Gn00s
Постоялец
- Регистрация
- 29 Апр 2009
- Сообщения
- 107
- Реакции
- 24
PHP обновляет хостер - напишите ему. В большинстве случаев для защиты !Joomla достаточно поставить пароль на папку administrator
Обсуждение Безопасность JOOMLA
- Автор темы Scaltro
- Дата начала
gavag
Создатель
- Регистрация
- 16 Апр 2013
- Сообщения
- 28
- Реакции
- 1
Не скажи (частично проблему решает). Было дело (правда на версии 1.5), конкуренты так "хакнули" сайт что если бы не вовремя сделанный и сохраненный бекап ничего бы не помогло. Использую RSFirewall, несколько плагинов от всякой нечести, ну и некоторые настройки .htaccess
Вот не знаю не знаю.... помните когда nic.ru все сайты на джумле показывать перестал?
их хакнули и украли пароль от админки от почти всех сайтов.
А они ничего сделать не могли...
KPACHODAP
DELETED
- Регистрация
- 21 Дек 2009
- Сообщения
- 683
- Реакции
- 312
вообще то они поставили глобально пароль на все админки то есть у кого была joomasite.ru/administrator через htaccess и не только они многие хостинг провайдеры и сообщали пароль в ПУ!!!
а насчет падения общего глобального да это еще на 1.0 и мамбе!!)))
вообще проблема иимено в стороних плагинах, шаблонах, и прочих вещах!! самое банальное что нужно делать:
1. Ставить права на записать , менять chmod + права на управления файлами.
2. Ставить паролирование директории через .htaccess + .passwd на уровне выше пряча
3. Ставить нормальные пароли!!! и не делать банальные ники типа: admin
4. Следить за сайтом целом!! Обновлять!! соблюдать целостность!
p.s: проблем не будет!
kolio
Гуру форума
- Регистрация
- 21 Фев 2012
- Сообщения
- 175
- Реакции
- 69
Парни, столкнулся с такой проблемой редактирования профиля юзера:
1. если залогены на фронтэнде, то разлогиниваемся и чистим куки, закрываем браузер, открываем - для чистого теста
2. логинимся - входим в редактирование своего профиля - пускает, всё работает
3. просто закрываем страницу и браузер
4. запускаем браузер и входим на сайт. по идее куки запомнены и должны автоматом продолжить юзать сайт под те же логином - так и происходит
5. перешагивая по страницам видно, что залогены нормально
6. нажимаем снова на ссылку редактирования профиля и получаем вот что >>>>>>>>
7. пробовал отключать кеширование, отключать ЧПУ - всё аналогично, аналогичная картина четко наблюдается и на локальном сервере
8. если снова разлогиниться и снова войти - то пускает в профиль, даже не перезапуская браузер
9. что то или с куками или с сессиями, непонятно
10. если после неудачной попытки войти в профиль нажать НАЗАД, то выдаст кучу
в общем фраза JGLOBAL_REMEMBER_MUST_LOGIN
10. по исходнику нашел кто генерит её:
components\com_users\views\profile\view.html.php
функция public function display($tpl = null)
строки:
В итоге пришел к выводу, что это баг
Заменил этот код на :
можно было бы 1 строку сократить, но не столь важно
если разлогинился, то не пускает по адресу Для просмотра ссылки Войдиили Зарегистрируйся
залогинился - пускает и отображает данные
Мужики! Как считаете, нет ли в этой замене снижения уровня безопасности?
1. если залогены на фронтэнде, то разлогиниваемся и чистим куки, закрываем браузер, открываем - для чистого теста
2. логинимся - входим в редактирование своего профиля - пускает, всё работает
3. просто закрываем страницу и браузер
4. запускаем браузер и входим на сайт. по идее куки запомнены и должны автоматом продолжить юзать сайт под те же логином - так и происходит
5. перешагивая по страницам видно, что залогены нормально
6. нажимаем снова на ссылку редактирования профиля и получаем вот что >>>>>>>>
8. если снова разлогиниться и снова войти - то пускает в профиль, даже не перезапуская браузер
9. что то или с куками или с сессиями, непонятно
10. если после неудачной попытки войти в профиль нажать НАЗАД, то выдаст кучу
Код:
Из соображений безопасности вам необходимо авторизоваться для редактирования вашей персональной информации.
Из соображений безопасности вам необходимо авторизоваться для редактирования вашей персональной информации.
Из соображений безопасности вам необходимо авторизоваться для редактирования вашей персональной информации.
Из соображений безопасности вам необходимо авторизоваться для редактирования вашей персональной информации.
Из соображений безопасности вам необходимо авторизоваться для редактирования вашей персональной информации.10. по исходнику нашел кто генерит её:
components\com_users\views\profile\view.html.php
функция public function display($tpl = null)
строки:
PHP:
// View also takes responsibility for checking if the user logged in with remember me.
$user = JFactory::getUser();
$cookieLogin = $user->get('cookieLogin');
if (!empty($cookieLogin))
{
// If so, the user must login to edit the password and other data.
// What should happen here? Should we force a logout which detroys the cookies?
$app = JFactory::getApplication();
$app->enqueueMessage(JText::_('JGLOBAL_REMEMBER_MUST_LOGIN'), 'message');
$app->redirect(JUri::base(). 'index.php?option=com_users&view=login', '', 302);
return false;
}В итоге пришел к выводу, что это баг
Заменил этот код на :
PHP:
$app = JFactory::getApplication();
// View also takes responsibility for checking if the user logged in with remember me.
$user = JFactory::getUser();
$loginUserId = (int) $user->get('id');
// Check if the user is trying to edit another users profile.
if (!$loginUserId)
{
JError::raiseError(403, JText::_('JERROR_ALERTNOAUTHOR'));
return false;
}можно было бы 1 строку сократить, но не столь важно
если разлогинился, то не пускает по адресу Для просмотра ссылки Войди
залогинился - пускает и отображает данные
Мужики! Как считаете, нет ли в этой замене снижения уровня безопасности?
На первый взгляд ничего такого волнительного для безопасности нет, все же через User Id и аутентификацию Joomla идет, без хаков. А вот может относительно куки или сессий неправильно отрабатывает установка их времени жизни? Для Joomla 1.5 такая фигня была в админке, разбирали Для просмотра ссылки Войди или Зарегистрируйся
AdamK
Создатель
- Регистрация
- 10 Мар 2009
- Сообщения
- 15
- Реакции
- 4
1. оригинальный движек от Joomla.org, если квикстарт, то от известных студий и скаченный у них;
2. проверенные расширения от известных разработчиков;
3. своевременные обновления движка и расширений;
4. прописать права 444 для файла configuration.php;
5. пароли для админов должны быть сложными, рекомендация по паролю, должен содержать хотя бы одну цифру, букву нижнего и верхнего регистра и символ;
6. фтп не использовать, если использовать, то под Linux в FileZilla;
7. можно закрыть административную страницу от школоты плагином Jsecure;
8. чистая машина админа, Linux + настроенный iptables + noScript в Firefox
2. проверенные расширения от известных разработчиков;
3. своевременные обновления движка и расширений;
4. прописать права 444 для файла configuration.php;
5. пароли для админов должны быть сложными, рекомендация по паролю, должен содержать хотя бы одну цифру, букву нижнего и верхнего регистра и символ;
6. фтп не использовать, если использовать, то под Linux в FileZilla;
7. можно закрыть административную страницу от школоты плагином Jsecure;
8. чистая машина админа, Linux + настроенный iptables + noScript в Firefox