Bonjour,
j'ai eu apparemment le même type de pb sur mon site photo: www.studio-carl.com
et cela s'est soldé par la catastrophe !! il y a une semaine, vers le 16 décembre de cette année 2011

Dans un premier temps, un fichier .htaccess avait "atterri" avec des redirections sur divers site . Cela faisait donc que mon site n'était plus accessible ! Le fichier a été supprimé le lendemain et ça remarchait.
Quelques jours après j'ai eu des milliers par jour de spams renvoyés à partir de mon site à des adresses emails aléatoires. Mon collègue qui fait office de webmaster avait installé un script surveillant l'apparition de fichiers suspects. J'ai juste eu le temps de recevoir un mail comme quoi un fichier venait d'être placé que plus rien ne fonctionnait. TOUT le contenu de mon site
(avec environ 40 000 photos de sport) à été effacé !

J'ai donc du repartir de zéro ! pour l'instant j'ai replacé environ 15000 photos dans mes galeries. (j'effectue de la vente photo en ligne)

Mon hébergeur 02switch penses d'avantage à une intrusion à partir de scripts PHP qui proviendrait de plugin installés.

Entre temps j'ai modifié mon mot de passe (qui était assez faible) pour l'accés à la console administration de l'hébergeur 02switch par un mot de passe très fort.

Mais je m'interroge par rapport à ces pb éventuels de sécurité des plugins rajoutés.

Quelqu'un a t-il un avis sur la question ?

Bonjour,
merci de votre réponse rapide,

Je passe exclusivement par Ploader pour télécharger les photos.

au lancement il demande le mot de passe O2switch.

Non,
j'ai effectué une install normal sous windows

Carl a écrit:

[...]au lancement il demande le mot de passe O2switch.

A bah moi je n'irai pas chercher plus loin ! pLoader ou même Piwigo ne demande JAMAIS le mot de passe pour accéder à votre console de gestion de compte chez votre hébergeur.
Si vous utiliser le même mot de passe pour utiliser votre galerie (ou tout autre script) que pour rentrer dans votre gestion de compte chez votre hébergeur, une petite brèche quelque part et le loup à un boulevard pour faire ce qui veut !

C'est comme si le code de votre carte bancaire était le code de votre d'entrée... Ce n'est pas très sécurisé...

Du coup, si un pirate arrive à trouver le mot de passe pour forcer un script PHP et qu'il tente ce même mot de passe pour accéder à votre hébergement, bah rien ne l'arrêtera puisque qu'il a les clés pour rentrer.

PS : Je suis aussi chez o2switch.fr

En fait j'ai un doute s'il s'agit du mot de passe Piwigo ou mot de passe 02switch car il est mémorisé par Mozilla.  Mais c'est certain que c'est l'un des 2 mots de passe qui est demandé

Dans tous les cas, depuis cette seconde installation, j'ai placé 2 mots de passe TRES FORTS et différents pour 02switch et la partie admin de Piwigo.

Cela devrait normalement aller dans le bon sens ?

Si votre site, il y a quoi en plus de Piwigo ?

Carl a écrit:

En fait j'ai un doute s'il s'agit du mot de passe Piwigo ou mot de passe 02switch car il est mémorisé par Mozilla.  Mais c'est certain que c'est l'un des 2 mots de passe qui est demandé

Dans tous les cas, depuis cette seconde installation, j'ai placé 2 mots de passe TRES FORTS et différents pour 02switch et la partie admin de Piwigo.

Cela devrait normalement aller dans le bon sens ?

Dans le bon sens oui, mais si vous stockez vos mot de passe quelque part, on multiplie les chances de piratage.
Donc ça ne nous dit pas que la faute via de Piwigo.

Comme je le disais , par sécurité , depuis la nlle installation de ce début de semaine, j'ai placé un mot de passe très fort pour l'hébergeur et un autre très fort pour webmaster Piwigo.

Mail il est sur que Mozilla Firefox, propose d'enregister sur le PC, à partir du login, le mot de passe correspondant, que cela soit pour aller sur la partie admin de PIWIGO que sur la partie admin console O2switch