Новости Joomla

👩‍💻 CMS Joomla победила в премии CMS Critics Awards - People's Choice Awards 2025.

👩‍💻 CMS Joomla победила в премии CMS Critics Awards - People's Choice Awards 2025.

С 2012 года премия CMS Critic Awards отмечает выдающиеся достижения сообщества CMS, награждая разработчиков за их инновации и сервис.
С конца декабря начинается номинирование CMS для участие в премии, которое заканчивается в январе. Из всех номинантов отбирается top 5. Затем в течение февраля идёт голосование.

В 2025 году:
⭐️ Best Free CMS: Joomla!
⭐️ Best Open Source CMS: Joomla!

Подобные рейтинги и награды оценивают технологичность, активность и консолидацию сообщества, складывающегося вокруг каждой CMS.

https://cmscritic.com/lights-camera-community-action-here-are-the-winners-of-the-14th-annual-cms-critic-awards

👩‍💻 Плагин микроразметки Schema.org в в пункте меню Joomla.

‼️👩‍💻 Релиз безопасности Astroid 3.3.11 - шаблона-конструктора для Joomla.

‼️👩‍💻 Релиз безопасности Astroid 3.3.11 - шаблона-конструктора для Joomla.

14 часов назад (на момент публикации заметки) была обнаружена уязвимость в популярном шаблоне-конструкторе Astroid Framework. При атаке на сайт устанавливается бэкдор — системный плагин под названием plg_system_blpayload. Если вы обнаружили этот плагин на своем веб-сайте, значит, он скомпрометирован, и вам необходимо восстановить чистую резервную копию, созданную до установки плагина.

Уязвимость позволяет загружать файлы на сайт и в дальнейшем получить права администратора Joomla.
В рамках атаки (из-за которой и была обнаружена уязвимость) на сайт устанавливался плагин plg_system_blpayload, который при каждой загрузке страницы снаружи он скрытно связывается с (платформой для SEO, работающей на черном рынке (ссылку помещать не будем, просим поверить на слово). Получает список скрытых спам-ссылок (сайты азартных игр, фишинга, мошенничества), подобранный под ваш домен, затем внедряет эти ссылки в HTML-код вашей страницы непосредственно перед рендером - невидимые для посетителей, но полностью читаемые поисковыми роботами. Это называется "отравление SEO" ("отрпавление поисковой выдачи").

Однако, эта уязвимость может использоваться в других целях. Поэтому необходимо срочно проверить ваши сайты, где стоит Astroid Framework и обновить его до версии не ниже 3.3.11. Релиз безопасности выпущен 4 часа назад (на момент написания заметки).

Скачать релиз безопасности Astroid

@joomlafeed

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 20 Ответов
  • 3246 Просмотров
*

web1

  • Захожу иногда
  • 364
  • 23 / 1
RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« : 16.03.2024, 16:30:46 »
libraries/vendor/voku/portable-ascii/src/voku/helper/ASCII.php

Javascript variable obfuscation

А внутри такая муть по поводу войны, гляньте!

Файл был изменён Вторник, 08 марта 2022

Спойлер
[свернуть]

Что это за неприятность, я понимаю война войной, но причем здесь мой сайт, гляньте у вас в Joomla 4 также?

От модератора: обернул код в тег code и убрал под спойлер, что бы не показывать содержимое страниц, куда ведут ссылки. Просьба в будущем оформлять подобные сообщения таким образом.
« Последнее редактирование: 17.05.2024, 11:25:52 от SeBun »
Записан
*

web1

  • Захожу иногда
  • 364
  • 23 / 1
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #1 : 16.03.2024, 16:40:50 »
Представляете, в Joomla 4.4.3 это стандартный файл, из коробки такое идет!
Записан
*

wishlight

  • Гуру
  • 5078
  • 320 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #2 : 17.03.2024, 09:15:13 »
Подтверждаю. Есть такое в оригинальном дистрибутиве.

\libraries\vendor\voku\portable-ascii\src\voku\helper\ASCII.php
\libraries\vendor\voku\portable-utf8\src\voku\helper\UTF8.php
« Последнее редактирование: 17.03.2024, 09:20:52 от wishlight »
Записан
*

Progreccor

  • Захожу иногда
  • 273
  • 25 / 1
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #3 : 17.03.2024, 10:25:47 »
кому не все равно - отпишитесь
https://github.com/joomla/joomla-cms/discussions/43065

так же есть команда безопасности Joomla которую тоже надо поставить в известность – если имеем обфускацию имени переменной - есть сомнения в надежности библиотеки
https://developer.joomla.org/security/contact-the-team.html
Записан
*

kosh2323

  • Захожу иногда
  • 50
  • 0 / 0
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #4 : 01.05.2024, 09:50:54 »
В версии 5.1, обновление вышло совсем недавно, все осталось без изменений, в указанных файлах эта информация есть, и тут есть вопросы, если это сделали разработчики, то доверие к ним подорвано однозначно, ибо могут в дальнейшем внедрить ещё что-то, если уже этого не сделали. Если это не разработчики, тогда как эта информация появилась в дистрибе, значит, скорее всего "молчаливое согласие", а стало быть наплевать на всех остальных. Joomla становится инструментом пропаганды. Нет уверенности, что при очередном обновлении не появится не просто текст, а какой-нибудь скрипт, вирус, рассыльщик и т.д. Тему на Гитхабе закрыли, и скорее всего эти обсуждения и вопросы к разработчикам постараются обойти, забыть, не отвечать. Жаль, что ввязались в политику. Строить сайты на таком инструменте больше желания нет.
Записан
*

phvsfpgs

  • Захожу иногда
  • 215
  • 8 / 0
  • В погоне за обновлением Joomla и новым проблемам
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #5 : 01.05.2024, 21:20:13 »
Спасибо web1, прикольная пасхалка.
« Последнее редактирование: 02.05.2024, 14:48:49 от phvsfpgs »
Записан
*

wishlight

  • Гуру
  • 5078
  • 320 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #6 : 04.05.2024, 11:33:14 »
Цитата: kosh2323 от 01.05.2024, 09:50:54
Строить сайты на таком инструменте больше желания нет
Да. Надо какую-нибудь отечественную систему управления контентом. Порекомендуете?
Записан
*

sivers

  • Живу я здесь
  • 2606
  • 361 / 0
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #7 : 04.05.2024, 12:02:13 »
Цитата: wishlight от 04.05.2024, 11:33:14
Да. Надо какую-нибудь отечественную систему управления контентом. Порекомендуете?
Так битрикс же!
Записан
На связи в telegram @sivers
sivers @ inbox . ru
https://sivers.su/
*

wishlight

  • Гуру
  • 5078
  • 320 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #8 : 05.05.2024, 11:28:54 »
Цитата: sivers от 04.05.2024, 12:02:13
битрикс же!
Надо брать!
Записан
*

phvsfpgs

  • Захожу иногда
  • 215
  • 8 / 0
  • В погоне за обновлением Joomla и новым проблемам
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #9 : 06.05.2024, 00:20:39 »
А что не так, есть какие то последствия от такого подарка?
Записан
*

Serebro2009

  • Захожу иногда
  • 135
  • 0 / 0
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #10 : 06.05.2024, 08:54:21 »
 мне кажется,  если бы разработчики хотели бы в дальнейшем как-то выставить ЭТО на показ,  то в явном виде вряд-ли  бы стали делать такое. Хватило бы скрипта, вшитого, без этого воо всего
Записан
*

Hologram

  • Новичок
  • 1
  • 1 / 0
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #11 : 09.05.2024, 22:42:01 »
Последствия есть. 9 мая оно переименовало 10+ файлов из "php" в "hph". В том числе и себя.
Место найти не могу.

Проверял:
160 150 160
70 68 70
p h p
rand(
:move
и так далее.

Проверял на обфускацию. Тоже пусто.
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #12 : 17.05.2024, 11:33:12 »
Цитата: kosh2323 от 01.05.2024, 09:50:54
В версии 5.1, обновление вышло совсем недавно, все осталось без изменений, в указанных файлах эта информация есть, и тут есть вопросы, если это сделали разработчики, то доверие к ним подорвано однозначно, ибо могут в дальнейшем внедрить ещё что-то, если уже этого не сделали. Если это не разработчики, тогда как эта информация появилась в дистрибе, значит, скорее всего "молчаливое согласие", а стало быть наплевать на всех остальных. Joomla становится инструментом пропаганды. Нет уверенности, что при очередном обновлении не появится не просто текст, а какой-нибудь скрипт, вирус, рассыльщик и т.д. Тему на Гитхабе закрыли, и скорее всего эти обсуждения и вопросы к разработчикам постараются обойти, забыть, не отвечать. Жаль, что ввязались в политику. Строить сайты на таком инструменте больше желания нет.
Это не разработчики. Данный код находится в сторонней библиотеке, которую курирует немец. Можете поставить плагин, который будет все это убиркть.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

phvsfpgs

  • Захожу иногда
  • 215
  • 8 / 0
  • В погоне за обновлением Joomla и новым проблемам
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #13 : 19.05.2024, 00:39:48 »
Как без плагина всё это исправить?
Записан
*

kosh2323

  • Захожу иногда
  • 50
  • 0 / 0
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #14 : 20.05.2024, 09:39:59 »
Цитата: SeBun от 17.05.2024, 11:33:12
Это не разработчики. Данный код находится в сторонней библиотеке, которую курирует немец. Можете поставить плагин, который будет все это убиркть.
Да-да разработчик этого пакета Lars Moelleken, загрузка идет с Packagist, сам пакет voku/portable-ascii, подгружается либо для использования, либо как зависимость через Composer, может и через NPM, не пробовал, но то, что этот пакет включен в зависимости это точно, да и некоторые фиксировали и сам Композер в своих файлах раньше подгружал подобные вещи. Таким образом, все проекты Joomla, Ларавел(это точно), скорее всего и некоторые другие фреймворки, на борту имеют этот пакет. Дело не в безобидном тексте в виде комментов, а в том, что эти пакеты никто не проверяет, что там будет внедрено в следующей версии не знает никто, и мы почему-то считаем, что если есть ПО, которое можно использовать для разработок, оно должно быть по умолчанию безопасным, ну и сам разработчик должен быть порядочным. Так ли это? Его никто ни к чему не обязывает.
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #15 : 20.05.2024, 12:02:44 »
Цитата: phvsfpgs от 19.05.2024, 00:39:48
Как без плагина всё это исправить?
Либо руками внесите правки (и править после каждого обновления), либо поставьте плагин, который этот процесс автоматизирует.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

phvsfpgs

  • Захожу иногда
  • 215
  • 8 / 0
  • В погоне за обновлением Joomla и новым проблемам
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #16 : 25.05.2024, 08:21:46 »
Цитата: SeBun от 20.05.2024, 12:02:44
Либо руками внесите правки (и править после каждого обновления), либо поставьте плагин, который этот процесс автоматизирует.

Хотелось бы руководство, как удалить вручную.

\libraries\vendor\voku\portable-ascii\src\voku\helper\ASCII.php
\libraries\vendor\voku\portable-utf8\src\voku\helper\UTF8.php

--------------------------------------------------
<?php

declare(strict_types=1);

namespace voku\helper;

final class UTF8
--------------------------------------------------

Очищаем текст и ссылки, но а дальше?


Записан
*

san_san_ku

  • Захожу иногда
  • 80
  • 3 / 0
  • Джумлоруб поневоле
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #17 : 17.10.2025, 18:19:39 »
Тема осталась актуальной. Случайно узнал про "пасхалку" в заголовке темы (только сегодня )

Времени прошло достаточно (с года 22-го), файлы с "личным мнением" остались без перемен на год 25-й. Насколько текст "нежелательный" в РФ не так и важно (для вебмастера), важно что он есть и "к делу не относится". Тем паче, что неизвестно, по какому алгоритму и какими инструментами пользуются сегодня "компетентные органы" и какая трактовка может быть "предъявлена" вебмастеру, который "ни сном, ни духом" не знает о наличии "пасхалок".
Патч-плагин (в данной теме) исправляет "баг". Но "осадочек остался". Любопытно, однако, помимо вышеназванной библиотеки, есть еще что-то подобное в Joomla?
И насколько "безобиден" текст, как фрагмент кода (пусть и закомментированный). Возможно, есть скрытые императивы (если есть)?
Печально, что политика внесла коррективы в Joomla. Не в какой-то "левый" варезный продукт, а в коробочную версию. Тревожно.

Может и напрасно я "озаботился" вопросом. Меньше знаешь - лучше спишь? Это не точно
Записан
*

wishlight

  • Гуру
  • 5078
  • 320 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #18 : 18.10.2025, 08:10:33 »
Цитата: san_san_ku от 17.10.2025, 18:19:39
Тревожно
Да. А я люблю пиццу с ананасами теперь.

Откровенно говоря наше сообщество было приватизировано несколькими людьми, но хорошо, что иностранное сообщество имеет свое мнение.


Записан
*

san_san_ku

  • Захожу иногда
  • 80
  • 3 / 0
  • Джумлоруб поневоле
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #19 : 18.10.2025, 10:26:28 »
Откровенно
Мнение (сообщества) нельзя приватизировать, если оно (мнение) есть. Его можно игнорировать, что и случилось.
Если мнения - нет, то вместо него имеется - пустота. Которую заполнит мнение - чужое. Что и случилось

Мнение импортного сообщества, однако, не интересно в рамках ПО. Однако, в Joomla 6.0 изменился состав библиотеки. Надеюсь, что "мнение" не появится вновь по новому адресу. Котлеты стоит держать подальше от мух.
Записан
*

wishlight

  • Гуру
  • 5078
  • 320 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: RSFirewall нашел в Joomla 4 какой-то подозрительный файл
« Ответ #20 : 18.10.2025, 20:54:25 »
Цитата: san_san_ku от 18.10.2025, 10:26:28
Мнение импортного сообщества, однако, не интересно в рамках ПО

Оно создаёт это ПО.
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Дублировать скроллер горизонтальной таблицы Joomla 5

Автор Sleepwalker

 Ответов: 0
Просмотров: 266 		Последний ответ 17.02.2026, 13:19:54
от Sleepwalker
Не работает сайт при переносе с сервера на хостинг Joomla 5

Автор e.maria

 Ответов: 17
Просмотров: 3383 		Последний ответ 06.02.2026, 15:30:16
от wishlight
Ошибка вывода страницы регистрации на сайте Joomla! 5.4.2

Автор salesekspert

 Ответов: 14
Просмотров: 1461 		Последний ответ 04.02.2026, 15:39:19
от sivers
Есть опыт использования журнала отладки Joomla, для полезных исправлений?

Автор salesekspert

 Ответов: 1
Просмотров: 801 		Последний ответ 04.02.2026, 09:55:00
от salesekspert
MainLink и Joomla 5

Автор KingSnake

 Ответов: 0
Просмотров: 946 		Последний ответ 21.01.2026, 16:55:46
от KingSnake