Вышел релиз безопасности Joomla! 3.9.4 - Joomla 3.x: Установка, обновление и настройка

Доступна к загрузке Joomla! 3.9.4

Это релиз безопасности и исправлений, незамедлительно рекомендуется к установке. Закрыто 4 уязвимости, в том числе одна высокого уровня.

Новость на русском
Официальная новость

Вроде ничего не отвалилось

каждая версия с дырами, тут аж 4. Неужели трудно головой подумать а потом версию ставить.

Evgenii_web, а что мешает с вашей головой влиться в ряды разработчиков и решить вопрос раз и навсегда? Можно не отвечать.

Обнаружен баг в хлебных крошках на страница вывода материалов по метке
появляется ссылка на эту же страницу, на которой находишься, а последний элемент в навигаторе - подтягивается title страницы

каждая версия с дырами, тут аж 4. Неужели трудно головой подумать а потом версию ставить.

как бы дыр значимых уже давно нет... то что исправляют всякие мелочи, это логично. Скажем так это не такие дыры, как у WP, когда все сайты по сути дыркой становятся.

когда твой сайт каждый день пытаются взломать, то задумаешься, как не обновление то заплата безопасности. Добавляют новый функционал когда в старом беда, тот же роутер, те же метки в ужасном состоянии.

когда твой сайт каждый день пытаются взломать, то задумаешься, как не обновление то заплата безопасности. Добавляют новый функционал когда в старом беда, тот же роутер, те же метки в ужасном состоянии.

Подобную проблему не решил даже Microsoft с их огромными капиталами. Все крупные и тем более мелкие разработчики выпускают патчи к своим продуктам. А тем кто бесплатно это делает вообще благодарным надо быть. Если у Вас сайт испытывает постоянные атаки, то покупайте файерволы, антивирусы для Joomla, хостинг правильный выбирайте или переходите на платные CMS, которые в защите сильнее, но и то не факт.

Подобную проблему не решил даже Microsoft с их огромными капиталами. Все крупные и тем более мелкие разработчики выпускают патчи к своим продуктам. А тем кто бесплатно это делает вообще благодарным надо быть. Если у Вас сайт испытывает постоянные атаки, то покупайте файерволы, антивирусы для Joomla, хостинг правильный выбирайте или переходите на платные CMS, которые в защите сильнее, но и то не факт.

В платных то защита сильнее)) гыы)) давно так не смеялся...))
Все ваши советы можно выкинуть...
Самое полезное, что можно предложить, это обновлять сайт, закрыть админку средствами сервера... И положить сайт под git. Все защиты строятся не от каких то сомнительных решений, а от нормальной настройки сервера.

Ребят, если бы всё плохо было, то тут бы уже весь форум завалили жалобами. Так что без паники.
Почитайте про wp, по некоторым данным это самая взламываемая CMS

В платных то защита сильнее)) гыы)) давно так не смеялся...))
Все ваши советы можно выкинуть...
Самое полезное, что можно предложить, это обновлять сайт, закрыть админку средствами сервера... И положить сайт под git. Все защиты строятся не от каких то сомнительных решений, а от нормальной настройки сервера.

Я рад, что Вам было весело, только вот посыл мой был совершенно не об этом, а о том, что продукт Joomla бесплатный и спасибо за это разработчикам. И не просто бесплатный, а поддерживаемый долгими годами. Вот только об этом и намекалось. И не советы я давал, а констатировал, что совершенного движка ещё не изобрели, поэтому обновления и поиск уязвимых мест это нормальная практика. Всё! Ничего более. А про то, что платные CMS лучше я написал, что "не факт" и этот посыл относился тоже к контексту того, что не совершенно и это.

Но если Вы повернули разговор в это русло, то скажу следующее. Во первых, я пользуюсь Вашими разработками JoomLine, спасибо Вам за работу, во вторых спасибо и за дельный совет по обеспечению защиты движка, он реально полезен для многих форумчан.

Но то, что платные расширения файерволов отрабатывают многие поползновения на сайт это факт. Не совершенны они, тут спорить не буду и при желании злоумышленники до сайта достучаться. Но все же много чего они отрабатывают, хоть на какой то процент, но полезны. К тому же, по статистике, бесплатные движки взламываются гораздо чаще, чем коммерческие. Я не знаю кто собирал эту статистику, но весь интернет забит этой инфой. Может я не прав, так как сам лично не собирал эту статистику, а приходится верить на слово. Повторюсь, ни о какой суперзащите я не говорю и не говорил в своём комментарии.

В процентном отношении сайты ломают на популярных движках так же, что на коммерческих.
Там дело в другом... обычно коммерческие движки используются людьми, ну которые хоть какое-то представление имеют о веб-технологиях... Хотя не всегда... ))
А на бесплатных делается море хомпейджев, которые забрасываются не обслуживаются... и вообще люди слабо представляют, как с этим работать. От туда взломы.

Но опять же скажу все защиты на уровне движка почти бесполезны... Настройка сервера дает в разы лучшие результаты.

я к чему завел разговор уязвимостей, так как мою сетку сайтов из Joomla ежедневно пытаются взломать ища уязвимость (а тут в каждой обнове фиксят уязвимость). Вы можете написать, чтобы передать хостеру что нужно сделать на сервере, чтобы хоть как то улучшить безопасность?

В процентном отношении сайты ломают на популярных движках так же, что на коммерческих.
Там дело в другом... обычно коммерческие движки используются людьми, ну которые хоть какое-то представление имеют о веб-технологиях... Хотя не всегда... ))
А на бесплатных делается море хомпейджев, которые забрасываются не обслуживаются... и вообще люди слабо представляют, как с этим работать. От туда взломы.

Но опять же скажу все защиты на уровне движка почти бесполезны... Настройка сервера дает в разы лучшие результаты.

Посоветуйте нормальный хостинг! Какой на Ваш взгляд заслуживает уважения?!

я к чему завел разговор уязвимостей, так как мою сетку сайтов из Joomla ежедневно пытаются взломать ища уязвимость (а тут в каждой обнове фиксят уязвимость). Вы можете написать, чтобы передать хостеру что нужно сделать на сервере, чтобы хоть как то улучшить безопасность?

Наверное хоть как то не вариант. Надо искать сразу хороший хостинг. Если у Вас не свой сервер в компании.

я к чему завел разговор уязвимостей, так как мою сетку сайтов из Joomla ежедневно пытаются взломать ища уязвимость (а тут в каждой обнове фиксят уязвимость). Вы можете написать, чтобы передать хостеру что нужно сделать на сервере, чтобы хоть как то улучшить безопасность?

Все сайты пытаются сломать)) на любом движке. Просто перебором идут по всем сайтам в базе и пытаются применить базу эксплойтов. То есть без разницы какая cms просто ищут не обновленные сайты.

От перебора паролей полно решений. Например я использую Cloudflare. Хватает бесплатной версии. Там минимальная защита от Ddos, ну и от таких "переборщиков", которые напрягают хостинг создаю правило для админки и они моментально идут лесом. На уровне хоститнга можно использовать fail2ban, на уровне Joomla есть плагины, который скрывают админку и пускают туда по секретной ссылке.

По поводу закрыть админку - я такой штукой пользуюсь.

По поводу закрыть админку - я такой штукой пользуюсь.

Я тоже!

По поводу закрыть админку - я такой штукой пользуюсь.

я просто файл запрета в паку админки кинул, по ип.

Я isp закрываю

Просто закрываю на вдске апачем или nginx

По поводу закрыть админку - я такой штукой пользуюсь.

Я попроще: Плагин для защиты авторизации в административную часть сайта через капчу

Всегда умиляло, когда ставят капчу на админку. Называется, помучайся, чтобы попасть. Не говоря уже, что от плагина нагрузка на систему больше, чем обрезать на уровне апача.

Всегда умиляло, когда ставят капчу на админку. Называется, помучайся, чтобы попасть. Не говоря уже, что от плагина нагрузка на систему больше, чем обрезать на уровне апача.

Ну там даже другая проблема... боты долбят обычно не перебором... хотя если перебором, то нагрузка будет офигительная на рендер страницы...
А просто идут эксплойтами по дыркам... когда либо обнаруженным были, то есть капча вообще не будет защищать... в отличии от закрытия апачем.

Релиз безопасности Joomla 3.9.5
https://www.joomla.org/announcements/release-news/5764-joomla-3-9-5-release.html