Новости Joomla

👩‍💻 Extended Wishlist для JoomShopping 5+.

👩‍💻 Extended Wishlist для JoomShopping 5+.

Extended Wishlist — полностью переработанный список избранных товаров для JoomShopping 5+, значительно удобнее стандартного решения и расширяет его функциональность. Работает через AJAX, быстро и без перезагрузки страниц, обеспечивая современный UX.
- Мгновенная работа на AJAX
- Поддержка авторизованных и гостей
- Иконка добавления везде
- Добавление товаров без ограничений по атрибутам
- Wishlist прямо в корзине и при оформлении
- Собственные шаблоны и кастомизация
- Модуль количества избранного

Страница расширения

@joomlafeed

👩‍💻 ⚠️ Если вы используете JBZoo - проверьте его на уязвимости.

‼️ 👩‍💻 Обновление безопасности для Tassos Framework!

‼️ 👩‍💻 Обновление безопасности для Tassos Framework!

7 января 2026 года греческому разработчику Тассосу Мариносу сообщили об уязвимости в системном плагине Tassos Framework, который входит в состав его расширений для Joomla.

⚠️ Проблема затрагивает следующие расширения:
- Convert Forms - конструктор форм обратной связи для Joomla
- EngageBox - конструктор всплывающих окон для Joomla
- Google Structured Data - пакет плагинов микроразметки для Joomla
- Advanced Custom Fields - пакет плагинов пользовательских полей (видео-сервисы, карты и иже с ними)
- Smile Pack - пакет расширений
- MailChimp Auto-Subscribe

Незамедлительно была проведена полная внутренняя проверка кода, внедрены дополнительные меры проверки и повышения безопасности, а также выпущены исправленные версии всех затронутых расширений. Проблема полностью решена.

👉 Суть уязвимости.
Уязвимость заключалась в том, как плагин Tassos Framework обрабатывал определенные AJAX-запросы через com_ajaxточку входа Joomla. При определенных условиях внутренняя функциональность фреймворка могла быть вызвана без надлежащих ограничений.

В худшем случае это могло позволить неавторизованному злоумышленнику читать файлы, доступные веб-серверу. Это также могло позволить удалять файлы с сервера при выполнении определенных условий.

При определенных обстоятельствах запросы к базе данных могли быть изменены для извлечения данных из базы данных Joomla. В совокупности эти возможности потенциально могли быть использованы для повышения уровня доступа и выполнения несанкционированного кода.

В настоящее время нет никаких доказательств того, что эта уязвимость была использована в реальных условиях.

Немедленно обновите расширения до безопасных версий (Joomla 4/5/6 | Joomla 3):
- Convert Forms - v5.1.1 / v.4.1.1
- EngageBox - v.7.1.1 / v,6,3,9
- Google Structured Data - v.6.1.1 / v.5.6.9
- Advanced Custom Fields - v.3.1.1 / v.2.8.10
- Smile Pack - v.2.1.1 / v.1.2.4.
- MailChimp Auto-Subscribe - v.5.1.1+ / v.5.0.4

Все указанные версии включают в себя релиз безопасности плагина Tassos Framework System Plugin v6.0.62.

Если у вас установлено несколько расширений Tassos, достаточно обновить только одно, чтобы применить патч. Однако всегда рекомендуется обновлять все расширения.

@joomlafeed

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 14 Ответов
  • 1085 Просмотров
*

Resident234

  • Осваиваюсь на форуме
  • 23
  • 0 / 0
Вопрос по безопасности и нагрузке на сервер
« : 29.03.2016, 06:52:11 »
 !
В общем ситуация такая. Есть клиент, которому я сделал несколько сайтов на Joomla. Сайты сидят на его VPS сервере. Сайты были сделаны относительно давно, недавно начались некоторые проблемы.

1) Сайты заразились вирусами, началась с сервера активная рассылка спама, сервер клиента техподдержка в результате заблокировала. На сайтах, сделанных мной установлена Joomla последней версии, расширения тоже относительно новые, имеется ещё один сайт с Joomla 2.5, но его делал не я, его делали ещё ранее другие люди.

2) На сервере с некоторого времени начались проблемы связанные с тем, что жрётся почти вся оперативная память, сайты из-за этого временами ложились (файла подкачки нет насколько я помню).

Так вот, в связи с этими двумя проблемами клиент на меня пытается конкретно наседать. Мол ты сделал коряво сайты, поэтому они жрут много опер памяти и позаражались вирусами, давай переделывай всё нормально... (притом в довольно резких выражениях, но это не суть важно)

Моя позиция примерно такова: моей задачей было сделать сайты и не более того, вопросы безопасности сайтов и сервера, а так-же вопросы работы сайтов и работы сервера меня не касаются, я не нанимался на должность администратора...

Таким образом у меня с клиентом конфликт капитальный возник.

Собственно, нужен совет от опытных людей: как поступить в такой ситуации?
Слать клиента с его претензиями куда подальше ?
Известно, что Joomla довольно уязвимая система, в чём причина расхода оперативной памяти, тоже ещё толком не установлено...
Сделал я этот сайт, и что теперь, я прям в ответе за любые дальнейшие потрясения, которые с ним могут произойти ?

 
Записан
*

Arkadiy

  • Гуру
  • 5317
  • 463 / 2
  • Крепитесь, други.
Re: Вопрос по безопасности и нагрузке на сервер
« Ответ #1 : 29.03.2016, 07:06:09 »
Joomla не уязвимее остальных cms, а клиента надо мягко слать к тому, кто занимается поддержкой сайта, вовремя обновляет и следит за вирусами. Если такого человека нет, то надо слать на поиск этого человека. По расходу памяти надо сначала разобраться в чем проблема, потом делать выводы. Разбираться должен серверщик. Если проблема в ваших скриптах, то тут можно спорить дальше, либо устранить проблему, если не в них, то вообще вопрос снят.
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Вопрос по безопасности и нагрузке на сервер
« Ответ #2 : 29.03.2016, 07:14:16 »
Админа сервера я так понимаю нет?
))
Записан
*

Resident234

  • Осваиваюсь на форуме
  • 23
  • 0 / 0
Re: Вопрос по безопасности и нагрузке на сервер
« Ответ #3 : 29.03.2016, 09:06:23 »
Админа сервера нет, когда я занимался созданием сайтов для клиента, я временами приглядывал за сервером, но я не поступал к нему на должность администратора сервера.
Человека который занимается поддержкой сайта, тоже у него нет, и я к нему тоже на эту должность не нанимался.
"Если проблема в ваших скриптах, то тут можно спорить дальше" - ну скрипты то особо не мои, сторонние компоненты и плагины, я вмешивался в код по минимуму.

Сейчас клиент начал требовать возврат денег в полном объёме, и думаю, что он слишком много хочет.
Записан
*

xodapi

  • Новичок
  • 7
  • 0 / 0
Re: Вопрос по безопасности и нагрузке на сервер
« Ответ #4 : 29.03.2016, 09:16:40 »
думаю надо привести примеры из жизненной практики.
Я сопровождаю сайт клиенту более 10 лет, фактически посредник между фрилансерами и ним, так уровень знаний не позволяет поставить задачу.
Ваше дело сделано. На будущее пункт в договоре такой не помешает, по дальнейшему сопровождению сайта. Немногие из моих знакомых занимающихся созданием сайтов- их в дальнейшем сопровождают за ежемесячное вознаграждение. Либо от случая к случая, но не безвозмездно.
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Вопрос по безопасности и нагрузке на сервер
« Ответ #5 : 29.03.2016, 09:17:54 »
Цитата: Resident234 от 29.03.2016, 09:06:23
Сейчас клиент начал требовать возврат денег в полном объёме, и думаю, что он слишком много хочет.
То, что сайты клиента заражены вредоносным кодом, вина самого клиента (хотя, я условий вашего договора не знаю). Создать сайт - это полдела, грамотно настроить VPS-еще полдела, но этого мало, за сайтами следить нужно, вовремя обновлять...

Сейчас все, что можно порекомендовать вашему клиенту - искать человека и лечить сайты, настраивать все. А не искать виноватых.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Resident234

  • Осваиваюсь на форуме
  • 23
  • 0 / 0
Re: Вопрос по безопасности и нагрузке на сервер
« Ответ #6 : 29.03.2016, 10:02:37 »
"хотя, я условий вашего договора не знаю"-юридически никакого договора и не было, а фактически я брал задачу на создание сайта и не более.

спасибо всем за советы.

Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Вопрос по безопасности и нагрузке на сервер
« Ответ #7 : 29.03.2016, 10:07:15 »
Аудит есть.На чем основаны слова клиента, что именно ваша работа причина багов работы хостинга ?
Записан
*

Resident234

  • Осваиваюсь на форуме
  • 23
  • 0 / 0
Re: Вопрос по безопасности и нагрузке на сервер
« Ответ #8 : 29.03.2016, 12:07:15 »
по части вирусов: ни на чём. Он просто заявляет мне, что сайты сделаны коряво, раз уж они заразились вирусами.
по части расхода оперативной памяти: он заявил мне, что тех.поддержка хостинга, который предоставляет ему VPS, сообщила ему, что сайты настроены неверно и поэтому на сервере потребляется много памяти. Более подробных разъяснений я от него не дождался, так же как и доказательств заключений тех.поддержки, и вообще того, каким образом тех.поддержка пришла к такому выводу.  Что на CMS со стандартными настройками и расширениями из оф. репозитория (JED) может быть не так настроено ? Там суперэкстремального кода не писалось, который мог бы создать такой расход оперпамяти. В ответ от клиента я получаю комментарии, приближённые к хамству..
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Вопрос по безопасности и нагрузке на сервер
« Ответ #9 : 29.03.2016, 12:14:26 »
В принципе можно и самому узнать с какого скрипта рассылается спам или пусть хостер даст лог mail.log, и посмотреть в логах хостинга access.log, кто создает много запросов к серверу.
Забанив бот-поисковиков, можно снизить нагрузку на сервер.
Записан
*

wishlight

  • Гуру
  • 5078
  • 320 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Вопрос по безопасности и нагрузке на сервер
« Ответ #10 : 29.03.2016, 13:22:35 »
Если вы только делали, а не подписывались на администрирование, то это дело клиента.
Записан
*

flyingspook

  • Живу я здесь
  • 3590
  • 247 / 9
Re: Вопрос по безопасности и нагрузке на сервер
« Ответ #11 : 29.03.2016, 14:05:23 »
Вежливо пошлите такого заказчика.
Записан
*

Resident234

  • Осваиваюсь на форуме
  • 23
  • 0 / 0
Re: Вопрос по безопасности и нагрузке на сервер
« Ответ #12 : 29.03.2016, 16:51:48 »
Уууу, теперь пошли обвинения, что я намерено заразил сайты вирусами. Это уже слишком...
Записан
*

wishlight

  • Гуру
  • 5078
  • 320 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Вопрос по безопасности и нагрузке на сервер
« Ответ #13 : 29.03.2016, 17:21:37 »
Скоро тут на форуме будет жаловаться походу.
Записан
*

Morh

  • Захожу иногда
  • 118
  • 11 / 0
Re: Вопрос по безопасности и нагрузке на сервер
« Ответ #14 : 01.04.2016, 08:47:02 »
Объясните ему, почему и как сайты заражаются вирусами. Проведите краткий экскурс. Укажите на необходимость обновления, хотя бы минимальной поддержки, грамотной парольной политики. А затем плавно, плавно отходите от работы с ним вообще. Если будет продолжать наседать, пошлите подальше и прервите контакт. Я такими за любое вознаграждение стараюсь дел не иметь.
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Вопрос по шаблону Flex

Автор Invictus

 Ответов: 0
Просмотров: 751 		Последний ответ 06.02.2025, 21:10:46
от Invictus
Валидация формы с загрузкой файлов на сервер

Автор kuliev

 Ответов: 4
Просмотров: 1298 		Последний ответ 17.01.2025, 14:38:44
от kuliev
Нагрузка на сервер

Автор siao

 Ответов: 34
Просмотров: 5331 		Последний ответ 17.06.2022, 15:42:24
от ChaosHead
Грузит ли умный поиск Joomla сервер, как обычный поиск?

Автор web1

 Ответов: 0
Просмотров: 823 		Последний ответ 07.10.2021, 16:14:19
от web1
Вопрос по роутеру: вложенность статей друг в друга

Автор effrit

 Ответов: 6
Просмотров: 1036 		Последний ответ 30.09.2021, 10:17:15
от sivers