Commentaire posté sur une page non autorisée

  • Statut : non résolu
7 sujets de 1 à 7 (sur un total de 7)
  • Auteur
    Messages
  • #487761
    melodie
    Participant
    Chevalier WordPress
    196 contributions

    Bonjour,

    Ma configuration WP actuelle
    – Version de WordPress 3.0.1 :
    – Version de PHP/MySQL 5.2.6-1+lenny9 – MYSQL Version : 5.0.51a-24+lenny4 :
    – Thème utilisé : F2 :
    – Extensions en place : un paquet, liste ici: http://pastebin.ca/1978987 :
    – Nom de l’hébergeur : Tuxfamily.org :
    – Adresse du site : http://pclinuxos-fr.tuxfamily.org :

    Problème(s) rencontré(s) :

    Ce site est ouvert aux inscriptions, et aussi aux commentaires (avec des plugins ayant fait leurs preuves + une notification pour m’avertir de l’arrivée de nouveaux commentaires).

    Un nouvel inscrit vient juste de poster un commentaire, mais cela à la suite d’une page ! Alors que les commentaires sont fermés pour toutes les pages !

    Seulement voilà c’est encore un peu plus compliqué que ça : il a posté sur une page qui n’existe pas.

    Voici cette page qui n’existe pas, car elle n’a jamais été créée:
    http://pclinuxos-fr.tuxfamily.org/inscriptions/inscriptions-pclinuxos-fr/

    Vous pouvez voir le commentaire de max – tout à fait charmant d’ailleurs –

    Cela m’a inquiétée tout de suite, j’ai vérifié que je n’avais pas la berlue, j’ai reparcouru l’admin, les pages, les articles et non je n’ai pas la berlue : cette page avec ce chemin n’a jamais existé.

    Comment cela est-il possible ? Je me suis dit il y a quoi qui fait que ???

    D’un coup je me suis aperçue que le nom de la page: « inscriptions-pclinuxos-fr » correspond pile au nom de l’image qui sert à donner l’adresse mail où envoyer sa demande d’inscription.

    Ça c’est fort non ??

    Alors j’ai vérifié sur une page d’un article doté d’images:
    http://pclinuxos-fr.tuxfamily.org/installer-pclinuxos-2010/

    J’affiche la première image dans mon navigateur:
    http://download.tuxfamily.org/pclinuxosfr/wp/2010/10/pclinuxos2010-fr-01.png

    Je récupère le nom de l’image:
    pclinuxos2010-fr-01

    je l’ajoute à la fin du lien de la page:
    http://pclinuxos-fr.tuxfamily.org/installer-pclinuxos-2010/pclinuxos2010-fr-01

    je met ça dans le champ d’url et je valides:
    http://pclinuxos-fr.tuxfamily.org/installer-pclinuxos-2010/pclinuxos2010-fr-01/

    essayez : une nouvelle page sur laquelle il est possible de commenter, a été créée.

    Génération spontanée de pages… :(

    Pourriez-vous remonter cela en bug urgent s’il vous plaît ?

    Merci,
    Mélodie

    #744857
    Oskinn
    Membre
    Chevalier WordPress
    467 contributions

    Hello !

    J’ai vu dans ta liste des plugins que tu avais : Role Scoper ! Il est possible que dans ses options, l’inscription d’une personne donne un accès auteur ou rédacteur. Dans ce cas, un utilisateur peut créer une page, mettre des images …

    Essaye de vérifier ca tout d’abord : )

    #744858
    melodie
    Participant
    Chevalier WordPress
    196 contributions
    Oskinn wrote:
    Hello !

    J’ai vu dans ta liste des plugins que tu avais : Role Scoper ! Il est possible que dans ses options, l’inscription d’une personne donne un accès auteur ou rédacteur. Dans ce cas, un utilisateur peut créer une page, mettre des images …

    Essaye de vérifier ca tout d’abord : )

    Bonjour,

    Merci de ta réponse rapide. J’ai aussi pensé aux plugins, mais je préfère venir questionner le forum et alerter sur une faille toujours possible.

    Role scoper est installé mais il n’est pas activé:

    #
    Version 1.6.2 | Par Alex Rabe …
    Role Scoper
    CMS-like permissions for reading and editing. Content-specific restrictions and roles supplement/override WordPress roles. User groups optional.
    Activer | Modifier | Supprimer

    Les termes définissant l’état d’un des plugins est après le nom du plugin, sur le pastebin.

    Je ne m’en suis pas servie pour l’instant car il semble que les possibilités par rang définies par défaut sont ok pour l’usage que nous en avons pour l’instant. Je l’ai installé à tout hasard en cas de besoin.
    J’ajoute que tous les plugins installés sont à jour.

    Je suis à l’écoute d’autres suggestions.

    #744859
    Oskinn
    Membre
    Chevalier WordPress
    467 contributions

    Change les mots de passes de personnes ayant un accès au panneau et désactives les commentaires pour le moment voir si d’autres actions apparaissent. Pour l’instant je vois pas, mais j’y réfléchie. Espérons que d’autres aient plus de rapidité que toi.

    #744860
    melodie
    Participant
    Chevalier WordPress
    196 contributions
    Oskinn wrote:
    Change les mots de passes de personnes ayant un accès au panneau et désactives les commentaires pour le moment voir si d’autres actions apparaissent. Pour l’instant je vois pas, mais j’y réfléchie. Espérons que d’autres aient plus de rapidité que toi.

    Salut,

    Je vois autre chose : aucune image dans les pages où des commentaires ne sont pas supposés atterrir, de sorte à ne pas offrir un accès là où il n’est pas supposé y en avoir un.

    Quand aux mots de passe des personnes ayant accès, je ne vois pas l’intérêt, pour les raisons suivantes:
    1) D’abord, l’accès vers une page « fantôme » -qui n’a pas été créée- peut se faire depuis la partie publique du site, sans qu’on soit connecté à l’administration.

    Je viens de faire l’essai, et c’est même encore plus simple que ce que je pensais… Voici:
    Je suis déconnecté de l’admin et je repars sur la page d’accueil:
    http://pclinuxos-fr.tuxfamily.org

    Là je descend dans les billets, et puis je vois cet article sur la manière de configurer le bios pour pouvoir démarrer un live-cd : je clique sur l’image ! C’est tout bête non ? Eh bien je viens de découvrir comment on s’y prend pour réussir ce tour de passe passe qui consiste à poster un commentaire sur une « fausse page », et me voici ici:
    http://pclinuxos-fr.tuxfamily.org/demarrer-un-live-cd/bios/

    Cela pourrait-il être dû au fait que les images sont déportées vers un espace de stockage externe au blog ?

    2) L’autre raison qui fait que je ne suis pas dans l’urgence de prendre n’importe quelle mesure de sécurité en fonçant tête baissée tient dans la raison d’être de ce site, à savoir un espace libriste pour une distribution Linux encore peu connue des francophones. C’est surtout pour y apporter de la documentation, car cela manquait, et ça pourra servir de tremplin pour construire d’autres supports collaboratifs le moment venu. (Il y a aussi une liste de discussion pour réaliser des objectifs).

    3) Je pense à un bug, (et non à une malveillance. C’est juste que je ne voudrais pas que ça se produise sur d’autres sites que j’utilise, vu que j’ai porté mon dévolu sur WordPress depuis plusieurs années, et que j’en maintiens plusieurs dont les objectifs sont divers, et aussi je pense que si ça se produit sur un de ceux dont je m’occupe, il se peut très bien que ça se produise aussi ailleurs.

    Je reste à l’écoute.

    #744861
    Oskinn
    Membre
    Chevalier WordPress
    467 contributions

    Je pense sincèrement que Tuxfamily n’est pas un excellent hébergeur. Lorsqu’il est gratuit, il peut souvent y avoir des problèmes. Je n’ai pas forcement de réponses à ton problème pour le moment, mais je te conseil d’aller sur une autre hébergement, payant mais forcement plus stable et mieux niveau sécurité (aucun risque d’accès à distance …)

    #744862
    melodie
    Participant
    Chevalier WordPress
    196 contributions

    Tuxfamily.org est très bien, et il n’est pas « gratuit » : il est simplement un hébergeur spécialisé dans les projets libristes, et on peut payer/ou non selon ses moyens. Sponsorisé par des professionnels qui soutiennent le libre, l’équipe d’administration compte des professionnels de l’hébergement parmi ses membres.

    J’ai trouvé mon bug : il tient du bug de l’interface chaise-clavier, et des possibilités offertes par la configuration WP elle-même. Dans les images coupables, au niveau de l’interface d’édition, il y a la possibilité d’indiquer une « cible » pour l’image. Cette cible était mal renseignée, pour une raison que je ne m’explique pas. J’ai supprimé ce champ et sélectionné « aucune ».

    Tout est rentré dans l’ordre, et je le saurai.

    Si la prochaine version de WordPress pouvait faire en sorte que cette possibilité soit modifiée de sorte à ce que ça ne puisse plus se produire, ce serait bien aussi.

    Merci, et au plaisir.
    Mélodie

7 sujets de 1 à 7 (sur un total de 7)
  • Vous devez être connecté pour répondre à ce sujet.