Обсуждение Безопасность JOOMLA

Проблема. Переехали на другой сервак. Пришлось делать ссылки на www и сам сайт внутри публичной папки. И переодически не работает доступ к файлам. Помогите решить. При обновлении на последвюю версию Joomla пишет: our host needs to use PHP 5.3.10 or higher to run this version of Joomla!
Как обновить версию PHP через ISP Manager Lite? Или это делается при обновлении PHP MyAdmin?
Текущая версия PHP 5.3.3
PHP обновляет хостер - напишите ему. В большинстве случаев для защиты !Joomla достаточно поставить пароль на папку administrator
 
достаточно поставить пароль на папку administrator
Не скажи (частично проблему решает). Было дело (правда на версии 1.5), конкуренты так "хакнули" сайт что если бы не вовремя сделанный и сохраненный бекап ничего бы не помогло. Использую RSFirewall, несколько плагинов от всякой нечести, ну и некоторые настройки .htaccess
 
PHP обновляет хостер - напишите ему. В большинстве случаев для защиты !Joomla достаточно поставить пароль на папку administrator
Вот не знаю не знаю.... помните когда nic.ru все сайты на джумле показывать перестал?
их хакнули и украли пароль от админки от почти всех сайтов.
А они ничего сделать не могли...
 
Вот не знаю не знаю.... помните когда nic.ru все сайты на джумле показывать перестал?
их хакнули и украли пароль от админки от почти всех сайтов.
А они ничего сделать не могли...


вообще то они поставили глобально пароль на все админки то есть у кого была joomasite.ru/administrator через htaccess и не только они многие хостинг провайдеры и сообщали пароль в ПУ!!!

а насчет падения общего глобального да это еще на 1.0 и мамбе!!)))

вообще проблема иимено в стороних плагинах, шаблонах, и прочих вещах!! самое банальное что нужно делать:
1. Ставить права на записать , менять chmod + права на управления файлами.
2. Ставить паролирование директории через .htaccess + .passwd на уровне выше пряча
3. Ставить нормальные пароли!!! и не делать банальные ники типа: admin
4. Следить за сайтом целом!! Обновлять!! соблюдать целостность!

p.s: проблем не будет!
 
Парни, столкнулся с такой проблемой редактирования профиля юзера:

1. если залогены на фронтэнде, то разлогиниваемся и чистим куки, закрываем браузер, открываем - для чистого теста
2. логинимся - входим в редактирование своего профиля - пускает, всё работает
3. просто закрываем страницу и браузер
4. запускаем браузер и входим на сайт. по идее куки запомнены и должны автоматом продолжить юзать сайт под те же логином - так и происходит
5. перешагивая по страницам видно, что залогены нормально
6. нажимаем снова на ссылку редактирования профиля и получаем вот что >>>>>>>>
index.php
7. пробовал отключать кеширование, отключать ЧПУ - всё аналогично, аналогичная картина четко наблюдается и на локальном сервере
8. если снова разлогиниться и снова войти - то пускает в профиль, даже не перезапуская браузер
9. что то или с куками или с сессиями, непонятно
cry.gif

10. если после неудачной попытки войти в профиль нажать НАЗАД, то выдаст кучу
Код:
Из соображений безопасности вам необходимо авторизоваться для редактирования вашей персональной информации.
Из соображений безопасности вам необходимо авторизоваться для редактирования вашей персональной информации.
Из соображений безопасности вам необходимо авторизоваться для редактирования вашей персональной информации.
Из соображений безопасности вам необходимо авторизоваться для редактирования вашей персональной информации.
Из соображений безопасности вам необходимо авторизоваться для редактирования вашей персональной информации.
в общем фраза JGLOBAL_REMEMBER_MUST_LOGIN
10. по исходнику нашел кто генерит её:
components\com_users\views\profile\view.html.php
функция public function display($tpl = null)
строки:
PHP:
// View also takes responsibility for checking if the user logged in with remember me.
        $user = JFactory::getUser();
        $cookieLogin = $user->get('cookieLogin');

        if (!empty($cookieLogin))
        {
            // If so, the user must login to edit the password and other data.
            // What should happen here? Should we force a logout which detroys the cookies?
            $app = JFactory::getApplication();
            $app->enqueueMessage(JText::_('JGLOBAL_REMEMBER_MUST_LOGIN'), 'message');
            $app->redirect(JUri::base(). 'index.php?option=com_users&view=login', '', 302);

            return false;
        }

В итоге пришел к выводу, что это баг
Заменил этот код на :
PHP:
$app        = JFactory::getApplication();
        // View also takes responsibility for checking if the user logged in with remember me.
        $user = JFactory::getUser();
        $loginUserId    = (int) $user->get('id');

        // Check if the user is trying to edit another users profile.
        if (!$loginUserId)
        {
            JError::raiseError(403, JText::_('JERROR_ALERTNOAUTHOR'));
            return false;
        }

можно было бы 1 строку сократить, но не столь важно
если разлогинился, то не пускает по адресу Для просмотра ссылки Войди или Зарегистрируйся
залогинился - пускает и отображает данные

Мужики! Как считаете, нет ли в этой замене снижения уровня безопасности?
 
  • Нравится
Реакции: WRed
На первый взгляд ничего такого волнительного для безопасности нет, все же через User Id и аутентификацию Joomla идет, без хаков. А вот может относительно куки или сессий неправильно отрабатывает установка их времени жизни? Для Joomla 1.5 такая фигня была в админке, разбирали Для просмотра ссылки Войди или Зарегистрируйся
 
1. оригинальный движек от Joomla.org, если квикстарт, то от известных студий и скаченный у них;
2. проверенные расширения от известных разработчиков;
3. своевременные обновления движка и расширений;
4. прописать права 444 для файла configuration.php;
5. пароли для админов должны быть сложными, рекомендация по паролю, должен содержать хотя бы одну цифру, букву нижнего и верхнего регистра и символ;
6. фтп не использовать, если использовать, то под Linux в FileZilla;
7. можно закрыть административную страницу от школоты плагином Jsecure;
8. чистая машина админа, Linux + настроенный iptables + noScript в Firefox
 
Назад
Сверху