Новости Joomla

‼️👩‍💻 Релиз безопасности Astroid 3.3.11 - шаблона-конструктора для Joomla.

‼️👩‍💻 Релиз безопасности Astroid 3.3.11 - шаблона-конструктора для Joomla.

14 часов назад (на момент публикации заметки) была обнаружена уязвимость в популярном шаблоне-конструкторе Astroid Framework. При атаке на сайт устанавливается бэкдор — системный плагин под названием plg_system_blpayload. Если вы обнаружили этот плагин на своем веб-сайте, значит, он скомпрометирован, и вам необходимо восстановить чистую резервную копию, созданную до установки плагина.

Уязвимость позволяет загружать файлы на сайт и в дальнейшем получить права администратора Joomla.
В рамках атаки (из-за которой и была обнаружена уязвимость) на сайт устанавливался плагин plg_system_blpayload, который при каждой загрузке страницы снаружи он скрытно связывается с (платформой для SEO, работающей на черном рынке (ссылку помещать не будем, просим поверить на слово). Получает список скрытых спам-ссылок (сайты азартных игр, фишинга, мошенничества), подобранный под ваш домен, затем внедряет эти ссылки в HTML-код вашей страницы непосредственно перед рендером - невидимые для посетителей, но полностью читаемые поисковыми роботами. Это называется "отравление SEO" ("отрпавление поисковой выдачи").

Однако, эта уязвимость может использоваться в других целях. Поэтому необходимо срочно проверить ваши сайты, где стоит Astroid Framework и обновить его до версии не ниже 3.3.11. Релиз безопасности выпущен 4 часа назад (на момент написания заметки).

Скачать релиз безопасности Astroid

@joomlafeed

👩‍💻 Вышел Quantum Manager 3.3.0 - медиа менеджер для Joomla.

👩‍💻 Вышел Quantum Manager 3.3.0 - медиа менеджер для Joomla.

Популярный файловый менеджер для Joomla от отечественных разработчиков.

v.3.3.0. Что нового?
- Joomla 6. Компонент полностью совместим с Joomla 6, плагин обратной совместимости не требуется.
- Рефакторинг. Полностью удалён устаревший код, оставшийся в наследство от версий для Joomla 3.
- Новые настройки для SVG. Новые параметры фильтрации SVG-файлов.
- Улучшена безопасная функция предварительного просмотра SVG-файлов. Благодаря новым механизмам фильтрации восстановлена ​​возможность безопасного предварительного просмотра SVG-изображений.
- Исправления ошибок. Исправлены ошибки с данными EXIF ​​и обновлена ​​библиотека EXIF.

Читать новость
Скачать расширение

Также обновление получил плагин пользовательского поля Radicalmultifield для совместимости с новым Quantum Manager.

Репозиторий GitHub
Релиз на GitHub

@joomlafeed

Joomla по-русски — возвращение к истокам

Joomla по-русски — возвращение к истокам

С 1 марта 2026 года наш проект меняет название. Joomla Russia становится Joomla по-русски.

Это давно напрашивалось, со времён редизайна сайта, но тут подвернулся повод.

Поводом послужили новые требования российского законодательства об использовании русскоязычных наименований для отечественных проектов. Но мы воспринимаем это не как обязанность, а как хороший толчок сделать то, о чём думали и раньше.

Joomla по-русски — для всех, кто творит сайты на великом и могучем.

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 7 Ответов
  • 942 Просмотров
*

step-di

  • Захожу иногда
  • 91
  • 5 / 0
Ограничение прав суперадмина
« : 27.02.2017, 15:52:34 »
Я как суперадмин не могу сделать другого пользователя суперадмином.
В менеджере пользователя сохраняются все права доступа кроме администраторских.
Сделать обычным админом получается только если через пакетную обработку провести, причем там назначить выбранных пользователей можно во все группы кроме суперадминов.
Если какой-нибудь суперадмин был деактивирован, то при попытке активации  пишет, что нет прав доступа.
Впервые с таким сталкиваюсь.
В чем может быть проблема?
Записан
*

ProtectYourSite

  • Живу я здесь
  • 2368
  • 139 / 4
  • Безопасность вебсайтов
Re: Ограничение прав суперадмина
« Ответ #1 : 27.02.2017, 16:04:17 »
В бд ничего не напортачено в таблицах?
ошибок нету в логах и консоли?
Записан
*

step-di

  • Захожу иногда
  • 91
  • 5 / 0
Re: Ограничение прав суперадмина
« Ответ #2 : 27.02.2017, 16:08:27 »
Даже нельзя было у всех админов поменять имя, логин и прочее.
Admin Tools отключил, права доступа восстановились.
Вероятно в январе, при обновления до версии компонента до версии 4.1.1 pro что то в нем поменялось в плане безопасности.
Снова включил, права доступа ограничились.
Пока не знаю как настроить снятие таких ограничений, чтобы каждый раз не отключать.
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Ограничение прав суперадмина
« Ответ #3 : 27.02.2017, 16:18:18 »
Admin Tools вам не сильно поможет от взлома. Касательно прав - назначьте их через админку. Для этого посмотрите в таблице __user_groups (или как то так, по памяти не помню), какой ID у суперадмина, скорее всего будет 8. Затем в таблице __users ищите нужного юзера, смотрите, какой у него ID. Далее идете в таблицу __user_groups_map и делаете выборку записи, где user_id = id вашего юзера и смотрите, какая у него там группа, меняете на группу суперюзера. Я могу ошибиться в названиях таблиц и полей, т.к. писал по памяти, смотрите сами.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

step-di

  • Захожу иногда
  • 91
  • 5 / 0
Re: Ограничение прав суперадмина
« Ответ #4 : 27.02.2017, 16:21:46 »
на другом сайте тоже теперь стоит админ тулс 4.1.1 но там работает уведомление на почту о всех действиях.
пришло такое письмо, когда я авторизовался как суперадмин и захотелл сменить имя пользователя суперадмина - в переводе на русский:
Здравствуйте,
Мы хотели бы уведомить вас о том, что исключение безопасности был обнаружен на вашем сайте, с указанием следующих реквизитов:

IP-адрес: 91.205.ххх.ххх
Причина: Редактирование Серверной Пользователя Admin

Если такое исключение безопасности повторяется, пожалуйста, войдите в админцентр своего сайта и добавить этот IP-адрес для веб-Брандмауэр приложения инструменты администрирования для того, чтобы полностью блокировать провинившихся пользователей.
С наилучшими пожеланиями ....
Записан
*

step-di

  • Захожу иногда
  • 91
  • 5 / 0
Re: Ограничение прав суперадмина
« Ответ #5 : 27.02.2017, 17:02:57 »
Запустил в компоненте Мастер настроек
Там есть поле
Disable editing backend users' properties
и значение стоит Да
В комментарии к полю -
Вы больше не будете иметь возможность редактировать или создавать учетные записи пользователей с доступом к области администратора, например, Супер пользователей или администраторов. Вы также не будете иметь возможность конвертировать существующих пользователей в супер пользователей, администраторов и так далее. Попытка сделать это приведет к Denied сообщение об ошибке 403 доступа.
Получается при обновлении до 4.1.1 автоматом включилась эта функция.

отфильтровал пользователей по группе Администраторы и увидел неприятную картину - примерно 10 неизвестных пользователей имели статус Администраторов. Правда никто из них ни разу на сайт не заходил. Видимо не случайно разработчики этого компонента ввели такую фичу и заблокировали создание админов и суперадминов по умолчанию
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Ограничение прав суперадмина
« Ответ #6 : 27.02.2017, 17:22:28 »
Цитата: step-di от 27.02.2017, 17:02:57
Видимо не случайно разработчики этого компонента ввели такую фичу и заблокировали создание админов и суперадминов по умолчанию
Не случайно, да. Но посудите сами, если пользователь смог сменить права на суперадмина, разве он не сможет это сделать и при работающем AdminTools? Ведь его схема простая - он делает себе пометочку, какие пользователи с правами админа/суперадмина есть на сайте, их немного, и просто проверяет при попытке произвести действие. Но что будет, если я, имея доступ к базе (допустим, через банальный иньект), попросту отключу этот компонент? Собственно, это все, сайт под моим контролем. Да он и так под моим контролем, ибо через такую уязвимость можно делать что угодно, в том числе заливать файлы и менять права на них.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

step-di

  • Захожу иногда
  • 91
  • 5 / 0
Re: Ограничение прав суперадмина
« Ответ #7 : 27.02.2017, 17:25:19 »
разобрался. В настройках компонента Configure WAF - Joomla! Feature Hardening Options есть два поля
Disable editing backend users' properties
Disable creating / editing backend users from the frontend
все они стояли в позиции Да
насчет последнего поля - к нему есть комментарий - через Google транслейт он выглядит так
Вы должны как правило, не в состоянии создать нового пользователя с правами администратора бэкэнда входа в систему из государственного веб-интерфейсе. Когда эта опция включена она будет относиться к попыткам создания такого рода счетов, попыток взлома и блокировать их выполнение. Это решает некоторые из самых печально известных атак нулевого дня в Joomla! которая проходила в период с 2015 по 2016 гг.
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Права суперадмина

Автор mang0ver

 Ответов: 1
Просмотров: 743 		Последний ответ 28.01.2022, 14:46:53
от mang0ver
Снять ограничение на кол-во символов в модуле html

Автор lgmax

 Ответов: 1
Просмотров: 797 		Последний ответ 05.01.2022, 12:19:53
от draff
Ограничение слов в "Настраиваемые поля - редактор"!

Автор Shingi

 Ответов: 2
Просмотров: 1364 		Последний ответ 17.08.2021, 07:25:36
от Shingi
Ограничение количества символов вводного текста

Автор Chigolberi

 Ответов: 2
Просмотров: 1368 		Последний ответ 18.06.2020, 08:40:52
от Chigolberi
Ограничение кол-во символов в заголовке

Автор lgmax

 Ответов: 1
Просмотров: 783 		Последний ответ 15.05.2020, 09:56:13
от Akeksandr