Комплексная защита сайта от взлома - Безопасность сайтов на Joomla - Форум русской поддержки Joomla!

Новости Joomla

Управление очередностью плагинов в Joomla 5 с помощью приоритетов обработки событийДля...

Управление очередностью плагинов в Joomla 5 с помощью приоритетов обработки событийДля разработчиков Joomla предоставляет 7 уровней приоритета выполнения плагинов. По умолчанию большинство плагинов запускаются с приоритетом NORMAL. Если вы как разработчик хотите дать возможность своим пользователям устанавливать порядок выполнения плагинов не только с помощью перетаскивания их мышкой в админке в рамках одной группы, но и с помощью параметра, то вам окажется полезной эта заметка.Автор - участник нашего сообщества Виталий Некрасов (@vitalik_a).Читать на Joomlaportal#joomla #разработка #php 👩‍💻 Если у вас есть интересные и полезные материалы о Joomla - присылайте админам сообщества. Разместим, тегнем, дадим ссылку.

Рендер пользовательского поля внутри другого пользовательского поля. Joomla 5.3

Писал ранее о том, как внутри одного пользовательского поля рендерить другое пользовательское поле. Применил для этого возможность Joomla обращаться к методам плагинов напрямую. Процитирую строчку кода из предыдущего поста:

<?php
$joomlaFieldContentPlugn->onContentPrepare('com_content.article', $fakeItem, $app->getParams());

Joomla постепенно переходит от простого указания аргументов для триггеров плагинов к собственным классам событий. Это позволяет не запоминать порядок передачи аргументов класса и использовать человекопонятные методы $event->getContext(), $event->getItem() и т.д. А то в одном месте в Joomla было $article, в другом - $item, в третьем ещё как-то... Порядку больше становится.

Сегодня обновил сайт клиентов до Joomla 5.3. В ней обновили контент-плагин fields и мой финт ушами с вызовом метода плагина отвалился потому, что я передавал в нём 3 аргумента, вместо одного. И для события onContentPrepare это должен быть объект класса ContentPrepareEvent. Как меняется фрагмент кода из предыдущего поста:

<?php
// мы находимся в файле макета поля

use Joomla\CMS\Event\Content\ContentPrepareEvent;
use Joomla\CMS\Factory;

$app = Factory::getApplication();
$fakeItem = new \stdClass();
// Получаем id текущего материала из объекта Input
$fakeItem->id = $app->getInput()->getInt('id');
// {field 29} - это шорт код вставки поля с id 29 - "ассортимент проекта"
// к содержимому поля конкатенируем шорт-код для обработки
$fakeItem->text = $field->value . '{field 29}';
// Получаем объект плагина
$joomlaFieldContentPlugn = $app->bootPLugin('fields', 'content');
// вызываем метод обработки напрямую
// вместо 3-х аргументов теперь указываем один
// это объект класса ContentPrepareEvent
$joomlaFieldContentPlugn->onContentPrepare(new ContentPrepareEvent('onContentPrepare', [
            'context' => 'com_content.article',
            'subject' => $fakeItem,
            'params'  => $app->getParams(),
            'page'    => 0,
        ]));
// выводим оба поля
echo $fakeItem->text;

Вышел релиз Joomla 5.3.0

Вышел релиз Joomla 5.3.0

Проект Joomla с радостью объявляет о выходе Joomla 5.3 — последней минорной версии в серии Joomla 5.

Этот релиз сосредоточен на продуманных улучшениях, которые совершенствуют работу с CMS. От лучшей организации файлов и журналирования задач до расширенной обработки электронной почты и улучшенной доступности — Joomla 5.3 помогает администраторам и разработчикам работать более эффективно, сохраняя ваш сайт современным, безопасным и готовым к будущему.

1 Вниз

0 Пользователей и 1 Гость просматривают эту тему.

15 Ответов
9042 Просмотров

Yamamura

Захожу иногда
99
3 / 0

Комплексная защита сайта от взлома

« : 24.08.2006, 12:19:46 »

Здравствуйте.
Вот выложил сайт в инет и задумался о защите от взлома.
Что я сделал:
1. ну во-первых версия Джумлы 1.0.10 - это уже хорошо

;
2. не ставил кучу компонентов, так как ни к чему...только новый компонент опроса;
3. права доступа на файл configuration.php поставил только на "чтение";
4. в папку administrator поместил файл .htaccess следующего содержания:
order deny,allow
deny from all
allow from мой IP

Что ещё для успокоения души можете посоветовать?

Записан

era

Администратор
1588
392 / 5
В туалете лучше быть пользователем, чем админом.

Re: Комплексная защита сайта от взлома

« Ответ #1 : 24.08.2006, 14:05:34 »

регистр глобалс выключить

Записан

И не жаждут они в пустынях, чрез которые Он ведет их: Он источает им воду из камня; рассекает скалу, и льются воды. / Откровение 48:21

Yamamura

Захожу иногда
99
3 / 0

Re: Комплексная защита сайта от взлома

« Ответ #2 : 24.08.2006, 15:56:19 »

Не знаю, можно ли мне самому отключить.

Записан

aressto

Осваиваюсь на форуме
28
1 / 0

Re: Комплексная защита сайта от взлома

« Ответ #3 : 25.08.2006, 17:17:33 »

это в конфигураторе php, сам не можешь, если хостинг знакомый можно попросить

ps. добавить в htaccess запрос пароля с шифрованием, что бы формочка выскакивала

почитать joomlaforum и убрать или обновить все компоненты которые уже известно что с дырами

Записан

aressto

Осваиваюсь на форуме
28
1 / 0

Re: Комплексная защита сайта от взлома

« Ответ #4 : 25.08.2006, 17:54:12 »

дополнительно, только что обнаружил на сайте фила тейлора, бывшего разработчика мамбы а сейчас он клепает свои компоненты для джумла, платные

но качественные

итак Фил, если не можешь добраться до хостера как я написал выше, советует проделать следующее:

--
Another way (May work depending on the configuration of the server)
create, or edit any existing .htaccess file in the root of your webspace (in the same folder as Joomla’s configuration.php)
Add the following line to the .htaccess and save, the change is instant:

php_flag register_globals off

- Securing Joomla Further
Edit the file /globals.php and change

define( ‘RG_EMULATION’, 1 );

to

define( ‘RG_EMULATION’, 0 );

These steps will secure you a bit more and are HIGHLY recommended!
--

Записан

Yamamura

Захожу иногда
99
3 / 0

Re: Комплексная защита сайта от взлома

« Ответ #5 : 26.08.2006, 13:22:25 »

Так вроде бы register_globals никак не влияет на безопастность в Джумле 1.0.10. Или нет?

Записан

userxp

Живу я здесь
2019
403 / 6
Злой и ужасный бармалей

Re: Комплексная защита сайта от взлома

« Ответ #6 : 26.08.2006, 14:37:34 »

статьи по безопастности на портале почитай....

Записан

Как правильно задавать вопрос службе технической поддержки

SGA CM 7.2.0 RC0 KANG Build GWK74 + s95allinonescript + CWM 5.0.2.6 + Modem XWKT3

MOHCTPUK

Захожу иногда
50
5 / 6
d[-_-]b

Re: Комплексная защита сайта от взлома

« Ответ #7 : 26.08.2006, 19:32:55 »

Влияет мне говоили ты напиши хостерам письмо они тееб вфкл её

Цитата: Yamamura от 26.08.2006, 13:22:25

Так вроде бы register_globals никак не влияет на безопастность в Джумле 1.0.10. Или нет?

Записан

smart

Администратор
6478
1318 / 15
Хочешь сделать хорошо — сделай!

Re: Комплексная защита сайта от взлома

« Ответ #8 : 26.08.2006, 22:36:33 »

Цитата: Yamamura от 26.08.2006, 13:22:25

Так вроде бы register_globals никак не влияет на безопастность в Джумле 1.0.10. Или нет?

для самой Joomla это не критично, а вот как показало время, для многих ее расширений это больной мозоль

Записан

Новости Joomla | Joomla 3.x FAQ | JComments | Proofreader

aressto

Осваиваюсь на форуме
28
1 / 0

Re: Комплексная защита сайта от взлома

« Ответ #9 : 28.08.2006, 15:14:19 »

наткнулся на ещё одну статью которая рассказывает как обезопасить джумлу с помощью .htaccess

-----------------------------------------------------------------
# Use Options
Options +FollowSymLinks

# mod_rewrite in use
RewriteEngine On

# Base location
RewriteBase /

# Begin Rules for rewrite
RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR] ##optional - see notes##
RewriteCond %{REQUEST_FILENAME} !\.(jpg|jpeg|gif|png|css|js|pl|txt)$
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*) index.php
# End Rules for rewrite

# Add .htc files
AddType text/x-component .htc

########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\< |%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

# Begin - Deny zon-h and cyber-warrior
deny from .zone-h.org
deny from .zone-h.com
deny from 213.219.122
deny from .cyber-warrior.org
deny from .cyber-security.org
deny from 80.237.211.8
# End - Deny zon-h and cyber-warrior
</script>
-----------------------------------------------------------------

Записан

Александр Фёдоров

Захожу иногда
143
26 / 4
Жизнь - удивительная штука

Re: Комплексная защита сайта от взлома

« Ответ #10 : 28.08.2006, 16:04:36 »

тег </script> в конце - не ошибка ли?

Записан

Жизненно важный ингредиент успеха — это не знать, что задуманное вами невозможно выполнить. М.Жванецкий

Valiks

Захожу иногда
108
6 / 3

Re: Комплексная защита сайта от взлома

« Ответ #11 : 29.08.2006, 14:56:13 »

Что означает - AddType text/x-component .htc?
Что это за .htc files?

Записан

userxp

Живу я здесь
2019
403 / 6
Злой и ужасный бармалей

Re: Комплексная защита сайта от взлома

« Ответ #12 : 29.08.2006, 15:12:26 »

HTC is a three letter abbreviation for the following: *HTML Component — a technology supported by Microsoft's Internet Explorer that allows the creation and use of components as DHTML behaviors. Internet Explorer supports HTC from version 5.0 onwards.
http://msdn.microsoft.com/workshop/components/htc/reference/htcref.asp

кароче, полная лажа с дыркой.

Цитата: Valiks от 29.08.2006, 14:56:13

Что означает - AddType text/x-component .htc?

воспринимать .htc файлы сугубо как текстовые и никогда не выполнять.

« Последнее редактирование: 29.08.2006, 15:17:05 от userxp »

Записан

Как правильно задавать вопрос службе технической поддержки

SGA CM 7.2.0 RC0 KANG Build GWK74 + s95allinonescript + CWM 5.0.2.6 + Modem XWKT3

Valiks

Захожу иногда
108
6 / 3

Re: Комплексная защита сайта от взлома

« Ответ #13 : 29.08.2006, 20:11:25 »

теперь понятнее ...

Записан

Vergily

Захожу иногда
59
5 / 0

Re: Комплексная защита сайта от взлома

« Ответ #14 : 31.08.2006, 15:27:12 »

А мне хостер сказаал, что можно выключить register globals? если положить php.inin в корень сайта.
Не знаю даже. Положил, написал внутри register_globals = Off
Не помогает. Может есть иной путь?

Записан

smart

Администратор
6478
1318 / 15
Хочешь сделать хорошо — сделай!

Re: Комплексная защита сайта от взлома

« Ответ #15 : 31.08.2006, 15:34:43 »

Цитата: Vergily от 31.08.2006, 15:27:12

Положил, написал внутри register_globals = Off
Не помогает.

конечно не поможет, бо неправильный синтаксис... почитай этот топик сначала, в нем был пример, как правильно отключить register_globals

Записан

Новости Joomla | Joomla 3.x FAQ | JComments | Proofreader

1 Вверх

Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться

Похожие темы

Компонент Жимолость - защита от спама и ботов Автор Гоша_Компьютерный	Ответов: 7 Просмотров: 1411	04.04.2025, 11:58:13 от Simply
При открытии сайта с режима инкогнито перекидывает на вирусный сайт Автор 62411	Ответов: 6 Просмотров: 1372	31.03.2024, 16:14:32 от SeBun
Компоненты и скрипты для защиты сайта. Логи атак на сайты Автор wishlight	Ответов: 678 Просмотров: 253293	14.09.2022, 14:29:43 от wishlight
Доп. защита админки с jsecurelite Автор ast	Ответов: 1 Просмотров: 1562	16.02.2022, 13:37:25 от winstrool
Способы защиты сайта от DDoS атак? Автор IgorMJ	Ответов: 7 Просмотров: 1734	05.10.2021, 21:39:26 от ShopES