Piwigo.org

novembrezoulou · 2019-03-27 17:56:28

Bonjour/Bonsoir,
Pour votre information (et celle d'autres utilisateurs rencontrant le même problème), je vous transmet l'échange que j'ai eu avec mon hébergeur, suite à une erreur 403 quasi permanente lors de la mise à jour des albums (ajout de commentaires) car, celui-ci m'ayant indiqué la solution au problème, il me semble important de la partager.
Cordialement
Claude (NovembreZoulou)

------------ début de l'échange

bonjour,
J'utilise depuis de nombreuses années une application écrite en PHP afin de gérer et afficher ma galerie de photos laquelle est installée sur le serveur ainsi que sa base de donnée. (source : www.piwigo.org)
Jusqu'à présent, je n'ai jamais eu de problème mais, il y a deux mois, j'ai eu un message d'erreur :
"403
Forbidden
Access to this resource on the server is denied!"

Partant en longues vacances, je me suis dit qu'il pouvait s'agir d'un problème passager et que tout irait bien à mon retour.
Je viens de déposer mes photos via le FTP. Là aucun problème, mais lorsque j'utilise mon application pour renseigner la base de donnée avec les précisions concernant les sites, j'obtiens toujours ce même message.
Y aurait-il un problème avec mes accès ?
Je précise que le problème survient avec tous les albums, y compris les très anciens.
Merci de votre réponse
Cordialement

-----------------------------
Bonjour,

L'erreur 403 est causée par une règle de sécurité qui bloque une faille de sécurité dans Pwigo inférieur à la version 2.9.2.

Si votre version de Pwigo est bien supérieur à la version 2.9.2, pouvez-vous ajouter les lignes suivantes en haut du fichier .htaccess (qu'il faut créer s'il n'existe pas déjà ou modifier s'il existe) pour avoir en haut de ce fichier :

<IfModule mod_security.c>
SecRuleRemoveById 77245651
</IfModule>

Cordialement,

-------------------------------

Bonjour,
J'utilise la version 2.9.4 (la dernière).
J'ai ajouté les lignes au fichier .htaccess et ça fonctionne parfaitement.
Merci de cette information.
Le ticket peut être clos.
Cordialement

------------ fin de l'échange

Version de Piwigo: 2.9.4
Version de PHP: 7.2.7
Version de MySQL: 5.1.73
URL Piwigo: http://www.labougeotte.com

flop25 · 2019-03-27 19:52:29

Bonjour
merci du retour
pourriez vous demander à votre hébergeur quel est la règle n° 77245651 ? j'ia beau chercher je ne trouve pas. elle doit être dans un set de règle payant

novembrezoulou · 2019-03-27 21:06:26

Bonjour,
Je viens de lui poser la question...
Pour moi, tout ça est franchement ésotérique !
Dès que j'aurai l'info, je vous la transmettrai via ce post
En général, le support est très réactif.
Cordialement
PS. J'utilise effectivement un hébergement payable...

Dernière modification par novembrezoulou (2019-03-27 21:08:37)

novembrezoulou · 2019-03-28 10:43:23

Bonjour,
voici la réponse de mon hébergeur :

Ce n'est pas quelque chose que Piwigo peut corriger.

C'est une règle de sécurité de notre pare-feu applicatif qui empêche l'exploitation de la vulnérabilité de la version 2.9.2. Normalement ces règles ne se déclenchent sur la version concernée du logiciel mais parfois il peut y a voir des faux positifs sur les versions plus récentes.

Il suffit de conserver les lignes dans le fichier .htaccess et vous n'aurez plus d'erreur 403.

Je pense que l'on peut passer ce post en "résolu" car il s'agit d'une règle de gestion propre à mon hébergeur (monarobase.net) qui ne devrait pas impacter les autres utilisateurs (sauf ceux hébergés chez monarobase).

Cordialement
Claude (NovembreZoulou)

flop25 · 2019-03-28 12:00:02

Oula ce n'est pas du tout une réponse technique rassurante.
On peut voir pour nous les contacter directement Ils réagiront différemment

novembrezoulou · 2019-03-28 14:50:30

Peut-être qu'entre professionnels, vous pourrez vous en expliquer autrement que le profane que je suis...
Leur n° de téléphone étant sur leur site, je peux le communiquer sans problème : +33 (0)9 72 21 22 90.
Il y a, aussi, cette adresse courriel de contact : support@monarobase.net
Perso, je n'ai jamais eu à les contacter par fil, mes problèmes d'hébergement ayant toujours été réglés par leur support sans délai.
Cordialement
Claude (NovembreZoulou)

Cleo · 2019-03-28 18:30:28

Bonjour,

J'avais le même problème dimanche dernier lors de l'installation, dès que je voulais sauvegarder les paramètres j'obtenais aussi l'erreur 403, et mon hébergeur m'a expliqué que je n'avais qu'à aller dans cpanel et désactivé "mod-security" pour le site le temps de la sauvegarde et le ré-activé lorsque terminé.

Peut-être pouvez-vous le faire aussi si vous avez accès au cpanel/mod-security.

Cordialement,

Cleo

novembrezoulou · 2019-03-29 00:31:38

Bonsoir Cléo
J'ai bien accès à ce module dans Cpanel.
Je testerai cette solution lors de ma prochaine misa à jour, en neutralisant le .htaccess qui, lui, est permanent.
Je reviendrai sur ce post pour dire ce que ça a donné.
La prochaine MAJ est prévue en fin de semaine prochaine...
Cordialement
Claude

Cleo · 2019-03-29 04:47:30

Bonjour Claude,

Je ne suis pas experte mais je ne crois pas qu'il s'agisse d'une faille de sécurité avec Piwigo car j'avais eu le même problème il y a quelque temps avec mon logiciel google feed/plandesite qui était bloqué lorsqu'il tentait de se connecter au serveur du fournisseur et si je comprend bien avec la règle que votre hébergeur a appliquée au .htaccess le module de sécurité est complètement désactivé ce qui d'après moi vous enlève la sécurité pour votre site.

Mon hébergeur préférais que je le désactive temporairement plutôt que définitivement et si jamais je voulais le faire définitivement il faudrait que je fasse une demande par écrit pour qu'ils ne soient pas tenu responsable car étant sur un compte mutualisé ça pouvait rendre le site/serveur vulnérable.

Personnellement je préfère cette solution avec tous les arnaqueurs se promenant sur le web et cherchant la moindre faille. Lorsque je suis prête à sauvegarder j'ouvre une autre fenêtre pour le cpanel que je laisse ouverte après avoir désactivé et dès que ma sauvegarde est faite je le réactive, ainsi je suis certaine de ne pas oublier et ça ne prend que quelques minutes de plus mais au moins je suis tranquille.

Cordialement,

Cleo

Piwigo.org

Annonce

#1 2019-03-27 17:56:28

Erreur 403 et faille de sécurité dans Pwigo inférieur version 2.9.2

#2 2019-03-27 19:52:29

Re: Erreur 403 et faille de sécurité dans Pwigo inférieur version 2.9.2

#3 2019-03-27 21:06:26

Re: Erreur 403 et faille de sécurité dans Pwigo inférieur version 2.9.2

#4 2019-03-28 10:43:23

Re: Erreur 403 et faille de sécurité dans Pwigo inférieur version 2.9.2

#5 2019-03-28 12:00:02

Re: Erreur 403 et faille de sécurité dans Pwigo inférieur version 2.9.2

#6 2019-03-28 14:50:30

Re: Erreur 403 et faille de sécurité dans Pwigo inférieur version 2.9.2

#7 2019-03-28 18:30:28

Re: Erreur 403 et faille de sécurité dans Pwigo inférieur version 2.9.2

#8 2019-03-29 00:31:38

Re: Erreur 403 et faille de sécurité dans Pwigo inférieur version 2.9.2

#9 2019-03-29 04:47:30

Re: Erreur 403 et faille de sécurité dans Pwigo inférieur version 2.9.2

Pied de page des forums