Joomla 5.1.0 a Joomla 4.4.4 (17 dub 2024)
Dnes byla uvolněna nová verze Joomla 5.1.0, společně s Joomla 4.4.4. Tato verze přináší spoustu nových funkcí, vylepšení v oblasti bezpečnosti a kódu a díky těmto vylepšením i vyšší rychlost.
Bezpečnostní problémy s Joomla 3.3.x a doplňky
16. říj 2014 11:10 #118460
Dobrý den všem,
Joomlu používám na svých webech od verze 1.5.x. Nyní používám verzi 3.3.6, neustále aktualizuji. Co mě trápí je to, že i přes veškerá zabezpečení mi stránky docela pravidelně někdo hákne a posílá potom mail. Nahraje na web svůj php kód a script, kterým potom posílá spam a následně mi stránky zablokuje poskytovatel (Czechia).
Dle jejich vyjádření se to děje často na webech s Joomlou, prý se útočníci dostanou na web pomocí dír v doplňcích (extension). Používám jich raději co nejméně, a všechny jsou z JED.
FTP přístup mám vypnutý přímo u poskytovatele (když chci, na chvilku si ho změním), admin je tam jen jeden (já). Extension co tam mám mám i na jiných webech s tou samou Joomlou, a tam problémy nemám (asi se na něj útočníci nezaměřili). Hesla pravidelně měním. Kvůli problémům s hákováním verze J2.5.x jsem přešel na trojku, a na PHP5.5., nicméně nepomohlo. Stránky jsou následně tak zavirované, že nepomáhá ani stará záloha. Utočníci jsou chytří, kód nahrají (třeba jako help.php) do x-tého podadresáře a počkají, až systémy záloh projdou dlouhou dobou a vlastně vrátit se k původnímu nelze. Kódem je pak celý obsah infikován v mnoha místech, snazat jedno file nepomůže, o den později mailují z jiného.
Už jsem takto web několikrát dělal znova a to je vopruz
. Nyní si dělám poctivě zálohy a budu kontrolovat rozdíly via FTP synchronizaci, ale... není to řešení.
Otázky:
1) má někdo nějaký nápad, co s tím?
2) u starších webů J2.5.x jsem si všiml, že atributy souborů jsou 640 a adresářů G750, u všech Joomla 3.x.x jsou 660 a G770, není šakal zakopaný tam? Dalo by se vše změnit (asi kromě /cache) na 440 ? Nepotřebuji nic měnit, kromě databází. Nezhroutí se to potom?
3) dá se nějak jednoduše (.htaccess ?) zakázat zápis čehokoli do adresáře a podadresářů ?
4) existuje někde databáze extensions, která je prověřená a není cinknutá?
Díky za rady. Víťa
Joomlu používám na svých webech od verze 1.5.x. Nyní používám verzi 3.3.6, neustále aktualizuji. Co mě trápí je to, že i přes veškerá zabezpečení mi stránky docela pravidelně někdo hákne a posílá potom mail. Nahraje na web svůj php kód a script, kterým potom posílá spam a následně mi stránky zablokuje poskytovatel (Czechia).
Dle jejich vyjádření se to děje často na webech s Joomlou, prý se útočníci dostanou na web pomocí dír v doplňcích (extension). Používám jich raději co nejméně, a všechny jsou z JED.
FTP přístup mám vypnutý přímo u poskytovatele (když chci, na chvilku si ho změním), admin je tam jen jeden (já). Extension co tam mám mám i na jiných webech s tou samou Joomlou, a tam problémy nemám (asi se na něj útočníci nezaměřili). Hesla pravidelně měním. Kvůli problémům s hákováním verze J2.5.x jsem přešel na trojku, a na PHP5.5., nicméně nepomohlo. Stránky jsou následně tak zavirované, že nepomáhá ani stará záloha. Utočníci jsou chytří, kód nahrají (třeba jako help.php) do x-tého podadresáře a počkají, až systémy záloh projdou dlouhou dobou a vlastně vrátit se k původnímu nelze. Kódem je pak celý obsah infikován v mnoha místech, snazat jedno file nepomůže, o den později mailují z jiného.
Už jsem takto web několikrát dělal znova a to je vopruz
. Nyní si dělám poctivě zálohy a budu kontrolovat rozdíly via FTP synchronizaci, ale... není to řešení.Otázky:
1) má někdo nějaký nápad, co s tím?
2) u starších webů J2.5.x jsem si všiml, že atributy souborů jsou 640 a adresářů G750, u všech Joomla 3.x.x jsou 660 a G770, není šakal zakopaný tam? Dalo by se vše změnit (asi kromě /cache) na 440 ? Nepotřebuji nic měnit, kromě databází. Nezhroutí se to potom?
3) dá se nějak jednoduše (.htaccess ?) zakázat zápis čehokoli do adresáře a podadresářů ?
4) existuje někde databáze extensions, která je prověřená a není cinknutá?
Díky za rady. Víťa
16. říj 2014 11:43 #118461
I'm sorry, my responses are limited...you must ask the right questions.
Odpověď od Bong
I'm sorry, my responses are limited...you must ask the right questions.
Nejnovější příspěvky
