Новости Joomla

Вышел JoomShopping 5.8.0 - компонент интернет-магазина для Joomla

Вышел JoomShopping 5.8.0 - компонент интернет-магазина для Joomla.Список изменений:- добавлена галочка "обязательный" для атрибутов- атрибуты, значения, свободные атрибуты, характеристики и их значения могут быть опубликованы / не опубликованы- добавлены новые триггеры для плагинов- обновление немецкой локализации- сортировка логов для администраторов в режиме разработчика- выбор видео, файлов и демо-файлов товара из папки на сервере- исправления роутера (построение ссылок JoomShopping)- редактирование заказа: автоматический расчет налогов- для разработчиков аддонов: новый метод addMultiLangFieldTable- правки тёмной темыи другие изменения.Обзор некоторых из них можно посмотреть в видео на YouTube.@joomlafeed#расширения #JoomShopping

Joomla. Когда они это починят?

Статья Joomla Community Magazine 2015 года, но тема в ней актуальна была и до и после её публикации. Проблема, которая поднимается в этой статье касается не только Joomla, но и любого программного обеспечения.

Каждый раз, когда выходит новая версия всегда найдутся люди, спрашивающие: "Когда они это починят?". Или вопиющих: "этой проблеме уже много лет!". Но для того, чтобы ошибку исправить нужно чтобы кто-то её обнаружил. И не только обнаружил, но и сообщил об этом. Тогда вероятность того, что ошибку исправят будет гораздо выше.

Загадочный параметр $live_site в configuration.php Joomla

Загадочный параметр $live_site в configuration.php Joomla

Давным-давно, когда Joomla ещё была маленькой, в неё внедрили параметр $live_site. В ней хранился домен текущего сайта на случай, если Joomla не могла его определить из-за неверной настройки сервера. Нужно это было для разных SEO-компонентов, для использования редиректов и т.д.

Со временем для работы собственно сайта этот параметр перестал быть нужным. Уже в начале 2010-х стали встречаться рекомендации оставлять этот параметр пустым, дабы оный не привёл к лишним проблемам и путанице. Тем более, в web-админке нет места, где его можно указать или посмотреть его значение. Только в configuration.php, а туда смотрят не часто.

Однако, параметр всё же остался в ядре Joomla. Зачем он нужен? А нужен он в 2-х случаях:

  • для работы класса Joomla\CMS\Uri\Uri, который часто используется в коде Joomla для работы методов
    Uri::root() и
    Uri::base(), а значит может влиять и на работу в том числе ajax-скриптов.
  • для работы Joomla в CLI - командной строке сервера. В случае если вы используете в вашем CLI-плагине методы опять-таки класса Uri, то CLI ничего не знает о текущем домене, так как запускается вне web-сервера.

Поэтому домен нужно указывать принудительно. Либо с помощью параметра командной строки

--live-site, например,
—live-site=https://site.ru/. Со слешем на конце, иначе в CLI адрес сайта станет
https://site.rujoomla.php.Либо в параметре
$live_site в файле configuration.php, так как
CliApplication берёт настройку оттуда, если параметр команды не указан или пуст.

⚠️ Иначе в качестве хоста и url класса Uri будет установлено https://joomla.invalid/set/by/console/application. В самом же коде команды получить параметр

$live_site можно из объекта приложения

<?php
protected function doExecute(InputInterface $input, OutputInterface $output): int
    {
         //...
              $live_site = $this->getApplication()->get('live_site');
         //...
    }

и исходя из этого строить дальнейшую логику.

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 12 Ответов
  • 1614 Просмотров
*

cntrl

  • Захожу иногда
  • 181
  • 6 / 0
PHP в режиме FastCGI и права на файлы
« : 28.08.2020, 22:56:48 »
Заметил, что в режиме FastCGI в админке Joomla показывает все папки в структуре зеленым, т.е. доступными на запись из PHP. Хотя права я всегда ставлю 755 и 644 и 444 на configuration.php и .htaccess, они такие и стоят. Надо ли в режиме FastCGI, для безопасности, ставить более низкие права файлы домашней директории? Спасибо.
Записан
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: PHP в режиме FastCGI и права на файлы
« Ответ #1 : 29.08.2020, 10:41:18 »
Не надо. Это стандарт 755 644 444
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: PHP в режиме FastCGI и права на файлы
« Ответ #2 : 05.09.2020, 10:55:22 »
Я бы поставил, на папки 555, на файлы 444, к примеру не известным путем если злоумышленик получил доступ к админке, как минимум он уже не сможет залить шелл или отредактировать шаблон для встройки своего кода....
Записан
*

cntrl

  • Захожу иногда
  • 181
  • 6 / 0
Re: PHP в режиме FastCGI и права на файлы
« Ответ #3 : 06.09.2020, 01:35:28 »
Цитата: winstrool от 05.09.2020, 10:55:22
Я бы поставил, на папки 555, на файлы 444, к примеру не известным путем если злоумышленик получил доступ к админке, как минимум он уже не сможет залить шелл или отредактировать шаблон для встройки своего кода....
Логика понятна, я тоже так первым делом подумал, но не перебор ли? Владелец ресурса активно работает с сайтом, в тех случаях когда годами висят без движения, возможно, да, но если сайт динамический, с кучей форм, отправкой файлов через них и тп.
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: PHP в режиме FastCGI и права на файлы
« Ответ #4 : 06.09.2020, 08:37:23 »
Цитата: cntrl от 06.09.2020, 01:35:28
но не перебор ли? Владелец ресурса активно работает с сайтом, в тех случаях когда годами висят без движения, возможно, да, но если сайт динамический, с кучей форм, отправкой файлов через них и тп.
Дык можно дать права стандартные 755/644 на нужные папки, а остальные 555/444 и в папки, куда добавляют файлы- положить .htaccess , с запретом на выполнение PHP
Записан
*

ProtectYourSite

  • Живу я здесь
  • 2364
  • 137 / 4
  • Безопасность вебсайтов
Re: PHP в режиме FastCGI и права на файлы
« Ответ #5 : 06.09.2020, 12:33:28 »
Цитата: draff от 06.09.2020, 08:37:23
в папки, куда добавляют файлы- положить .htaccess , с запретом на выполнение PHP
Открою секрет, такой .htaccess можно почти во все папки положить, если написано по канонам Joomla
Записан
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: PHP в режиме FastCGI и права на файлы
« Ответ #6 : 06.09.2020, 14:09:09 »
Цитата: ProtectYourSite от 06.09.2020, 12:33:28
Открою секрет, такой .htaccess можно почти во все папки положить, если написано по канонам Joomla
Открою секрет, такой .htaccess, можно переименовать при определенных условиях RCE, с расшареной папкой 755
Записан
*

ProtectYourSite

  • Живу я здесь
  • 2364
  • 137 / 4
  • Безопасность вебсайтов
Re: PHP в режиме FastCGI и права на файлы
« Ответ #7 : 06.09.2020, 14:16:54 »
Ну так никто не спорит, что надо правильно настраивать права и группы
Записан
*

cntrl

  • Захожу иногда
  • 181
  • 6 / 0
Re: PHP в режиме FastCGI и права на файлы
« Ответ #8 : 07.09.2020, 02:46:42 »
Хоть в информации о папках всё зелёное, через загрузку пакета я сегодня расширение не смог установить. Только скопировав его в /tmp, поставил оттуда. А может есть мануал? какие права на диры Joomla в режиме FastCGI надо ставить, я раньше как модуль апача всегда работал, там всё понятно было. А тут решил попробовать, это в новинку для меня.
Записан
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: PHP в режиме FastCGI и права на файлы
« Ответ #9 : 07.09.2020, 13:34:41 »
Цитата: cntrl от 07.09.2020, 02:46:42
А может есть мануал? какие права на диры Joomla в режиме FastCGI надо ставить,
755 писал же уже
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

cntrl

  • Захожу иногда
  • 181
  • 6 / 0
Re: PHP в режиме FastCGI и права на файлы
« Ответ #10 : 07.09.2020, 16:59:03 »
Цитата: Septdir от 07.09.2020, 13:34:41
755 писал же уже
Мнения специалистов в топике разошлись! Знакомый  *DRINK*, очень квалифицированный линукс-админ хостинга мне сказал тоже самое - оставляй стандартные 755 и не парься, но хочется перфекционизма, не в ущерб функциональности конечно.
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: PHP в режиме FastCGI и права на файлы
« Ответ #11 : 08.09.2020, 09:26:28 »
Цитата: cntrl от 07.09.2020, 02:46:42
Хоть в информации о папках всё зелёное, через загрузку пакета я сегодня расширение не смог установить
Потому что юзеры разные. Смотрите кто владелец временной папки загрузки файлов на хостинге, вот у него и нет прав на запись в папку сайта Joomla.
На время установки расширения можно дать 777 на /tmp, не забыв положить  .htaccess , с запретом на выполнение PHP
Записан
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: PHP в режиме FastCGI и права на файлы
« Ответ #12 : 08.09.2020, 13:45:10 »
Цитата: cntrl от 07.09.2020, 16:59:03
и не парься
Скорее не страдать фигней. Ибо в противном случае могут быть проблемы. Так к примеру nginx начнет ругаться на то что у папки прав не достает при создании файлов, причем это может делать какой-нибудь скрипт плагина или даже шаблон и т.д
Поэтому есть стандартные права 755 директории 644 файлы 444 конфиг(кстати не критично если он будет 644)
Если надо вот так можно быстро проставить права
Код
find PATH_TO_SITES -type d -not -perm 755 -exec chmod 755 {} \;
find PATH_TO_SITES  -type f -not -perm 644 -exec chmod 644 {} \;
find PATH_TO_SITES/*/configuration.php -type f -not -perm 444 -exec chmod 444 {} \;
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Заражены файлы картинок движка Joomla 3

Автор krog

 Ответов: 5
Просмотров: 1701 		Последний ответ 16.04.2021, 08:16:45
от Taatshi
Хостинг оповестил что некоторые файлы вашего хостинга были изменены

Автор Элана

 Ответов: 9
Просмотров: 1197 		Последний ответ 15.01.2019, 18:54:28
от voland
Удалены файлы с сайта 1.error.php и 1.joomla_update.php

Автор Элана

 Ответов: 18
Просмотров: 2515 		Последний ответ 04.12.2018, 23:55:37
от winstrool
Можно ли защитить сайт от инъекций в файлы без обновления Joomla и расширений?

Автор borro

 Ответов: 6
Просмотров: 2500 		Последний ответ 09.11.2018, 18:36:44
от winstrool
Зараженные файлы

Автор doro45

 Ответов: 39
Просмотров: 2214 		Последний ответ 26.12.2017, 12:55:49
от dmitry_stas