Новости Joomla

Joomla 6: Автоматические обновления ядра в Joomla

Joomla 6: Автоматические обновления ядра в Joomla

👩‍💻 Joomla 6: Автоматические обновления ядра в Joomla. В октябрьском номере официального журнала Joomla - Joomla Community Magazine вышла статья David Jardin, где рассказывается о внедрении функционала автоматического обновления ядра Joomla.❓Почему сейчас? Joomla же жила как-то 20 лет без автоматических обновлений?Это оказалась самая востребованная за последнее время от пользователей Joomla функция. Но, основная причина внедрения - проблемы безопасности. Всякий раз, когда в новой версии Joomla устраняется уязвимость, злоумышленники начинают анализировать код, чтобы выяснить, какая именно уязвимость была исправлена. И как только они это выясняют - начинается разработка автоматизированных скриптов для взлома как можно большего количества сайтов. Затем доступы к автоматически взломанным сайтам продаются в профильных чатах и ресурсах "пачками" по несколько сотен тысяч или миллионов сайтов. Ваш сайт могли взломать несколько лет назад, но воспользоваться уязвимостью могут не сразу, а тогда, когда у злоумышленников возникнет необходимость. И только после этого вы может быть узнаете об этом.Анализ патча, понимание проблемы и разработка скрипта требуют времени. И если владелец сайта не обновит его до истечения этого срока, сайт может быть взломан. А хакеры действуют быстро! Для критических, легко эксплуатируемых уязвимостей речь идёт о временном окне в 10–12 часов — и этого времени явно недостаточно, чтобы все успели обновить свои сайты.Здесь выходят на первый план автоматизированные обновления: проект Joomla теперь может активно устанавливать обновления (и, следовательно, исправления безопасности) на сайты, чтобы гарантировать, что сайты действительно обновляются вовремя.🕘 От первых идей до реализации прошло 5 лет. И здесь можно вспомнить, как в Joomla 5.1 внедрили TUF - The Update Framework, позволяющий устанавливать защищённое соединение между сайтом и сервером обновлений и исключает возможность supply chain attack (атаки на цепочку поставок).Об особенностях реализации и требованиях к сайту читаем подробнее в статье на JCM.@joomlafeed#joomla #secutiry #jcm

Обзор нововведений в Joomla 6.0.0. Статья на Хабре.14 октября 2025 года вышла Joomla 6.0.0

14 октября 2025 года вышла Joomla 6.0.0. При подготовке к Joomla 4 был изменён релизный цикл на 2-хлетний, где каждая мажорная версия имеет 2 года активной разработки и 2 года - в режиме поддержки и закрытия уязвимостей. С выходом Joomla 6 "четверка" завершает свой путь, а Joomla 5 переходит в режим тех.поддержки. Мажорный релиз не означает больше коренной слом обратной совместимости, но является своеобразным слепком, фиксацией изменений в момент времени. Переход с Joomla 5 на Joomla 6 - это обновление, а не миграция.

❓ Что же в ней нового?

Давайте посмотрим поподробнее: - обзор новинок со скриншотами и видео- примечания для разработчиков- ссылки на полезные ресурсы.

Читать обзор на Хабре или на Joomlaportal: Вышла Joomla 6.0.0.

Первый выпуск журнала NorrNext в честь 20-й годовщины Joomla™

Первый выпуск журнала NorrNext в честь 20-й годовщины Joomla™

Первый выпуск журнала NorrNext в честь 20-й годовщины Joomla™. Интервью с волонтёрами 🎈Ну что, друзья, вот и настал этот долгожданный момент. Мы выпустили первое издание собственного журнала под эгидой NorrNext, который включает в себя интервью с видными деятелями сообщества из разных стран и континентов.Общий нарратив: показать, что нас объединяет (Joomla) и узнать больше о людях, которые вносят свой вклад в развитие платформы в своих сообществах. 20 лет — это много. Давайте же узнаем о коллегах 🎁 Первый цикл включает такие страны, как Австрия, Испания, Латвия, Россия, Румыния, Тайланд, Черногория, Чехия.⚙️ С кем интервью: ✔️ Владимир Елисеев 🇷🇺✔️ Дмитрий Рекун 🇱🇻✔️ Дмитрий Цымбал 🇷🇺✔️ Евгений Сивоконь 🇷🇺 ✔️ Сергей Толкачёв 🇷🇺✔️ Dénes Székely 🇷🇴✔️ Jan Pavelka 🇨🇿✔️ Miljan Vujosevic 🇲🇪✔️ Sergio Iglesias 🇪🇸✔️ Sigrid Gramlinger 🇦🇹✔️ Pisan Chueatchatchai 🇹🇭‼️ Новые интервью будут добавляться до конца декабря 2025. Заходите по ссылке время от времени💡👉 Читать далее

1 2 3 4 5 ... 7   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 194 Ответов
  • 23835 Просмотров
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #60 : 26.09.2014, 18:46:24 »
Цитата: ChaosHead от 26.09.2014, 18:41:14
Поправь пожалуйста ссылку тут: http://www.joomla15.ru/files/plugins/item/plugins-for-joomla15/consecpolicy-joomla.html
Я в 1 пост добавлю
Вроде подправил.. там что-то старый двиг глючит..
Записан
*

deadproof

  • Осваиваюсь на форуме
  • 43
  • 0 / 0
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #61 : 26.09.2014, 19:32:35 »
Не понимаю, почему количество переходов на бонго и другой вирус только увеличилось
Записан
*

deadproof

  • Осваиваюсь на форуме
  • 43
  • 0 / 0
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #62 : 26.09.2014, 19:33:12 »
На сайте вообще нет никакой рекламы и не было. Разрешил только вконтакте и YouTube
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #63 : 26.09.2014, 19:34:58 »
Пока не знаю ))
Вирус, который скрывается за аддоном TS Magic Player потестил, но, видимо, он такой не единственный, нужны еще ссылки на вирусню.
И, по слухам, код может внедряться вместо\вместе с youtube
Записан
*

ChaosHead

  • Гуру
  • 5242
  • 451 / 13
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #64 : 26.09.2014, 19:47:17 »
Задонатил. В 104 версии не включается в Firefox по крайней мере. Из-за кавычек по всей видимости.
« Последнее редактирование: 26.09.2014, 20:00:58 от ChaosHead »
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #65 : 26.09.2014, 19:50:02 »
Цитата: ChaosHead от 26.09.2014, 19:47:17
Задонатил. В 104 версии не включается в Firefox по крайней мере. Из-за кавычек по всей видимости.
Можно подробнее? Не включаается плагин или нет реакции?
Кавычки лишние в отдаваемом хэдере? Я это заметил в инспекторе, но везде в интернетах пишут что они "ой как обязательно нужны", и хрому вроде не мешают...
Надо потестить в фоксе тоже.. У меня линукс - соответсвенно нет ни ослика, ни новой Opera (хотя, вроде была бетка).
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #66 : 26.09.2014, 19:50:51 »
И да, пока в плагине отдается только основной заголовок, надо ли внедрять еще два? Как там мобильные браузеры это понимают?
Записан
*

ChaosHead

  • Гуру
  • 5242
  • 451 / 13
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #67 : 26.09.2014, 19:56:48 »
Ещё потестирую, возможно я что-то туплю.

Я имел ввиду, что в 103 версии двойная кавычка была тут
          $st.='"default-src '.$this->params->get('default', '').'; allow \'self\'; ';
А в 104 переехала  в
          header('"Content-Security-Policy: '.$st);
И в 103 директива работала, а в 104 пока у меня не пошла. Но я ещё проверю.
« Последнее редактирование: 26.09.2014, 20:04:50 от ChaosHead »
Записан
*

Rival

  • Захожу иногда
  • 188
  • 16 / 0
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #68 : 26.09.2014, 22:42:43 »
Так и не заработало. Написал в тп, ответили на Litespeed Content-Security-Policy не поддерживается.
Записан
*

annushka

  • Захожу иногда
  • 148
  • 2 / 0
  • Joomla!
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #69 : 27.09.2014, 00:17:38 »
На форуме webledi.ru подхватившие этот или еще какой вирус пишут, что с ним на страницу поиска Google не пускали и на сайт Касперского. Даже антивирус скачать не могли, пришлось винду переустанавливать.
Вот и подумаешь, а не выход ли это? Мне так точно хуже не будет. У меня еще один под эту фигню попал. Раньше с Яндекса трафик тысячами считала, сегодня 19 человек пришло.
Кстати, как накрылся трафик с Яндекса, так и переходы на подставные сайты прекратились. Уже дня три как по нулям. На других сайтах, куда Яндекс со своими хулиганствами еще не добрался, переходы есть.
И я ни в зуб ногой в этом деле, но, может, можно этот запретительный код из сайта того же Каспера выпилить? Или им написать и вежливо попросить?
Сходите с зараженного браузера на Google и Каспера. Что там будет? 8)
И, кстати, получается, что эти товарищи давно в теме и только такой выход пока нашли.
Записан
*

ChaosHead

  • Гуру
  • 5242
  • 451 / 13
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #70 : 27.09.2014, 00:43:29 »
Когда у каждого в доме кроме компьютера еще смартфон и планшет, не смогли - это скорее не захотели думать головой. Точно так-же как и приблуды левые ставят не думая.
Записан
*

zikkuratvk

  • Глобальный модератор
  • 4820
  • 345 / 2
  • Обслуживаем проекты - дорого.
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #71 : 27.09.2014, 01:24:48 »
Выглядит на странице зараженного компа примерно так:
Записан
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #72 : 27.09.2014, 01:47:43 »
Цитата: annushka от 27.09.2014, 00:17:38
Сходите с зараженного браузера на Google и Каспера. Что там будет?
Зашел с зараженного TS Magic - всё нормально
Записан
*

Jester

  • Новичок
  • 1
  • 0 / 0
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #73 : 27.09.2014, 03:01:18 »
Цитата: zikkuratvk от 27.09.2014, 01:24:48
Выглядит на странице зараженного компа примерно так:

А можете скинуть список Расширений\Дополнений которые установлены в браузере?
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #74 : 27.09.2014, 03:13:16 »
Цитата: Jester от 27.09.2014, 03:01:18
А можете скинуть список Расширений\Дополнений которые установлены в браузере?
Это скрин с моей виртуалки и его сайта ))
Стоит вин 8.1 (в виртуалбоксе) + Opera + аддон к ней TS Magic Player, ссылка на него где то выше, но пока вроде его еще не выпилили.
Записан
*

ChaosHead

  • Гуру
  • 5242
  • 451 / 13
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #75 : 27.09.2014, 10:12:00 »
Сейчас там точно двойная кавычка не там стоит - перед '"Content-Security-Policy, а должна перед началом значения директивы "default-src.

Может как-то так
Код
			 $st='';
			 $st.='default-src '.$this->params->get('default', '').'; allow \'self\'; ';
			 $st.='img-src '.$this->params->get('img', '').'; ';
			 $st.='script-src '.$this->params->get('script', '').'; ';
			 $st.='frame-src '.$this->params->get('frame', '').'; ';
			 $st.='object-src '.$this->params->get('object', '').'; ';
			 $st.='inline-src '.$this->params->get('inline', '').'; ';
			 
			  header('Content-Security-Policy: '.'"'.$st.'"');

Нужно на самом деле поле Default тоже нужно большое.

И все три директивы для всех браузеров тоже не помешают.

И ещё косяк не плагина, а всей этой затеи - если не разрешить 'unsafe-eval', то многие соц кнопки и adsense реклама не встраивается, а 'unsafe-eval' - это уже совсем небезопасно :( Но среди соц кнопок выбор есть. Share 42 нормально заработали.
« Последнее редактирование: 27.09.2014, 20:05:22 от ChaosHead »
Записан
*

an0ther

  • Осваиваюсь на форуме
  • 34
  • 9 / 1
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #76 : 27.09.2014, 13:15:48 »
Цитата: ChaosHead от 27.09.2014, 10:12:00
Спойлер
[свернуть]
Нужно на самом деле поле Default тоже нужно большое.

И все три директивы для всех браузеров тоже не помешают.

И ещё косяк не плагина, а всей этой затеи - если не разрешить 'unsafe-eval', то многие соц кнопки и adsense реклама не встраивается, а 'unsafe-eval' - это уже совсем небезопасно :(
Тогда уж вот так, наверное:
Код
			 $st='';
			 $st.='default-src '.$this->params->get('default', '').'; allow \'self\'; ';
			 $st.='img-src '.$this->params->get('img', '').'; ';
			 $st.='script-src '.$this->params->get('script', '').'; ';
			 $st.='frame-src '.$this->params->get('frame', '').'; ';
			 $st.='object-src '.$this->params->get('object', '').'; ';
			 $st.='inline-src '.$this->params->get('inline', '').'; "';
			 
                     // Chrome, IE, Mozilla
                     foreach (array("X-WebKit-CSP", "X-Content-Security-Policy", "Content-Security-Policy") as $csp) 
                     {
                         header($csp . ": " . '"'.$st.'"');
                     }
Записан
*

annushka

  • Захожу иногда
  • 148
  • 2 / 0
  • Joomla!
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #77 : 27.09.2014, 13:34:24 »
Цитата: voland от 27.09.2014, 01:47:43
Зашел с зараженного TS Magic - всё нормально
Мдясь, другая, знать, зараза какая.  8)
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #78 : 27.09.2014, 16:40:32 »
Версия 1.0.5 через обновления - поправил кавычку, сделал параметры в большем окошке, добавил опцию альтернативных заголовков ("X-WebKit-CSP", "X-Content-Security-Policy")
Записан
*

daddy

  • Захожу иногда
  • 141
  • 2 / 0
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #79 : 28.09.2014, 17:42:56 »
И как результат?
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #80 : 29.09.2014, 00:06:21 »
Мой? пока негде проверить, чуть позже смогу.
Но, судя по тестам выше часть вирусов точно отбрасывает.
Записан
*

daddy

  • Захожу иногда
  • 141
  • 2 / 0
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #81 : 29.09.2014, 06:54:24 »
И Ваш результат интересен, и всех остальных, кто поставил плагин. Лично у меня он прибил всю рекламу. И даже то, что показывалось в файрфоксе, почему-то не показывается в Opera. Пока выключил плагин, слежу за темой, надеюсь увидеть здесь положительные результаты и небольшую инструкцию, как его правильно настроить.
Записан
*

annushka

  • Захожу иногда
  • 148
  • 2 / 0
  • Joomla!
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #82 : 29.09.2014, 12:49:36 »
А для пятнашек нету еще?  >:(
Записан
*

zikkuratvk

  • Глобальный модератор
  • 4820
  • 345 / 2
  • Обслуживаем проекты - дорого.
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #83 : 29.09.2014, 13:02:57 »
Цитата: daddy от 29.09.2014, 06:54:24
И Ваш результат интересен, и всех остальных, кто поставил плагин. Лично у меня он прибил всю рекламу. И даже то, что показывалось в файрфоксе, почему-то не показывается в Opera. Пока выключил плагин, слежу за темой, надеюсь увидеть здесь положительные результаты и небольшую инструкцию, как его правильно настроить.
ну дык разрешайте домены, с которых транслируется реклама...
Записан
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg
*

daddy

  • Захожу иногда
  • 141
  • 2 / 0
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #84 : 29.09.2014, 19:36:42 »
На серче все еще никто не нашел решение. А у вас  уже у всех работает? Может кто-нибудь поделится чудесными настройками плагина?
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #85 : 29.09.2014, 19:38:47 »
Чудесных настроек нет и не будет, у каждого сайта свои скрипты, своя добавленная реклама итп..
Я, конечно, постараюсь (часть уже внесена с версии 1,0,4 - если с нуля ставить будут) внести основные скрипты в дефолтные настройки, но все возможные - просто нереально
Записан
*

daddy

  • Захожу иногда
  • 141
  • 2 / 0
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #86 : 29.09.2014, 19:58:55 »
Ну, я не знаю, можно ведь сделать на два абзаца мануал коротенький - в этом поле пишем это, в том - то. В основном нужно, чтобы не блокировалось видео с ютюба, комментарии от вконтакте, кнопки социалок от яндекса, работа счетчиков ли.ру и метрики, а также реклама рся и адсенс. Если у кого-то есть реклама с других сайтов, то дать краткое пояснение, как прописать исключение для такой рекламы. Думается, Вам, как автору, не составит труда это написать, а сообщество джумловодов будет благодарно.
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #87 : 29.09.2014, 20:05:43 »
Да, напишу, вскоре. Дайте инфу собрать ))
Записан
*

daddy

  • Захожу иногда
  • 141
  • 2 / 0
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по н
« Ответ #88 : 29.09.2014, 22:49:41 »
Еще скажите, нужно вот такую штуку прописывать в .htaccess:
Спойлер
[свернуть]

Или и без этого плагин должен работать?
И, если нужно, то как туда добавить РСЯ?

Плагин еще раз скачал (последнюю версию), кроме уже добавленного автором, через пробелы добавил также:
googleads.g.doubleclick.net youtu.be yandex.st pagead2.googlesyndication.com www.joomlatune.ru counter.yadro.ru fonts.googleapis.com subscribe.ru image.subscribe.ru mc.yandex.ru
Но так ничего и не заработало. При включении плагина вырубается вся реклама и видео с ютюба.
« Последнее редактирование: 29.09.2014, 23:00:58 от daddy »
Записан
*

OlgaF

  • Новичок
  • 8
  • 0 / 0
Re: Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса
« Ответ #89 : 30.09.2014, 10:19:24 »
Спасибо большое за плагин!
Только у меня он почему-то не работает совсем. Установила через менеджер расширений, он сразу идет включенным, настройки никакие не прописывала, оставила все как есть. Не работает, как будто его и нет((((
Joomla 2.5
Записан
1 2 3 4 5 ... 7   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Как выявить вредоностный код на CMS Joomla?

Автор stud_pro

 Ответов: 1
Просмотров: 2459 		Последний ответ 23.04.2024, 10:06:10
от wishlight
Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

 Ответов: 1
Просмотров: 3343 		Последний ответ 25.05.2023, 08:49:57
от Театрал
Скрипты защиты Joomla 4

Автор mister_boy

 Ответов: 6
Просмотров: 3328 		Последний ответ 16.05.2023, 16:38:58
от mister_boy
Поставил Joomla 4. Хостинг nic.ru стал ругаться на ошибки безопасности

Автор Oleg+

 Ответов: 5
Просмотров: 2526 		Последний ответ 13.09.2021, 09:23:28
от Oleg+
Joomla 1.5 и 2.5 на одном хостинге

Автор andreU

 Ответов: 28
Просмотров: 14805 		Последний ответ 25.04.2021, 19:42:48
от rsn