Bezpečnost Joomli 3.4.1
můžete mi prosím někdo říct, jak je na tom joomla z hlediska bezpečnosti?
Včera se nám stalo na jednom eshopu, že v adminu přibyl další uživatel a měl nastavena všechna práva. Následně s tím také 2 ze superuserů měli místo super práv přiřazena registred.
Máme poslední verzi joomli 3.4.1 a VM 3.0.6.2.
Je nějaká komponenta, o které by se vědělo, že obsahuje chyby? Nebo je možné bezpečnost nějakým způsobem zlepšit?
Díky moc Čermy.

Bezpečnost Joomly jako takové lze zlepšit nějakým "FireWallem", např. komponenta AdminTools umožňuje definovat pokročilé filtry pro odmítnutí přístupu na stránky, popř. blokovat opakující se útočníky apod. Dokáže i blokova přístupy na základě geografické lokace IP adresy útočníka, zakážete-li přístupy z Afriky, Asie a jižní Ameriky zbavíte se i velkého počtu útoků. Další podobná komponenta je např. RS Firewall.
Prvně ale zjistěte, jak se Vám útočník do administrace dostal, díru zaslepte, změňte všechna podstatná hesla a pak až řešte dál.

To je zajímavý, s tím jsem se ještě nesetkal. Kudy se ten útočník zaregistroval, skrz klasickou Joomlu, nebo skrz nějakou další komponentu?radek178 napsal: a to jsem mel dokonce registraci zakazanou jak v Joomle, tak v Admin Tools
Radek,
That Admin Tools feature would prevent the Registered user from being edited in the back end and becoming a Super Administrator. The user you showed does not have privileges to log into the back end, so they can not have changed anything.
There are privilege escalation tricks in very old (1.5.x) versions of Joomla! where the user can make himself a Super Administrator. That is why we don't use Joomla! 1.x any more. These script kiddies add the user, try the old trick to see if you are on a vulnerable version, you are not, so they move on.

Ne, admin tools ma 2 funkce.
1. Zakazani editace uzivatele
2. Zakazani loginu z frontendu
a pak mas zakaz registrace uzivatelu v Joomle. Vsechny 3 volby byly nastaveny na ZAKAZ. Ja pouzivam Admin Tools Pro. Tak nevim, jestli to je ve free jinak.


Ale pokud jsem pochopil odpověď Nicholase
There are privilege escalation tricks in very old (1.5.x) versions of Joomla! where the user can make himself a Super Administrator. That is why we don't use Joomla! 1.x any more. These script kiddies add the user, try the old trick to see if you are on a vulnerable version, you are not, so they move on.
tak opravdu mluví o starých Joomlách...