Новости Joomla

‼️👩‍💻 Релиз безопасности Astroid 3.3.11 - шаблона-конструктора для Joomla.

‼️👩‍💻 Релиз безопасности Astroid 3.3.11 - шаблона-конструктора для Joomla.

14 часов назад (на момент публикации заметки) была обнаружена уязвимость в популярном шаблоне-конструкторе Astroid Framework. При атаке на сайт устанавливается бэкдор — системный плагин под названием plg_system_blpayload. Если вы обнаружили этот плагин на своем веб-сайте, значит, он скомпрометирован, и вам необходимо восстановить чистую резервную копию, созданную до установки плагина.

Уязвимость позволяет загружать файлы на сайт и в дальнейшем получить права администратора Joomla.
В рамках атаки (из-за которой и была обнаружена уязвимость) на сайт устанавливался плагин plg_system_blpayload, который при каждой загрузке страницы снаружи он скрытно связывается с (платформой для SEO, работающей на черном рынке (ссылку помещать не будем, просим поверить на слово). Получает список скрытых спам-ссылок (сайты азартных игр, фишинга, мошенничества), подобранный под ваш домен, затем внедряет эти ссылки в HTML-код вашей страницы непосредственно перед рендером - невидимые для посетителей, но полностью читаемые поисковыми роботами. Это называется "отравление SEO" ("отрпавление поисковой выдачи").

Однако, эта уязвимость может использоваться в других целях. Поэтому необходимо срочно проверить ваши сайты, где стоит Astroid Framework и обновить его до версии не ниже 3.3.11. Релиз безопасности выпущен 4 часа назад (на момент написания заметки).

Скачать релиз безопасности Astroid

@joomlafeed

👩‍💻 Вышел Quantum Manager 3.3.0 - медиа менеджер для Joomla.

👩‍💻 Вышел Quantum Manager 3.3.0 - медиа менеджер для Joomla.

Популярный файловый менеджер для Joomla от отечественных разработчиков.

v.3.3.0. Что нового?
- Joomla 6. Компонент полностью совместим с Joomla 6, плагин обратной совместимости не требуется.
- Рефакторинг. Полностью удалён устаревший код, оставшийся в наследство от версий для Joomla 3.
- Новые настройки для SVG. Новые параметры фильтрации SVG-файлов.
- Улучшена безопасная функция предварительного просмотра SVG-файлов. Благодаря новым механизмам фильтрации восстановлена ​​возможность безопасного предварительного просмотра SVG-изображений.
- Исправления ошибок. Исправлены ошибки с данными EXIF ​​и обновлена ​​библиотека EXIF.

Читать новость
Скачать расширение

Также обновление получил плагин пользовательского поля Radicalmultifield для совместимости с новым Quantum Manager.

Репозиторий GitHub
Релиз на GitHub

@joomlafeed

Joomla по-русски — возвращение к истокам

Joomla по-русски — возвращение к истокам

С 1 марта 2026 года наш проект меняет название. Joomla Russia становится Joomla по-русски.

Это давно напрашивалось, со времён редизайна сайта, но тут подвернулся повод.

Поводом послужили новые требования российского законодательства об использовании русскоязычных наименований для отечественных проектов. Но мы воспринимаем это не как обязанность, а как хороший толчок сделать то, о чём думали и раньше.

Joomla по-русски — для всех, кто творит сайты на великом и могучем.

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 8 Ответов
  • 2159 Просмотров
*

RYUMASHKIN

  • Осваиваюсь на форуме
  • 10
  • 0 / 0
[Решено] Миграция пользователей и хеширование паролей
« : 02.10.2016, 09:03:16 »
Доброго времени суток достопочтенные форумчане.
Возник вопрос следующего толка.
Необходимо состыковать БД стороннего скрипта и Joomla соответсвенно, и соответственно перенести пользователей в Joomla чтобы олни могли авторизоваться со своими паролями.

Не подскажите как правильно завернуть пароль ?? Если не сложно то на простом примере.
« Последнее редактирование: 04.10.2016, 05:07:55 от RYUMASHKIN »
Записан
*

Arkadiy

  • Гуру
  • 5317
  • 463 / 2
  • Крепитесь, други.
Re: Миграция пользователей и хеширование паролей
« Ответ #1 : 02.10.2016, 09:14:54 »
md5 поможет, если у вас в стороннем скрипте пароль хранится в открытом виде, если нет, то никак.
Записан
*

RYUMASHKIN

  • Осваиваюсь на форуме
  • 10
  • 0 / 0
Re: Миграция пользователей и хеширование паролей
« Ответ #2 : 02.10.2016, 09:37:00 »
Цитата: Arkadiy от 02.10.2016, 09:14:54
md5 поможет, если у вас в стороннем скрипте пароль хранится в открытом виде, если нет, то никак.
То есть, вы хотите сказать что пароль в Joomla хранится просто в MD5?? Без солей и свистоплясок?  Да быть такого не может.
Записан
*

RYUMASHKIN

  • Осваиваюсь на форуме
  • 10
  • 0 / 0
Re: Миграция пользователей и хеширование паролей
« Ответ #3 : 02.10.2016, 10:14:04 »
Ладно, зайдем с другой стороны.
Со стороннего скрипта я перенесу пользователей с принудительной сменой пароля к примеру.
Отправлю ему письмо со ссылкой на активацию нового пароля.
И теперь вопрос каким образом мне захешировать этот новый пароль для записи в БД??
К примеру у меня это работает образно говоря так

Код
$passwd = sha1($pkey . $password);
//где $pkey - это персональный уникальный ключ генерируемый для пользователя
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Миграция пользователей и хеширование паролей
« Ответ #4 : 02.10.2016, 11:33:53 »
Arkadiy немного о другом говорил. Пароли в Joomla хранятся не просто в виде хеша с солью, там другой алгоритм. В Joomla 3 паролями занимается класс JCrypt. Проверить свой пароль можно так:
   
Код: php
<?php
//проверка пароля в Joomla 3.х из стороннего скрипта. Этот скрипт лежит в корне сайта.
    if (!defined('_JEXEC')) {//подключение к Joomla
        define('_JEXEC', 1);
        define('JPATH_BASE', dirname(__FILE__));
        define('DS', DIRECTORY_SEPARATOR);
        require_once JPATH_BASE . DS . 'includes' . DS . 'defines.php';
        require_once JPATH_BASE . DS . 'includes' . DS . 'framework.php';
    }

//проверка пароля   
    $user = JFactory:: getUser('admin');//проверяем пользователя с логином admin
    $Password = "test";// пароль
 
    $verifyPass = JUserHelper::verifyPassword($Password, $user->password, $user->id);
    if($verifyPass) {echo 'Верный пароль!';}else{echo 'Неверный пароль!';}
?>

Так же можете в файле libraries\joomla\crypt\password\simple.php посмотреть, как Joomla обрабатывает разные типы паролей.

Вторую часть вопроса не понял. Если вы переносите своих пользователей в Joomla, то естественно ваш алгоритм создания хеша отличается от алгоритма этой CMS и пароль она дешифровать не сможет. Но вы можете пойти другим путем - сгенерировать всем новые пароли и сохранить их в MD5. В админке (или в БД) можете всех новых пользователейй деактивировать и уведомить о том, что нужно срочно сменить пароль. При этом пароль для каждого пользователя вместе с уведомлением выслать на e-mail. Пользователь зайдет уже в Joomla и создаст в ней свой пароль.

Конечно, можно поизвращаться, например, сбрутить все ваши sha1-пароли, но это вряд ли целесобразно. Как я понял из беглого просмотра исходников, Joomla 3 использует шифрование Blowfish, но поддерживает и md5. Поэтому вам проще сгенерировать пароли именно в MD5 и выслать их юзерам, чем заниматься какими то дополнительными обработками.

Цитата: RYUMASHKIN от 02.10.2016, 09:37:00
То есть, вы хотите сказать что пароль в Joomla хранится просто в MD5?? Без солей и свистоплясок?  Да быть такого не может.
По умолчанию - нет. Но такая возможность поддерживается.
« Последнее редактирование: 02.10.2016, 12:04:38 от SeBun »
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

RYUMASHKIN

  • Осваиваюсь на форуме
  • 10
  • 0 / 0
Re: Миграция пользователей и хеширование паролей
« Ответ #5 : 02.10.2016, 17:22:36 »
Цитата: SeBun от 02.10.2016, 11:33:53
Arkadiy немного о другом говорил. Пароли в Joomla хранятся не просто в виде хеша с солью, там другой алгоритм. В Joomla 3 паролями занимается класс JCrypt. Проверить свой пароль можно так:
   
Код: php
<?php
//проверка пароля в Joomla 3.х из стороннего скрипта. Этот скрипт лежит в корне сайта.
    if (!defined('_JEXEC')) {//подключение к Joomla
        define('_JEXEC', 1);
        define('JPATH_BASE', dirname(__FILE__));
        define('DS', DIRECTORY_SEPARATOR);
        require_once JPATH_BASE . DS . 'includes' . DS . 'defines.php';
        require_once JPATH_BASE . DS . 'includes' . DS . 'framework.php';
    }

//проверка пароля   
    $user = JFactory:: getUser('admin');//проверяем пользователя с логином admin
    $Password = "test";// пароль
 
    $verifyPass = JUserHelper::verifyPassword($Password, $user->password, $user->id);
    if($verifyPass) {echo 'Верный пароль!';}else{echo 'Неверный пароль!';}
?>

Так же можете в файле libraries\joomla\crypt\password\simple.php посмотреть, как Joomla обрабатывает разные типы паролей.

Вторую часть вопроса не понял. Если вы переносите своих пользователей в Joomla, то естественно ваш алгоритм создания хеша отличается от алгоритма этой CMS и пароль она дешифровать не сможет. Но вы можете пойти другим путем - сгенерировать всем новые пароли и сохранить их в MD5. В админке (или в БД) можете всех новых пользователейй деактивировать и уведомить о том, что нужно срочно сменить пароль. При этом пароль для каждого пользователя вместе с уведомлением выслать на e-mail. Пользователь зайдет уже в Joomla и создаст в ней свой пароль.

Конечно, можно поизвращаться, например, сбрутить все ваши sha1-пароли, но это вряд ли целесобразно. Как я понял из беглого просмотра исходников, Joomla 3 использует шифрование Blowfish, но поддерживает и md5. Поэтому вам проще сгенерировать пароли именно в MD5 и выслать их юзерам, чем заниматься какими то дополнительными обработками.
По умолчанию - нет. Но такая возможность поддерживается.


Я планировал сделать просто.
В цикле я делаю выборку из БД
имя пользователя, email и инициирую для всех пользователей автоматически процедуру смены пароля. Тут я в принципе могу не мучиться и создать пользователя в таблице с любым значением хеша в поле пароля.
Отправляю пользователю письмо со ссылкой на смену пароля.
И вот этот введенный новый пароль мне нужно будет захешировать в 2 базы.
Как в мою базу происходит процесс я понимаю, потому и интересуюсь как хешировать пароль для Joomla. Хотелось бы просто оставить процесс регистрации, активации, смены пароля на моем скрипте.

Но возможно, наверное так даже будет проще, все действия с учетными записями передать в Joomla  только дописать функции для создания пользователей в моей базе данных с моим алгоритмом хеширования.

Записан
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Миграция пользователей и хеширование паролей
« Ответ #6 : 02.10.2016, 17:46:50 »
ну вам же дали метод JUserHelper::verifyPassword($Password, $user->password, $user->id), ну посмотрите же его :) ну не копировать же простыни кода, если файлы доступны всем. вам нужна часть, в которой участвует третий переданный параметр $user->id (запускается механизм перехеширования, если используемый алгоритм старый, например md5)
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Arkadiy

  • Гуру
  • 5317
  • 463 / 2
  • Крепитесь, други.
Re: Миграция пользователей и хеширование паролей
« Ответ #7 : 02.10.2016, 19:26:08 »
Цитата: RYUMASHKIN от 02.10.2016, 09:37:00
То есть, вы хотите сказать что пароль в Joomla хранится просто в MD5?? Без солей и свистоплясок?  Да быть такого не может.
соль есть, но для совместимости со старыми паролями понимает и без соли.
Записан
*

RYUMASHKIN

  • Осваиваюсь на форуме
  • 10
  • 0 / 0
Re: Миграция пользователей и хеширование паролей
« Ответ #8 : 04.10.2016, 05:07:30 »
Всем спасибо кто отозвался, нужно было просто плюнуть на все и отдохнуть денек.
После отдыха посмотрел=>почтила=>реализовал.
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

[Решено] Вывод значений из custom fields материала в модуле по имени поля

Автор goga_pgasovav

 Ответов: 3
Просмотров: 2929 		Последний ответ 30.12.2024, 13:22:11
от goga_pgasovav
[Решено] Получить category description image в index.php шаблона

Автор goga_pgasovav

 Ответов: 6
Просмотров: 2444 		Последний ответ 12.07.2024, 17:06:14
от goga_pgasovav
[Решено] Перестали работать переходы по меню сайта

Автор AlexP750

 Ответов: 12
Просмотров: 2846 		Последний ответ 06.02.2024, 12:42:26
от AlexP750
[Решено] Ссылка на домен и текущий шаблон в блоге категории

Автор goga_pgasovav

 Ответов: 2
Просмотров: 1316 		Последний ответ 06.03.2023, 16:30:23
от goga_pgasovav
[Решено] Не добавляется CSS-класс страницы

Автор Strelok760

 Ответов: 16
Просмотров: 2312 		Последний ответ 02.03.2023, 16:14:47
от Танита Сар