В Joomla, начиная с версии 3.4.4 и заканчивая версией 3.6.3, обнаружена критическая уязвимость, позволяющая обходить запрет на регистрацию пользователей на сайте и повышать группу доступа зарегистрированных пользователей. Если у вас на сайте установлена Joomla, попадающая в эти версии, вам необходимо срочно обновить ваш сайт до последней версии Joomla 3.6.4. В противном случае ваш сайт будет взломан с очень высокой вероятностью. Подробности далее.
Серьезные уязвимости в Joomla находят крайне редко. За все годы, что я работаю с этой CMS, такие случаи можно сосчитать по пальцам одной руки (ну или, в крайнем случае, двух). Сейчас можно смело загнуть еще один палец.
Информация об уязвимости появилась на официальном сайте вместе с патчем 25 октября 2016 г. Сейчас, спустя всего 6 дней, я обнаружил ее использование на 2 необновленных сайтах из 3, которые просматривал в последние дни.
Не нужно думать, что ваш сайт никого не интересует, и его не взломают. В данном случае уже написаны роботы, которые сканируют интернет в поисках уязвимых сайтов. Был взломан даже один из наших тестовых сайтов, который использовался только для отладки и не был обновлен.
Обновиться до Joomla 3.6.4. можно из панели администратора Joomla в один клик. Если ваша версия Joomla попадает в список уязвимых (увидеть ее можно в правом нижнем углу админки), сделайте обновление СЕЙЧАС (не забыв создать предварительно резервную копию).
На самом деле, даже СЕЙЧАС может быть уже поздно. После обновления проверьте в менеджере пользователей Joomla всех пользователей, которые зарегистрировались после 25 октября 2016 г. Если их группа доступа выше, чем Registered, то, скорее всего, сайт уже подвергся взлому. В этом случае, самым правильным решением будет откат сайта к резервной копии, созданной не позднее 25 октября и последующее срочное его обновление до версии 3.6.4.
В заключении хочу сказать, что не стоит ругать Joomla. Подобные уязвимости находят во многих крупных программных продуктах, даже коммерческих. Важно следить за выходом обновлений (хотя бы в админке сайта) и оперативно их устанавливать. В этом случае риск взлома вашего сайта будет минимален.
Но в данном случае, как я понимаю, это не имеет значения, т.к., по крайней мере, я видел, что права повышают до Administrator, а это уже дает доступ к админке.
Спасибо. Скажите, правильно понял, что с Joomla 3.4.x сразу нельзя обновиться до 3.6.4, а надо сначала до 3.5 и потом уже до последней версии?
http://wedal.ru/uroki-joomla/kak-vylechit-zarazhennyj-sajt-na-joomla-ot-virusov-10-shagov.html
Я бы на Вашем месте ей бы воспользовался. На всякий пожарный.
Сайты я восстановил из бэкапов, но всё равно что-то очкую :)
Привилегии Администратора большие. Больше только у Суперадминистратора. Администратор имеет доступ к админке, может изменять материалы и другие компоненты, если это не запрещено перенастройкой прав для данной группы.
Если вы восстановили сайт из бэкапа и сразу обновили его до последней версии, то все будет хорошо.
Joomla! 3.6.2 обновление до версии Joomla! 3.6.4, но до обновления некто "spdul" зарегистрировался на сайте. Письмо "Спасибо за регистрацию ...Теперь вы можете войти используя логин и пароль, указанные при регистрации." пришло на почту сайта (мою). В менеджере пользователей нового пользователя нет или не видно, virtue mart 3.0.14, покупатель/продавец тоже только один.
В админке разрешение регистрации отключена с первого дня работы сайта.
Подскажите пожалуйста в чём может проявится эта регистрация.
Спасибо.
1) Пользователь был создан
2) Кто-то зашел под ним в админку
3) Сделал свои грязные делишки
4) Замел следы, удалив пользователя.
По крайней мере, мне это видится именно так. Это мог сделать и бот без участия человека, но результат всё равно один и тот же. Вам нужно либо восстановить резервную копию из бэкапа и сразу обновить сайт, либо, если это невозможно, проверить сайт на вирусы(подробнее об этом здесь: http://wedal.ru/uroki-joomla/kak-vylechit-zarazhennyj-sajt-na-joomla-ot-virusov-10-shagov.html).
Делаю по инструкции из урока "Как вылечить заражённый сайт"
Сайт молодой, администратор неопытный - Подскажите пожалуйста.
Мне не нужно, что бы пользователи регистрировались. В настойках отключено разрешение. Формы регистрации и входа на сайте не отображаются. Модуль регистрации в корзине. Нужно удалить формы регистрации и входа. Подскажите где и какой код закомментировать или удалить.
Спасибо.
Нужно минимизировать возможность зарегистрироваться на сайте, всем, кроме администратора.
Спасибо за участие.
Вы совершенно правы.
Зашёл и оставил файл в папке CSS шаблона.
Спасибо за подсказку.
Кому интересно посмотреть, чем дополняют файлы, для само-размножения, могу скинуть, полюбоваться, я их сохранил, дабы самому посмотреть на конструкции и ход мыслей.