🌍
Français
Le danger est le suivant : un virus s'introduit sur votre ordinateur et va lire les fichiers de firefox pour trouver le mot de passe du site. Ensuite il l'envoit au méchant pirate. Le pirate reçoit par email les identifiants qu'il trouve sur les ordinateurs infectés. Dans ce cas là, Piwigo n'a rien à voir là-dedans.
Nous vous répondrons mais pour cela pourriez-vous ouvrir un autre sujet SVP ?
Le présent sujet à été initié par une autre personne et concerne le FAI Free.fr ^^
Merci ;-)
Merci dèjà d'avoir pris en compte rapidement mes questions.
Restent 3 questions:
1/ les plugins standards (listés dans la partie recherche plugin dans piwigo) sont ils sécurisés ou constituent t-ils un point d'accés potentiel pour des hackers ?
2/ J'utilise les plugins suivants : Contact Form, CoolIris-Piclens , meta, PWG Stuffs , PayPal Shopping Cart. Ces plugins sont-ils fiables ?
3/ O2switch m'a déconseillé d'utiliser PIWIK, outil statistique en temps réel que j'utilisais pour voir les visites en cours sur mon site. Avez vous un avis la dessus ?
Oki donc nous ne pourrons certainement pas savoir d'où venait la faille vu le nombre d'hypothèses...
Bref, si votre site à été totalement nettoyé c'est une bonne chose. Pour Piwigo, si vous aviez une sauvegarde de la BDD, nous aurions pu vous aider à sauver quelques éléments tels que les commentaires, les inscrits etc.
Dans un premier temps c'étaient les 2 mêmes passwords. Ils ont été différents seulement après 3 ou 4 semaines. (sur les conseils d'un collègue qui fait office de webmaster) Mais ils étaient tous les 2 assez faibles.
Les pb ont commencés environ 2 mois après ce changement pour se solder après 3 semaines de pb divers par l'effacement complet de mon site.
Nous souhaiterions savoir si à l'époque votre mot de passe Piwigo était le même que le mot de passe chez o2switch.
Comme je le disais , par sécurité , depuis la nlle installation de ce début de semaine, j'ai placé un mot de passe très fort pour l'hébergeur et un autre très fort pour webmaster Piwigo.
Mail il est sur que Mozilla Firefox, propose d'enregister sur le PC, à partir du login, le mot de passe correspondant, que cela soit pour aller sur la partie admin de PIWIGO que sur la partie admin console O2switch
plg a écrit:
Carl a écrit:
En fait j'ai un doute s'il s'agit du mot de passe Piwigo ou mot de passe 02switch car il est mémorisé par Mozilla.
Le mot de passe pour pLoader est mémorisé par Mozilla ? pLoader n'utilise pas Mozilla, ça n'a pas de rapport direct.
Oui et non car le pLoader a besoin du mot de passe du webmaster qui peut-être stocké si on se rend dans la console d'administration de sa galerie. Et si ce mot de passe est le même que chez l’hébergeur....
Carl a écrit:
En fait j'ai un doute s'il s'agit du mot de passe Piwigo ou mot de passe 02switch car il est mémorisé par Mozilla. Mais c'est certain que c'est l'un des 2 mots de passe qui est demandé
Dans tous les cas, depuis cette seconde installation, j'ai placé 2 mots de passe TRES FORTS et différents pour 02switch et la partie admin de Piwigo.
Cela devrait normalement aller dans le bon sens ?
Dans le bon sens oui, mais si vous stockez vos mot de passe quelque part, on multiplie les chances de piratage.
Donc ça ne nous dit pas que la faute via de Piwigo.
Carl a écrit:
En fait j'ai un doute s'il s'agit du mot de passe Piwigo ou mot de passe 02switch car il est mémorisé par Mozilla.
Le mot de passe pour pLoader est mémorisé par Mozilla ? pLoader n'utilise pas Mozilla, ça n'a pas de rapport direct.
Si votre site, il y a quoi en plus de Piwigo ?
Je pense que par abus de language Carl a parlé de "mot de passe O2switch" mais qu'il voulait dire "mot de passe Piwigo sur O2switch", non ?
En fait j'ai un doute s'il s'agit du mot de passe Piwigo ou mot de passe 02switch car il est mémorisé par Mozilla. Mais c'est certain que c'est l'un des 2 mots de passe qui est demandé
Dans tous les cas, depuis cette seconde installation, j'ai placé 2 mots de passe TRES FORTS et différents pour 02switch et la partie admin de Piwigo.
Cela devrait normalement aller dans le bon sens ?
En fait, c'est l'hébergeur, O2switch qui m'a effectué l'installation les 2 fois, directement de chez eux.
La seconde fois c'était ce lundi aprem car j'ai préféré repartir de zéro (plutot que d'installer une archive qui datait de 2 mois et qui aurait été potentiellement déjà touchée.)
Carl a écrit:
[...]au lancement il demande le mot de passe O2switch.
A bah moi je n'irai pas chercher plus loin ! pLoader ou même Piwigo ne demande JAMAIS le mot de passe pour accéder à votre console de gestion de compte chez votre hébergeur.
Si vous utiliser le même mot de passe pour utiliser votre galerie (ou tout autre script) que pour rentrer dans votre gestion de compte chez votre hébergeur, une petite brèche quelque part et le loup à un boulevard pour faire ce qui veut !
C'est comme si le code de votre carte bancaire était le code de votre d'entrée... Ce n'est pas très sécurisé...
Du coup, si un pirate arrive à trouver le mot de passe pour forcer un script PHP et qu'il tente ce même mot de passe pour accéder à votre hébergement, bah rien ne l'arrêtera puisque qu'il a les clés pour rentrer.
PS : Je suis aussi chez o2switch.fr