Bloccare possibilità di registrazione al sito

[ira83]

Ciao a tutti,


oggi, casualmente, sono andato nella sezione utenti e oltre a mio mi sono ritrovato altri 3-4 utenti addirittura con permessi di amministratore!!!
Ho provveduto subito ad eliminarli. La cosa che non capisco è come sia possibile poiché in moduli attivi/pubblicati non ho il modulo di registrazione.


Vi è un modo per bloccare le registrazioni?
Attualmente sono sulla 3.6.2, nei prossimi giorni aggiornerò alla 3.6.4

[Francesco Di Giovanni]

ciao 
devi andare dal menu del backend da Gestione - Utenti e poi cliccare su Opzioni
e da Consenti registrazione utenti metti no


 

[ira83]

ciao 
devi andare dal menu del backend da Gestione - Utenti e poi cliccare su Opzioni
e da Consenti registrazione utenti metti no


 

Grazie mille! Mi era sfuggito questo parametro che ovviamente era impostato su si.


Grazie ancora

[marine]

Anche se blocchi la possibilità da registrazione come indicato da Francesco riescono lo stesso a registrasi nel sito, è la falla di sicurezza descritta qui:

http://www.joomla.it/notizie/8504-disponibile-aggiornamento-joomla-3-6-4.html

http://www.joomla.it/notizie/8502-annunciato-l-arrivo-di-un-aggiornamento-di-sicurezza-per-joomla.html

Attualmente sono sulla 3.6.2, nei prossimi giorni aggiornerò alla 3.6.4

Citando una frase letta in questo forum:

Chiudi la stalla quando i buoi sono già scappati.

[Alex21]

Anche se blocchi la possibilità da registrazione come indicato da Francesco riescono lo stesso a registrasi nel sito, è la falla di sicurezza descritta qui:

http://www.joomla.it/notizie/8504-disponibile-aggiornamento-joomla-3-6-4.html

Ci vuole un po' di chiarezza:
il rilascio della versione [/size]3.6.4[/size] stabile ([/size]link alla notizia in inglese su Joomla.org[/size]). [/color][/size]Questo aggiornamento di sicurezza risolve due vulnerabilità di alto livello (Core - Account Creation, Core - Elevated Privileges) e corregge un problema nato con l'aggiornamento precedente,
Sembra che la falla sia della 3.6.3.  non  3.6.2
Ciao!

[giusebos]

ciao 
devi andare dal menu del backend da Gestione - Utenti e poi cliccare su Opzioni
e da Consenti registrazione utenti metti no


 

Questa è un ovvietà che non servirà a niente, se sono riusciti fin qui è perchè hanno bucato il sito grazie ad un bug, consigliare di usare vetri antisfondamento a rapina avvenuta è utile quanto una pinza per allentare i bulloni di una gomma di un auto.

[marine]

Ci vuole un po' di chiarezza:
il rilascio della versione 3.6.4 stabile (link alla notizia in inglese su Joomla.org). Questo aggiornamento di sicurezza risolve due vulnerabilità di alto livello (Core - Account Creation, Core - Elevated Privileges) e corregge un problema nato con l'aggiornamento precedente,
Sembra che la falla sia della 3.6.3.  non  3.6.2
Ciao!

Proprio per chiarezza:

https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html

se leggi la Security Announcement relativa al Core-Accont Creation che hai citato nel messaggio precedente vedi che le versioni di Joomla! interessate sono dalla 3.4.4 alla 3.6.3 e quindi è compresa anche la 3.6.2

[MariaElenaBoschi]

Ci vuole un po' di chiarezza:
il rilascio della versione [/size]3.6.4[/size] stabile ([/size]link alla notizia in inglese su Joomla.org[/size]). [/color][/size]Questo aggiornamento di sicurezza risolve due vulnerabilità di alto livello (Core - Account Creation, Core - Elevated Privileges) e corregge un problema nato con l'aggiornamento precedente,
Sembra che la falla sia della 3.6.3.  non  3.6.2
Ciao!

no
Versions: 3.4.4 through 3.6.3
https://developer.joomla.org/security-centre.html

[ira83]

Quindi ricapitolando avendo messo quella spunta e ora, aggiornando alla 3.6.4 dovrei risolvere no?

[giusebos]

no!

[marine]

Io una mano nel fuoco non ce la metterei, nel senso che possono aver fatto un bel po' di pasticci nel frattempo e che magari per giorni tutto sembra funzionare per bene e poi tutto ad un tratto ti trovi il sito offline con una bandiera straniera e frasi ineggianti ad una chissà quale resistenza partigiana, oppure il tuo sito viene indicizzato da google come boutique dove acquistare borse di prada, gucci ed altri marchi famosi, oppure il tuo sito comincia a mandare migliaia di mail di spam oppure chissa quale altra cosa, oppure non succede niente per tutta la vita naturale del tuo sito.
In pratica senza un controllo approfondito è un bel po' difficile capire cosa è realmente successo.

[ira83]

no!

e quindi come potrei agire?



Per il momento ho:
- aggiornato alla 3.6.4
- eliminato account incriminate
- cambiato password joomla
- cambiato password server mysql
- aggiornato il file config

[giusebos]

Leggiti i post in testa alla sezione sicurezza, li c'è tutto quello che devi sapere