Можно ли установить Joomla вне www root?

  • 24 Ответов
  • 924 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

Оффлайн mistbow

Приветствую! Достали меня всякие вредоносные скрипты!

Можно ли Joomla 3 установит вне корневой папки www?
Будет ли она работать и нормально обновляться?
Есть ли инструкция как где и что менять, если это возможно?
« Последнее редактирование: 26.12.2015, 17:37:12 от mistbow »

*

Онлайн voland

  • ********
  • 9334
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
Re: Можно ли установить Joomla ниже htroot?
« Ответ #1 : 26.12.2015, 02:41:22 »
Ниже?
Может выше?

Это не выход, следите за версиями.
ну или я в подписи рекомендую хостера - он не допустит их

*

Оффлайн mistbow

Re: Можно ли установить Joomla ниже htroot?
« Ответ #2 : 26.12.2015, 02:48:25 »
Ну если от корня смотреть, то выше.

Тут суть в том, что если установить выше, то в публичном доступе останется только index.php и скрипты js  с CSS.
Все остальное станет недоступно для исполнения вызовом из-вне напрямую.
В результате гораздо проще станет искать вредоносные файлы.
Т.е. если увидел лишний php файл, кроме index.php, ниже папки htdocs, то смотри что в нём!

*

Онлайн voland

  • ********
  • 9334
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
Re: Можно ли установить Joomla ниже htroot?
« Ответ #3 : 26.12.2015, 02:55:43 »
Я что-то не уверен, что это поможет от взломов.
Да и двиг придётся хакать.

*

Оффлайн mistbow

Re: Можно ли установить Joomla ниже htroot?
« Ответ #4 : 26.12.2015, 03:01:38 »
Я что-то не уверен, что это поможет от взломов.
Да и двиг придётся хакать.
От взломов поможет косвенно, проще будет искать лишние файлы... и не смогут напрямую вызывать ни один из выполняемых файлов, кроме index.php!
Кстати, не понимаю почему они до сих пор так не сделали?
Зачем весь код класть выше?
У них же структура MVC и достаточно только одного исполняемого php файла в интернете.

*

Онлайн voland

  • ********
  • 9334
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
Re: Можно ли установить Joomla ниже htroot?
« Ответ #5 : 26.12.2015, 03:06:20 »
Ну есть много чего еще - images, cache, CSS, media, а еще куча расширений, многие, кстати, вставляют скрипты и CSS из своей папки.
Я уж не говорю про клубные шаблоны

*

Оффлайн mistbow

Re: Можно ли установить Joomla ниже htroot?
« Ответ #6 : 26.12.2015, 03:25:20 »
[#8787] - How to put Joomla 3 files higher than wwwroot?
https://issues.joomla.org/tracker/joomla-cms/8787

Создал запрос!
« Последнее редактирование: 26.12.2015, 03:31:49 от mistbow »

*

Оффлайн mistbow

Re: Можно ли установить Joomla ниже htroot?
« Ответ #7 : 26.12.2015, 03:31:30 »
Ну есть много чего еще - images, cache, CSS, media, а еще куча расширений, многие, кстати, вставляют скрипты и CSS из своей папки.
Я уж не говорю про клубные шаблоны

Это все можно положить выше wwwroot. ну разве что кроме кэша, хотя может и его можно убрать!
Есть такое понятие assets -  например во фреймворке yii2 именно так и сделано!
Вот пример самого что ни на есть простого приложения!
https://github.com/yiisoft/yii2-app-basic/tree/master/web
Все плагины, расширения, темплейты и т.д. регистрируют в приложении свои ассеты и кладут все что им нужно в папку assets!

Re: Можно ли установить Joomla ниже htroot?
« Ответ #8 : 26.12.2015, 05:17:38 »
Ммм...
.htaccess?
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

Оффлайн mistbow

Re: Можно ли установить Joomla ниже htroot?
« Ответ #9 : 26.12.2015, 05:28:12 »
Ммм...
.htaccess?

А стандартных настроек для указания путей я так понимаю не имеется совсем?

Re: Можно ли установить Joomla ниже htroot?
« Ответ #10 : 26.12.2015, 05:34:24 »
А стандартных настроек для указания путей я так понимаю не имеется совсем?

Путей к чему? Да и кто мешает залить файлы туда же, где будет находиться ядро?
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

Оффлайн mistbow

Re: Можно ли установить Joomla ниже htroot?
« Ответ #11 : 26.12.2015, 06:01:39 »
Путей к чему? Да и кто мешает залить файлы туда же, где будет находиться ядро?
мне пока трудно разобраться, как оно там устроено.
В моем самописном проекте расположение основных папок в корне задавалось в настройках проекта, посему я легко конфигурировал свой фреймворк на любом сервере и любой конфигурации путем простого изменения путей в файле конфигурации.
Здесь, как я понимаю ничего подобного нету?

Re: Можно ли установить Joomla ниже htroot?
« Ответ #12 : 26.12.2015, 06:05:49 »
Откройте корневой index.php и поменяйте:

if (file_exists(__DIR__ . '/defines.php'))
{
    include_once __DIR__ . '/defines.php';
}

if (!defined('_JDEFINES'))
{
    define('JPATH_BASE', __DIR__);
    require_once JPATH_BASE . '/includes/defines.php';
}

А также файл /includes/defines.php

// Global definitions
$parts = explode(DIRECTORY_SEPARATOR, JPATH_BASE);

// Defines.
define('JPATH_ROOT',          implode(DIRECTORY_SEPARATOR, $parts));
define('JPATH_SITE',          JPATH_ROOT);
define('JPATH_CONFIGURATION', JPATH_ROOT);
define('JPATH_ADMINISTRATOR', JPATH_ROOT . DIRECTORY_SEPARATOR . 'administrator');
define('JPATH_LIBRARIES',     JPATH_ROOT . DIRECTORY_SEPARATOR . 'libraries');
define('JPATH_PLUGINS',       JPATH_ROOT . DIRECTORY_SEPARATOR . 'plugins');
define('JPATH_INSTALLATION',  JPATH_ROOT . DIRECTORY_SEPARATOR . 'installation');
define('JPATH_THEMES',        JPATH_BASE . DIRECTORY_SEPARATOR . 'templates');
define('JPATH_CACHE',         JPATH_BASE . DIRECTORY_SEPARATOR . 'cache');
define('JPATH_MANIFESTS',     JPATH_ADMINISTRATOR . DIRECTORY_SEPARATOR . 'manifests');
« Последнее редактирование: 26.12.2015, 06:09:52 от Филипп Сорокин »
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

Оффлайн mistbow

Re: Можно ли установить Joomla ниже htroot?
« Ответ #13 : 26.12.2015, 06:11:35 »
Вот где есть настройки, defines.php спасибо за наводку!

<?php
/**
 * @package    Joomla.Site
 *
 * @copyright  Copyright (C) 2005 - 2015 Open Source Matters, Inc. All rights reserved.
 * @license    GNU General Public License version 2 or later; see LICENSE.txt
 */

defined('_JEXEC') or die;

// Global definitions
$parts explode(DIRECTORY_SEPARATORJPATH_BASE);

// Defines.
define('JPATH_ROOT',          implode(DIRECTORY_SEPARATOR$parts));
define('JPATH_SITE',          JPATH_ROOT);
define('JPATH_CONFIGURATION'JPATH_ROOT);
define('JPATH_ADMINISTRATOR'JPATH_ROOT DIRECTORY_SEPARATOR 'administrator');
define('JPATH_LIBRARIES',     JPATH_ROOT DIRECTORY_SEPARATOR 'libraries');
define('JPATH_PLUGINS',       JPATH_ROOT DIRECTORY_SEPARATOR 'plugins');
define('JPATH_INSTALLATION',  JPATH_ROOT DIRECTORY_SEPARATOR 'installation');
define('JPATH_THEMES',        JPATH_BASE DIRECTORY_SEPARATOR 'templates');
define('JPATH_CACHE',         JPATH_BASE DIRECTORY_SEPARATOR 'cache');
define('JPATH_MANIFESTS',     JPATH_ADMINISTRATOR DIRECTORY_SEPARATOR 'manifests');

//Warning: CVE-2015-8562 security fix https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
if(strpos(@implode($_SERVER),"O:")){die("Hacking attempt!");}
Завтра отпишусь, что получится! Достало уже чужой исполняемый код искать в этих многочисленных файлах!

*

Оффлайн flyingspook

Re: Можно ли установить Joomla вне www root?
« Ответ #14 : 26.12.2015, 17:59:18 »

Завтра отпишусь, что получится! Достало уже чужой исполняемый код искать в этих многочисленных файлах!
Не сомневайтесь искать и там будете. Реже но будет он и там.


*

Оффлайн mistbow

Re: Можно ли установить Joomla вне www root?
« Ответ #16 : 26.12.2015, 18:38:55 »
mistbow, а вы компонент защиты не пробовали ставить на сайт?
Не ставил, но это и неправильный путь. Правильный - убрать все лишее из доступа с интернета.
http://extensions.joomla.org/category/access-a-security/site-security

*

Оффлайн effrit

  • *****
  • 7438
  • [+]822 / [-]7
  • effrit.com
    • Просмотр профиля
    • effrit.com
Re: Можно ли установить Joomla вне www root?
« Ответ #17 : 26.12.2015, 18:47:26 »
ну этим неправильным путем многие местные завсегдатаи-разработчики успешно идут многие года.
но если хочется быть иноходцем, править ядро и потом при каждом обновлении лазить и проверять, то я ничего посоветовать не могу )

*

Оффлайн mistbow

Re: Можно ли установить Joomla вне www root?
« Ответ #18 : 26.12.2015, 19:45:39 »
ну этим неправильным путем многие местные завсегдатаи-разработчики успешно идут многие года.
но если хочется быть иноходцем, править ядро и потом при каждом обновлении лазить и проверять, то я ничего посоветовать не могу )
Хочу заставить разработчиков промыть себе мозги.
Живут тем временем, когда в каждом файле был и код и обращения к базе и HTML. (((

*

Оффлайн mistbow

Re: Можно ли установить Joomla вне www root?
« Ответ #19 : 26.12.2015, 20:06:43 »
Не сомневайтесь искать и там будете. Реже но будет он и там.
Дело в том, что там нет прямого доступа к скриптам из нета. Что может сделать хакер, если даже положит туда свой скрипт? Как он вызовет его на выполнение, кроме как через единственный index.php? Получается или ему придётся изменить index.php или каким-то образом зарегистрировать свои файлы в самой системе, а это уже можно легко отслеживать

*

Оффлайн flyingspook

Re: Можно ли установить Joomla вне www root?
« Ответ #20 : 26.12.2015, 20:18:48 »
ну этим неправильным путем многие местные завсегдатаи-разработчики успешно идут многие года.
но если хочется быть иноходцем, править ядро и потом при каждом обновлении лазить и проверять, то я ничего посоветовать не могу )
очередной пловец против течения

*

Оффлайн mistbow

Re: Можно ли установить Joomla вне www root?
« Ответ #21 : 26.12.2015, 20:54:07 »
очередной пловец против течения
Ну можно форкнуть по иддее, как в своё время сделали основатели Joomla. Был проект Mambo, стала Joomla.

*

Оффлайн mistbow

Re: Можно ли установить Joomla вне www root?
« Ответ #22 : 27.12.2015, 16:59:20 »
Кстати по дате посмотрел когда появился первый шел на сайте, это было 11.11.2015. Получается больше месяца уже кто-то мог площадкой пользоваться и спасения от этого надежного нет (

*

Оффлайн flyingspook

Re: Можно ли установить Joomla вне www root?
« Ответ #23 : 28.12.2015, 01:29:19 »
По теме у вас давно мог быть залитый шел и вы сейчас только на него внимание обратили, уже не то что бывает, а практикуется по полной программе, что шелы лежат годами на сайтах и владельцы про них даже не подозревают. Есть глобальные задачи для взлома сайтов и присоединения их к бот сети или еще что, так на них шелы лежат очень долго и ждут своего часа Х.

*

Оффлайн mistbow

Re: Можно ли установить Joomla вне www root?
« Ответ #24 : 28.12.2015, 02:48:13 »

Да не, я проверил периодические бэкапы. Пришло в ноябре. Видимо в php закрыли двру, хостинг не обновили вовремя, и Joomla подвела.