Форум русской поддержки Joomla!® CMS
06.12.2016, 06:59:36 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Можно ли установить Joomla вне www root?

 (Прочитано 680 раз)
0 Пользователей и 1 Гость смотрят эту тему.
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« : 26.12.2015, 00:57:24 »

Приветствую! Достали меня всякие вредоносные скрипты!

Можно ли Joomla 3 установит вне корневой папки www?
Будет ли она работать и нормально обновляться?
Есть ли инструкция как где и что менять, если это возможно?
« Последнее редактирование: 26.12.2015, 16:37:12 от mistbow » Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8711


любит наш народ всякое гавно...


« Ответ #1 : 26.12.2015, 01:41:22 »

Ниже?
Может выше?

Это не выход, следите за версиями.
ну или я в подписи рекомендую хостера - он не допустит их
Записан
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« Ответ #2 : 26.12.2015, 01:48:25 »

Ну если от корня смотреть, то выше.

Тут суть в том, что если установить выше, то в публичном доступе останется только index.php и скрипты js  с CSS.
Все остальное станет недоступно для исполнения вызовом из-вне напрямую.
В результате гораздо проще станет искать вредоносные файлы.
Т.е. если увидел лишний php файл, кроме index.php, ниже папки htdocs, то смотри что в нём!
Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8711


любит наш народ всякое гавно...


« Ответ #3 : 26.12.2015, 01:55:43 »

Я что-то не уверен, что это поможет от взломов.
Да и двиг придётся хакать.
Записан
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« Ответ #4 : 26.12.2015, 02:01:38 »

Я что-то не уверен, что это поможет от взломов.
Да и двиг придётся хакать.
От взломов поможет косвенно, проще будет искать лишние файлы... и не смогут напрямую вызывать ни один из выполняемых файлов, кроме index.php!
Кстати, не понимаю почему они до сих пор так не сделали?
Зачем весь код класть выше?
У них же структура MVC и достаточно только одного исполняемого php файла в интернете.
Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8711


любит наш народ всякое гавно...


« Ответ #5 : 26.12.2015, 02:06:20 »

Ну есть много чего еще - images, cache, CSS, media, а еще куча расширений, многие, кстати, вставляют скрипты и CSS из своей папки.
Я уж не говорю про клубные шаблоны
Записан
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« Ответ #6 : 26.12.2015, 02:25:20 »

[#8787] - How to put Joomla 3 files higher than wwwroot?
https://issues.joomla.org/tracker/joomla-cms/8787

Создал запрос!
« Последнее редактирование: 26.12.2015, 02:31:49 от mistbow » Записан
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« Ответ #7 : 26.12.2015, 02:31:30 »

Ну есть много чего еще - images, cache, CSS, media, а еще куча расширений, многие, кстати, вставляют скрипты и CSS из своей папки.
Я уж не говорю про клубные шаблоны

Это все можно положить выше wwwroot. ну разве что кроме кэша, хотя может и его можно убрать!
Есть такое понятие assets -  например во фреймворке yii2 именно так и сделано!
Вот пример самого что ни на есть простого приложения!
https://github.com/yiisoft/yii2-app-basic/tree/master/web
Все плагины, расширения, темплейты и т.д. регистрируют в приложении свои ассеты и кладут все что им нужно в папку assets!
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1451


« Ответ #8 : 26.12.2015, 04:17:38 »

Ммм...
.htaccess?
Записан
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« Ответ #9 : 26.12.2015, 04:28:12 »

Ммм...
.htaccess?

А стандартных настроек для указания путей я так понимаю не имеется совсем?
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1451


« Ответ #10 : 26.12.2015, 04:34:24 »

А стандартных настроек для указания путей я так понимаю не имеется совсем?

Путей к чему? Да и кто мешает залить файлы туда же, где будет находиться ядро?
Записан
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« Ответ #11 : 26.12.2015, 05:01:39 »

Путей к чему? Да и кто мешает залить файлы туда же, где будет находиться ядро?
мне пока трудно разобраться, как оно там устроено.
В моем самописном проекте расположение основных папок в корне задавалось в настройках проекта, посему я легко конфигурировал свой фреймворк на любом сервере и любой конфигурации путем простого изменения путей в файле конфигурации.
Здесь, как я понимаю ничего подобного нету?
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1451


« Ответ #12 : 26.12.2015, 05:05:49 »

Откройте корневой index.php и поменяйте:

Код:
if (file_exists(__DIR__ . '/defines.php'))
{
    include_once __DIR__ . '/defines.php';
}

if (!defined('_JDEFINES'))
{
    define('JPATH_BASE', __DIR__);
    require_once JPATH_BASE . '/includes/defines.php';
}

А также файл /includes/defines.php

Код:
// Global definitions
$parts = explode(DIRECTORY_SEPARATOR, JPATH_BASE);

// Defines.
define('JPATH_ROOT',          implode(DIRECTORY_SEPARATOR, $parts));
define('JPATH_SITE',          JPATH_ROOT);
define('JPATH_CONFIGURATION', JPATH_ROOT);
define('JPATH_ADMINISTRATOR', JPATH_ROOT . DIRECTORY_SEPARATOR . 'administrator');
define('JPATH_LIBRARIES',     JPATH_ROOT . DIRECTORY_SEPARATOR . 'libraries');
define('JPATH_PLUGINS',       JPATH_ROOT . DIRECTORY_SEPARATOR . 'plugins');
define('JPATH_INSTALLATION',  JPATH_ROOT . DIRECTORY_SEPARATOR . 'installation');
define('JPATH_THEMES',        JPATH_BASE . DIRECTORY_SEPARATOR . 'templates');
define('JPATH_CACHE',         JPATH_BASE . DIRECTORY_SEPARATOR . 'cache');
define('JPATH_MANIFESTS',     JPATH_ADMINISTRATOR . DIRECTORY_SEPARATOR . 'manifests');
« Последнее редактирование: 26.12.2015, 05:09:52 от Филипп Сорокин » Записан
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« Ответ #13 : 26.12.2015, 05:11:35 »

Вот где есть настройки, defines.php спасибо за наводку!

Код:
<?php
/**
 * @package    Joomla.Site
 *
 * @copyright  Copyright (C) 2005 - 2015 Open Source Matters, Inc. All rights reserved.
 * @license    GNU General Public License version 2 or later; see LICENSE.txt
 */

defined('_JEXEC') or die;

// Global definitions
$parts = explode(DIRECTORY_SEPARATOR, JPATH_BASE);

// Defines.
define('JPATH_ROOT',          implode(DIRECTORY_SEPARATOR, $parts));
define('JPATH_SITE',          JPATH_ROOT);
define('JPATH_CONFIGURATION', JPATH_ROOT);
define('JPATH_ADMINISTRATOR', JPATH_ROOT . DIRECTORY_SEPARATOR . 'administrator');
define('JPATH_LIBRARIES',     JPATH_ROOT . DIRECTORY_SEPARATOR . 'libraries');
define('JPATH_PLUGINS',       JPATH_ROOT . DIRECTORY_SEPARATOR . 'plugins');
define('JPATH_INSTALLATION',  JPATH_ROOT . DIRECTORY_SEPARATOR . 'installation');
define('JPATH_THEMES',        JPATH_BASE . DIRECTORY_SEPARATOR . 'templates');
define('JPATH_CACHE',         JPATH_BASE . DIRECTORY_SEPARATOR . 'cache');
define('JPATH_MANIFESTS',     JPATH_ADMINISTRATOR . DIRECTORY_SEPARATOR . 'manifests');

//Warning: CVE-2015-8562 security fix https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
if(strpos(@implode($_SERVER),"O:")){die("Hacking attempt!");}
Завтра отпишусь, что получится! Достало уже чужой исполняемый код искать в этих многочисленных файлах!
Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #14 : 26.12.2015, 16:59:18 »


Завтра отпишусь, что получится! Достало уже чужой исполняемый код искать в этих многочисленных файлах!
Не сомневайтесь искать и там будете. Реже но будет он и там.
Записан
effrit
Группа развития
*****

Репутация: +730/-7
Offline Offline

Пол: Мужской
Сообщений: 6807


effrit.com


« Ответ #15 : 26.12.2015, 17:27:16 »

mistbow, а вы компонент защиты не пробовали ставить на сайт?
http://extensions.joomla.org/category/access-a-security/site-security
Записан
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« Ответ #16 : 26.12.2015, 17:38:55 »

mistbow, а вы компонент защиты не пробовали ставить на сайт?
Не ставил, но это и неправильный путь. Правильный - убрать все лишее из доступа с интернета.
http://extensions.joomla.org/category/access-a-security/site-security
Записан
effrit
Группа развития
*****

Репутация: +730/-7
Offline Offline

Пол: Мужской
Сообщений: 6807


effrit.com


« Ответ #17 : 26.12.2015, 17:47:26 »

ну этим неправильным путем многие местные завсегдатаи-разработчики успешно идут многие года.
но если хочется быть иноходцем, править ядро и потом при каждом обновлении лазить и проверять, то я ничего посоветовать не могу )
Записан
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« Ответ #18 : 26.12.2015, 18:45:39 »

ну этим неправильным путем многие местные завсегдатаи-разработчики успешно идут многие года.
но если хочется быть иноходцем, править ядро и потом при каждом обновлении лазить и проверять, то я ничего посоветовать не могу )
Хочу заставить разработчиков промыть себе мозги.
Живут тем временем, когда в каждом файле был и код и обращения к базе и HTML. (((
Записан
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« Ответ #19 : 26.12.2015, 19:06:43 »

Не сомневайтесь искать и там будете. Реже но будет он и там.
Дело в том, что там нет прямого доступа к скриптам из нета. Что может сделать хакер, если даже положит туда свой скрипт? Как он вызовет его на выполнение, кроме как через единственный index.php? Получается или ему придётся изменить index.php или каким-то образом зарегистрировать свои файлы в самой системе, а это уже можно легко отслеживать
Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #20 : 26.12.2015, 19:18:48 »

ну этим неправильным путем многие местные завсегдатаи-разработчики успешно идут многие года.
но если хочется быть иноходцем, править ядро и потом при каждом обновлении лазить и проверять, то я ничего посоветовать не могу )
очередной пловец против течения
Записан
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« Ответ #21 : 26.12.2015, 19:54:07 »

очередной пловец против течения
Ну можно форкнуть по иддее, как в своё время сделали основатели Joomla. Был проект Mambo, стала Joomla.
Записан
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« Ответ #22 : 27.12.2015, 15:59:20 »

Кстати по дате посмотрел когда появился первый шел на сайте, это было 11.11.2015. Получается больше месяца уже кто-то мог площадкой пользоваться и спасения от этого надежного нет (
Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #23 : 28.12.2015, 00:29:19 »

По теме у вас давно мог быть залитый шел и вы сейчас только на него внимание обратили, уже не то что бывает, а практикуется по полной программе, что шелы лежат годами на сайтах и владельцы про них даже не подозревают. Есть глобальные задачи для взлома сайтов и присоединения их к бот сети или еще что, так на них шелы лежат очень долго и ждут своего часа Х.
Записан
mistbow
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 72


« Ответ #24 : 28.12.2015, 01:48:13 »


Да не, я проверил периодические бэкапы. Пришло в ноябре. Видимо в php закрыли двру, хостинг не обновили вовремя, и Joomla подвела.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet