Joomla 4. Компонент K2 и форк K2ForJ4 (18 янв 2024)
Если вас, как и меня, достало выслушивать (вычитывать) бесконечные обещания разработчика K2 опубликовать версию компонента K2 под Joomla 4 (без чего невозможно реализовать апгрейд from Joomla 3 to Joomla 4) - воспользуйтесь форком K2ForJ4. Который в данный момент установлен и без каких-либо проблем работает на этом веб-сайте.
Взлом joomla
- Aleksej
- Автор темы
- Не в сети
- Модератор
Все мы время от времени задаемся вопросом - насколько хорошо защищен наш сайт?
Достоинства joomla несомненны и не требуют комментариев... но - насколько данная cms безопасна?
Отвечу сразу - joomla защищена очень и очень неплохо. А выходящие довольно часто релизы безопасности дают, как мне кажется, высокую степень уверенности в том, что данная система управления контентом не только удобна, но и безопасна. Спасибо разработчикам.
А ломают joomla, увы, исключительно при посредстве и через многочисленные ее расширения. Имя которым легион. Что, впрочем, вполне объяснимо... скажите, что мешает нам с вами (кроме, разумеется, отсутствия необходимых навыков ) создав парочку-другую архиважных и всем необходимых компонентов для joomla - выложить их на просторах всемирной сети для скачивания всеми желающими? и - кто поручится, что данные расширения, при всей их уникальности и полезности, не содержат в себе потенциальной угрозы нашему сайту?
Таким образом, прежде чем устанавливать новый компонент на свой сайт - нелишне посмотреть в интернете его историю... поинтересоваться наличием его в списках проблемных и уязвимых расширений.
Список уязвимых расширений Joomla
Согласно сообщениям, публикуемым на packetstormsecurity.org , в 2010 г. список пополнился новыми компонентами:
-
«Joomla Gurujibook»
«Joomla Tennis Ladders»
«Joomla Article»
«Joomla IotaPhotoGallery»
«Joomla Biographies»
«Joomla ACProjects»
«Joomla Libros»
«Joomla Prime».
Среди уязвимостей, отмеченных packetstormsecurity.org — «внедрение SQL-кода», «local file inclusion» и «directory traversal». Всем кто, пользуется вышеозначенными компонентами, рекомендуется обновиться или обратиться к разработчикам.
Расширения и уязвимости:
-
«Joomla Gurujibook» — «внедрение SQL-кода»
«Joomla Prime» — «directory traversal»
«Joomla Libros» — «внедрение SQL-кода»
«Joomla Tennis Ladders» — «внедрение SQL-кода»
«Joomla Article» — «внедрение SQL-кода»
«Joomla IotaPhotoGallery» — «внедрение SQL-кода»
«Joomla Biographies» — «local file inclusion»
«Joomla ACProjects» — «внедрение SQL-кода»
Список уязвимых расширений joomla . Рекомендуется тщательно просмотреть.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- unior
- Не в сети
- Захожу иногда
- Сообщений: 70
- Спасибо получено: 5
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Aleksej
- Автор темы
- Не в сети
- Модератор
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Aleksej
- Автор темы
- Не в сети
- Модератор
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- cell1983
- Не в сети
- Новый участник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Aleksej
- Автор темы
- Не в сети
- Модератор
cell1983 пишет: А мне интересно всегда было, а как это будет на людском языке? Имеется ввиду, где можно посмотреть, почитать, как это всё происходит. Как проникает вирус пошаговая инструкция. Ну чтоб больше понимать что и как защищать.
Увы. "На людском языке" - скорее всего, не получится. Язык, преамбулами которого приходится оперировать - настолько "нелюдской", что, мне говорили, даже некоторые антивирусы запрещают просмотр одной из тем этого форума.
Попробуйте все же. Ответить, в общем, несложно: злонамеренный код ищет лазейки, обусловленные неправильно сконфигурированными опциями сервера, небезопасными разрешениями файлов и директорий, уязвимостями кода того или иного расширения Joomla, либо даже самого движка. Хрестоматийный пример: включенный на сервере register_globals и уязвимый joomla-extension, который вы не озаботились обновить до последней версии - почти наверняка приведут к взлому вашего сайта. А еще вполне актуальны сегодня, судя по логам, атаки типа "нулевой код в URI" (Null Byte Injection), о которых вы можете прочесть (очень немного, самую основу, тема слишком специфична) в статье Внимание, хакерские атаки в вебе .
Установив на свой сервер одну из старых версий Joomla - вы можете попробовать самостоятельно воспроизвести знаменитую атаку на эскалацию привилегий , видео и подробное описание - по ссылке. Но расшифровку терминологии все равно придется искать где-то в вебе, иначе никак. Да, и еще развернутая статья про RSFirewall .
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.