Bezpečnostné upozornenie, zraniteľnosť Joomla 1.5.26

V poslednom období sme u klientov využívajúcich CMS Joomla zaznamenali viacero útokov na ich webstránky.
Zo skúmania týchto incidentov je zrejmé, že útočníci využili niekoľko chýb v editore a v jadre tohto CMS a keďže vývojári tohto populárneho CMS už ďalšie záplaty pre verzie 1.5.x nerobia, odporúčame čo najskôr upgrade Joomly na verziu 2.5 prípadne na 3.0. Prednostne odporúčame v globálnych nastaveniach zablokovať možnosť registrácie bez potvrdenia a nahrávanie súborov gif prípadne iných okrem jpg a png. Do adresára /administrátor vložiť .htaccess blokujúci všetko okrem vybraných IP adries z ktorých sa pristupuje k administácii.
Pri upgrade z 1.5 na 2.5 či vyššiu ide skôr o migráciu medzi dvoma úplne zmenenými jadrami ako o jednoduchý upgrade. Okrem iného vyžaduje zásahy do dizajnových šablón a hľadanie alternatívnych pluginov a modulov miesto tých, ktoré fungovali na 1.5.  Popis nových vlastností Joomla 2.5.
Aktualizácia Joomla alebo iného CMS ako voliteľného obsahu stránky nieje súčasťou služby webhosting. Rozsah zložitosti aktualizácie každej webstránky je odlišný (podľa komponentov a dizajnovej šablóny). Aktualizácia jednej webstránky môže trvať hodinu a inej, zložitejšej i niekoľko dní /je to podobné ako s vytváraním novej webstránky/ a preto v prípade záujmu o aktualizáciu kontaktujte tvorcu pôvodnej webstránky alebo našu spoločnosť vo veci individuálnej cenovej kalkulácie.

Aktualizacia:  Odporucame pouzit na CMS Joomla i Wordpress bez ohladu na verziu skript quicklock.php popisany tu.

 


Ak ste dostatočne zdatní môžte pre aktualizáciu použiť nasledovný overený postup /alebo tu/:

V zivej verzii 1.5.26
-nainstalovat com_jupgrade-2.5.2.zip
-zapnut Mootools plugin
-spustit upgrade proces z komponentu JUpgrade

ziskame verziu 2.5.6
{tato verzia bude v adresari /jupgrade  povodny web ostava nadalej funkcny, jupgrade si v databaze spravi nove tabulky s vlastnym prefixom}
- cez menu Site/Control Panel/ vybrat dole upgrade verzie na poslednu stable (napr. 2.5.9 Stable)
- cez menu Extensions/Language Manager/ [Install]  : vybrat a nainstalovat SK jazyk
- nastavit sk jazyk ako defaultny pre webstranku/frontend aj pre administraciu/backend
- v menu Rozsirenia/spravca sablon  vybrat a ulozit nanovo povodny dizajnovy template
- z povodneho webu treba rucne skopirovat vlastne adresare, ktore neboli sucastou standardnej joomly {napr  /dokumenty}
- upgrade jednoduchej dizajnovej sablony z 1.5.x je mozny napriklad tymto postupom

po dostatocnom odladeni novej verzie samotne spustenie webstranky:
- zmazanie vsetkeho okrem adresara /jupgrade , jeho obsah sa presunie do hlavneho / adresara
- zmazanie povodnych tabuliek z databazy (jos_ prefix)
- kontola existencie .htaccess suboru (premenovanie 'htaccess.txt' novej verzie na '.htaccess') pokial sa ma pouzivat SEF
- ak je v kontaktoch zapnuta ReCaptcha, potom overit a zadat privatny a verejny kluc v nastaveniach modulu (ziskanie klucov unikatne pre kazdu domenu tu: http://www.google.com/recaptcha )
- pustenie verifikačného nástroja, ktorý preverí či všetky URL fungujú /napr: http://www.brokenlinkcheck.com/

Luneta 2016