantage hack car le code est obscure et nécessite des actions plus manuelles pour être hacké.

    Il y a deux phase dans le shéma de hack classique des gloglos (je parle pas des attaques ciblés sur la personne mais sur un système) :
    1/ identifier les cibles
    2/ tester les failles

    l'open source est dispo aux outils automatisés dans les deux cas 1/ j'utilise GG pour identifier des cibles (systéme + version) 2/ dans la liste des cibles je teste une faille avec un bot.

    Ensuite j'aimerais revenir sur ta remarque :
    Faut peut être arrêter de faire peser le poids de la faille sur le logiciel ... Certes il pourrait crypter ses mdp dans son xml afin de rendre la tache plus complexe en cas de vol de ce fichier qui livre accès a tous les comptes FTP. Mais c'est faire peu de cas de ce qui serait alors possible. L'algo de cryptage des mdp devrait alors être réversible car sinon il n'y aurait pas moyen d'utiliser les mdp pour se connecter, hors si il était réversible il y aurait moyen de reverser les mdp ... ce qui, de fait, rendrait la fonction totalement inutile. Filezilla est conçu pour te connecter sans donner le mdp pas pour comparer le mdp que tu donne a une empreinte ou un hash conservé en mémoire...

    Alors ou est la faille de filezilla ? Bah c'est très simple elle est qque cm plus loin entre le clavier et la chaise ... Combien de personne utilise un OS vraiment sécurisé ? genre avec une véritable politique de connexion et de sécurité sur les ressources. La grande majorité utilise un compte administrateur windows sans mot de passe sur leur machine faut pas s'étonner si le ver est dans le fruit en moins de temps qu'il faut pour dire bonjours. Avant de déclamer que Filezilla est pas un logiciel sécurisé faut peut être dire que pour que Filezilla livre ses secrets il faut déjà avoir laisser entrer le voleur dans la forteresse, mais là bizarrement personne n'en parle est ce a dire que personne est capable de voir la vérité en face ?

    Tu dirais FileZilla c'est perfectible, je dirais oui en effet comme par exemple en ne gardant pas les mdp mais juste les info de connexion, mais quand tu dit que c'est une plaie béante tu parle a un miroir et tu ne te rend pas compte que c'est toi que tu regarde et pas le logiciel. De plus augmenter la sécurité de filezilla c'est avant tout prendre en compte la stupidité des utilisateurs ce qui n'est pas a proprement parler une mesure de sécurité mais une mesure sociale.

    Il en va de même avec ma remarque sur l'open source, a ceci près que je ne dis pas c'est de la merde, je rappel que pour que ce soit fiable il faut absolument être derrière et faire de la veille pour réagir vite.

    Ce n'est pas une attaque perso sur ta personne (on se croise depuis longtemps je pense que tu l'aura compris) mais faut aussi recadrer un peut l'utilisateur qui risque de colporter des informations sur la sécurité sans savoir pourquoi ni comprendre que 95 % des failles c'est l'utilisateur.

    Les voitures sont de moins en moins la cause d'accidents, c'est surtout leur utilisation, donc le facteur humain qui en est la cause .... c'est pareil.
     
  10. loran750
    loran750 WRInaute passionné
    Inscrit:
    15 Mars 2005
    Messages:
    2 019
    J'aime reçus:
    0
    je suis d'accord avec toi, mais tu sais très bien que les gens sont fainéants.

    Alors que faire ? Et bien les prendre par la main, les autoriser à faire telle ou telle chose, baliser le terrain.
    Et leur donner une clef des portes qu'on aura bien voulu qu'elle n'ouvre que ce qu'on aura défini.

    Donc oui, le problème est entre la chaise et le clavier. Et je doute que l'éduquer ou lui faire confiance suffit ;)
    mais je ne t'apprends rien. C'est à nous, "professionnels du web" de prévoir tout cela.
     
  11. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 196
    J'aime reçus:
    1
    +1 c'est pour ça que dans le "perfectible" de Filezilla faut faire sauter la possibilité d'enregistrer le mdp ... :( ce jour là je change de logiciel car c'est uniquement pour ça que je l'utilise (simple et pratique :p )
    idem pour windows le jour ou il imposeront une postconfig "utilisateur sans privilège" je commencerait a y croire un peut plus.
    idem pour les boxs ... le nombre de truc délirant qu'on peut faire en scannant une plage ip proche de la tienne me fait passer des soirée hallucinantes de rigolade avec les voisins :lol: (les pauvres ... c'est pas bien ça zeb !!!)
     
Chargement...
Similar Threads - joomla haché Forum Date
Search Console Supprime des pages identiques (Joomla) Crawl et indexation Google, sitemaps 5 Août 2019
Comment supprimer les redirections www avec Joomla Netlinking, backlinks, liens et redirections 5 Février 2019
Référencement et sp page builder joomla Débuter en référencement 30 Janvier 2019
Redirection d'une page vers une autre (Joomla) Débuter en référencement 18 Décembre 2018
Référencer un site multilingue sous joomla Référencement international (langues, pays) 24 Septembre 2018
Site web sur Joomla : quels bons plugins SEO ? Demandes d'avis et de conseils sur vos sites 13 Mars 2018
Gérer l'URL canonique avec Wordpress, Joomla, Prestashop, Magento, Référencement Google 29 Janvier 2018
JOOMLA Redirections sous-catégories vers catégorie Netlinking, backlinks, liens et redirections 20 Novembre 2017
Cherche dev pour modif sur un module custom sous Joomla 3 Développement d'un site Web ou d'une appli mobile 24 Février 2017
Nombre de mots clefs sur la page de garde du site (joomla) Débuter en référencement 28 Mai 2016
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice