Хакерское коверкание адресов в Joomla и попытка борьбы с ним при помощи атрибута canonical - Безопасность сайтов на Joomla

Столкнулся на своём сайте со следующей проблемой.

Сайт сделан на Joomla 3.0.0. Сейчас некие хакеры постоянно заходят на него со слегка исковерканных адресов. Выбирают самые посещаемые статьи сайта – и слегка видоизменяют их адрес, обычно «модифицируя» в нём всего лишь одну букву.

Если при этом в адресе сохраняется правильный номер id, Joomla после такого изменения, как ни в чём не бывало, выдаёт нужную страницу. Поисковики заглатывают видоизменённый адрес: в результате Google может выдавать на эту страницу одну ссылку, Яндекс – другую, Mail – третью и т. д. Возможно, что даже в одном и том же поисковике по одному запросу на страницу может выдаваться ссылка с одним адресом, а по другому запросу – с другим, исковерканным хакером.

В итоге рейтинг лучших статей резко снижается, так как число посетителей начинает дробиться между якобы существующими несколькими материалами. Материал по этой причине перестаёт быть топовым, идёт в рейтингах вниз.

Дёшево и сердито: даже и без взлома сайта удаётся нанести ему весьма серьёзный ущерб.

Мой сайт в последнее время просто бомбардируют такими атаками. Каждый день вижу в Яндекс Метрике по одному-два «левых» адреса – и именно на самые посещаемые страницы. А Joomla по этим левым адресам прекрасно открывает искомые материалы, не выдавая ошибки 404! Её разработчики, видимо, хотели таким образом вложить в систему крупное преимущество, а получился сильнейший недостаток!

Служба поддержки Яндекса посоветовала мне решить вопрос правильным указанием на страницах атрибута canonical.

В Joomla 3, как известно, с этим атрибутом серьёзные проблемы. Но я произвёл правку кода системы по способу, указанному в статье http://www.webengineer.pro/refinement-of-joomla-and-her-extensions/12-ispravlenie-oshibki-kanonicheskikh-ssylok-v-joomla-3x.

После этого canonical стал указываться правильно, но только в случаях правильного указания адреса статьи. Однако для тех адресов, которые исковерканы хакерами, он пишется неверно.

Хакерское коверканье имеет две разновидности. В первом случае меняется ИМЯ МАТЕРИАЛА, т. е. последняя часть адреса (после номера id). В этом случае для адреса, к примеру:

имя-сайта/index.php/имя-категории/18-abcd

в атрибуте canonical получим

имя-сайта/index.php/имя-категории?catid=18&id=18:abcd

Это сравнительно небольшое изменение. Здесь из canonical надо удалить лишь ненужный дополнительный фрагмент. Данную проблему мне сравнительно легко удалось решить лёгкой дополнительной правкой кода.

Но дело становится хуже, когда хакеры коверкают ИМЯ КАТЕГОРИИ материала, т. е., к примеру, вместо

имя-сайта/index.php/имя-категории/18-abcd

пишут

имя-сайта/index.php/имя-кат/18-abcd

в этом случае в canonical получаем

имя-сайта?catid=0&id=18

Здесь из canonical пропадает имя категории. И чтобы исправить это выражение, нужно определить это имя по id материала.

Как это сделать? Возможность, безусловно, есть, ибо Joomla, если ввести в неё, скажем, адрес "имя сайта/index.php/18", выдаст не ошибку 404, а страницу материала с id=18 – то есть определит категорию правильно.


Не подскажет ли кто из продвинутых знатоков, как в Joomla программно найти по id полный адрес материала, с именем категории? Если он будет установлен, выделить имя категории и сформировать в canonical нужный результат даже при моём среднем знании PHP будет совсем нетрудно.

очень прошу тех, кто хорошо знаком с Joomla-программированием как-нибудь помочь в этой беде, которая в последнее время просто достала!  ! Новые «левые» адреса вижу Яндекс Метрике ежедневно! Боролся с ними через robots.txt, но там число записей теперь уже увеличилось как в хорошем телефонном справочнике.

Ещё раз хочу обратить внимание всех: проблема эта очень важна. Речь идёт о виде хакерства, который приобретает сейчас широчайший размах.  

В Joomla 3.3.6 у меня всё прекрасно с canonical в стандартных материалах.
Можно скачать тут: http://joomlaportal.ru/news/release-news/2488-joomla-3-3-6-stable
На 3.0.0. оставаться не советую.

Последняя версия 3.4, но там какой-то переломный релиз и этот тег то ли убрали намеренно, то ли временно отключили. Пока непонятно.

В версии 2.5 был специальных хак: http://joomlaforum.ru/index.php/topic,193079.new.html

В Joomla 3.3.6 у меня всё прекрасно с canonical в стандартных материалах.

ChaosHead, дело не в этом. В стандартных материалах (т. е. введении правильного адреса страницы) и у меня после правки кода двух файлов, описанной здесь, всё нормально. Речь о том, что некие люди с целью нанесения вреда сайту специально вводят неправильные адреса. Если в адресной строке при этом сохраняется верный номер id, Joomla нормально открывает страницу с этим id. Но canonical в этих случаях пишется неверно. И его фиксируют поисковики - со всеми вытекающими последствиями.

Для решения проблемы нужно либо программно определить в Joomla имя категории страницы по её id, либо вообще отключить там возможность выводить страницу по неточному адресу (пусть бы выдавалась ошибка 404). Не сможет ли кто подсказать способ сделать или первое, или второе?

А не проще разобраться с хакерами?

Может вам пригодится вот такой плагин.

ChaosHead, дело не в этом. В стандартных материалах (т. е. введении правильного адреса страницы) и у меня после правки кода двух файлов, описанной здесь, всё нормально. Речь о том, что некие люди с целью нанесения вреда сайту специально вводят неправильные адреса. Если в адресной строке при этом сохраняется верный номер id, Joomla нормально открывает страницу с этим id. Но canonical в этих случаях пишется неверно. И его фиксируют поисковики - со всеми вытекающими последствиями.

Для решения проблемы нужно требуется либо программно определить в Joomla имя категории страницы по её id, либо вообще отключить там возможность выводить страницу по неточному адресу (пусть бы выдавалась ошибка 404). Не сможет ли кто подсказать способ сделать или первое, или второе?

Может не совсем правильно понял суть вопроса...
программно определить в Joomla имя категории страницы по её id - эти данные хранятся в бд, от туда и выводить их своим кодом
На счет битых запросов, может имеет смысл посмотреть в сторону mod_rewrite?

Может не совсем правильно понял суть вопроса...
программно определить в Joomla имя категории страницы по её id - эти данные хранятся в бд, от туда и выводить их своим кодом

Вопрос вы поняли правильно. Только как это сделать? Я отчасти знаком с PHP, но совсем не разбираюсь в классах и методах Joomla. Поэтому спрашиваю: никто не подскажет, при помощи каких именно из них можно обратиться к базе и по номеру id узнать имя категории, где материал с этим id находится?

На счет битых запросов, может имеет смысл посмотреть в сторону mod_rewrite?

Думаю, что это имело бы смысл, если бы битых запросов было немного, и их все было бы нетрудно перечислить в htaccess сравнительно коротким списком. Но новый битый адрес вижу в Метрике практически каждый день. Я уже использую для их "нейтрализации" robots.txt, а это даёт почти тот же эффект, что mod_rewrite. И robots разросся до неприличных размеров.

Mod_rewrite имел бы смысл и в случае, если бы адреса изменялись по какой-то закономерности, которую можно было бы записать путём регулярного выражения. Но нет - коверкают очень разнообразными способами.

Удивлён тем, что для большинства ответивших эта проблема. похоже, незнакома. А на другом крупном форуме мне ответили, что она очень давнишняя...

Может вам пригодится вот такой плагин.

Спасибо, посмотрю поподробнее. Но уже вижу на этой странице: "JL NO DOUBLES редирект не срабатывает для категорий"

Решение этой проблемы ожидается в версии 3.5 http://issues.joomla.org/tracker/joomla-cms/6217

Ну так смотрите все что выводится на странице и увидите id/

var_damp
print_r