Сегoдня мы рассмотрим эксплуатацию критической 1day-уязвимости в популярной CMS Joomla, которая прогремела на просторах интернета в конце октября. Речь пойдет об уязвимостях с номерами CVE-2016-8869 , CVE-2016-8870 и CVE-2016-9081 . Все три происходят из одного кусочка кода, который пять долгих лет томился в недрах фреймворка в ожидании своего часа, чтобы затем вырваться на свободу и принести с собой хаос, взломанные сайты и слезы ни в чем не повинных пользователей этой Joomla. Лишь самые доблестные и смелые разработчики, чьи глаза красны от света мониторов, а клавиатуры завалены хлебными крошками, смогли бросить вызов разбушевавшейся нечисти и возложить ее голову на алтарь фиксов.

WARNING

С чего все началось

6 октября 2016 года Дэмис Пальма (Demis Palma) создал топик на Stack Exchange , в котором поинтересовался: а почему, собственно, в Joomla версии 3.6 существуют два метода регистрации пользователей с одинаковым названием register() ? Первый находится в контроллере UsersControllerRegistration , а второй - в UsersControllerUser . Дэмис хотел узнать, используется ли где-то метод UsersControllerUser::register() , или это лишь эволюционный анахронизм, оставшийся от старой логики. Его беспокоил тот факт, что, даже если этот метод не используется никаким представлением, он может быть вызван при помощи сформированного запроса. На что получил ответ от девелопера под ником itoctopus, подтвердившего: проблема действительно существует. И направил отчет разработчикам Joomla.

Далее события развивались самым стремительным образом. 18 октября разработчики Joomla принимают репорт Дэмиса, который к тому времени набросал PoC, позволяющий регистрировать пользователя. Он опубликовал заметку на своем сайте , где в общих чертах рассказал о найденной проблеме и мыслях по этому поводу. В этот же день выходит новая версия Joomla 3.6.3, которая все еще содержит уязвимый код.

После этого Давиде Тампеллини (Davide Tampellini) раскручивает баг до состояния регистрации не простого пользователя, а администратора. И уже 21 октября команде безопасности Joomla прилетает новый кейс. В нем речь уже идет о повышении привилегий . В этот же день на сайте Joomla появляется анонс о том, что во вторник, 25 октября, будет выпущена очередная версия с порядковым номером 3.6.3, которая исправляет критическую уязвимость в ядре системы.

25 октября Joomla Security Strike Team находит последнюю проблему, которую создает обнаруженный Дэмисом кусок кода. Затем в главную ветку официального репозитория Joomla пушится коммит от 21 октября с неприметным названием Prepare 3.6.4 Stable Release , который фиксит злосчастный баг.

После этого камин-аута к междусобойчику разработчиков подключаются многочисленные заинтересованные личности - начинают раскручивать уязвимость и готовить сплоиты.

27 октября исследователь Гарри Робертс (Harry Roberts) выкладывает в репозиторий Xiphos Research готовый эксплоит , который может загружать PHP-файл на сервер с уязвимой CMS.

Детали

Что ж, с предысторией покончено, переходим к самому интересному - разбору уязвимости. В качестве подопытной версии я установил Joomla 3.6.3, поэтому все номера строк будут актуальны именно для этой версии. А все пути до файлов, которые ты увидишь далее, будут указываться относительно корня установленной CMS.

Благодаря находке Дэмиса Пальмы мы знаем, что есть два метода, которые выполняют регистрацию пользователя в системе. Первый используется CMS и находится в файле /components/com_users/controllers/registration.php:108 . Второй (тот, что нам и нужно будет вызвать), обитает в /components/com_users/controllers/user.php:293 . Посмотрим на него поближе.

286: /** 287: * Method to register a user. 288: * 289: * @return boolean 290: * 291: * @since 1.6 292: */ 293: public function register() 294: { 295: JSession::checkToken("post") or jexit(JText::_("JINVALID_TOKEN")); ... 300: // Get the form data. 301: $data = $this->input->post->get("user", array(), "array"); ... 315: $return = $model->validate($form, $data); 316: 317: // Check for errors. 318: if ($return === false) 319: { ... 345: // Finish the registration. 346: $return = $model->register($data);

Здесь я оставил только интересные строки. Полную версию уязвимого метода можно посмотреть в репозитории Joomla.

Разберемся, что происходит при обычной регистрации пользователя: какие данные отправляются и как они обрабатываются. Если регистрация пользователей включена в настройках, то форму можно найти по адресу http://joomla.local/index.php/component/users/?view=registration .

Легитимный запрос на регистрацию пользователя выглядит как на следующем скриншоте.

За работу с пользователями отвечает компонент com_users . Обрати внимание на параметр task в запросе. Он имеет формат $controller.$method . Посмотрим на структуру файлов.

Имена скриптов в папке controllers соответствуют названиям вызываемых контроллеров. Так как в нашем запросе сейчас $controller = "registration" , то вызовется файл registration.php и его метод register() .

Внимание, вопрос: как передать обработку регистрации в уязвимое место в коде? Ты наверняка уже догадался. Имена уязвимого и настоящего методов совпадают (register), поэтому нам достаточно поменять название вызываемого контроллера. А где у нас находится уязвимый контроллер? Правильно, в файле user.php . Получается $controller = "user" . Собираем все вместе и получаем task = user.register . Теперь запрос на регистрацию обрабатывается нужным нам методом.

Второе, что нам нужно сделать, - это отправить данные в правильном формате. Тут все просто. Легитимный register() ждет от нас массив под названием jform , в котором мы передаем данные для регистрации - имя, логин, пароль, почту (см. скриншот с запросом).

• /components/com_users/controllers/registration.php: 124: // Get the user data. 125: $requestData = $this->input->post->get("jform", array(), "array");

Наш подопечный получает эти данные из массива с именем user .

• /components/com_users/controllers/user.php: 301: // Get the form data. 302: $data = $this->input->post->get("user", array(), "array");

Поэтому меняем в запросе имена всех параметров с jfrom на user .

Третий наш шаг - это нахождение валидного токена CSRF, так как без него никакой регистрации не будет.

• /components/com_users/controllers/user.php: 296: JSession::checkToken("post") or jexit(JText::_("JINVALID_TOKEN"));

Он выглядит как хеш MD5, а взять его можно, например, из формы авторизации на сайте /index.php/component/users/?view=login .

Теперь можно создавать пользователей через нужный метод. Если все получилось, то поздравляю - ты только что проэксплуатировал уязвимость CVE-2016-8870 «отсутствующая проверка разрешений на регистрацию новых пользователей».

Вот как она выглядит в «рабочем» методе register() из контроллера UsersControllerRegistration:

• /components/com_users/controllers/registration.php: 113: // If registration is disabled - Redirect to login page. 114: if (JComponentHelper::getParams("com_users")->get("allowUserRegistration") == 0) 115: { 116: $this->setRedirect(JRoute::_("index.php?option=com_users&view=login", false)); 117: 118: return false; 119: }

А так в уязвимом:

• /components/com_users/controllers/user.php:

Ага, никак.

Чтобы понять вторую, гораздо более серьезную проблему, отправим сформированный нами запрос и проследим, как он выполняется на различных участках кода. Вот кусок, который отвечает за проверку отправленных пользователем данных в рабочем методе:

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!

Ранее были внесены изменения в файлы.

копируем из

components/com_users/views/registration/tmpl/ в
templates/protostar/html/com_users/registration/ файлы

default.php и default.xml и меняем им названия, к примеру на approval.php и approval.xml

approval.php

approval.xml

Добавлены языковые замещения

language/overrides/en-GB.override.ini

MY_NEW_REGISTRATION="Registration form with additional fields" TERMS_OF_SERVICE="Terms of service" AGREE="I agree to the terms of use" AGE="I am at least 18 years old"

language/overrides/ru-RU.override.ini

MY_NEW_REGISTRATION="Регистрационная форма с дополнительными параметрами" TERMS_OF_SERVICE="Условия обслуживания" AGREE="Я согласен с условиями обслуживания" AGE="Мне уже есть 18 лет"

administrator/language/overrides/en-GB.override.ini

MY_NEW_REGISTRATION_TITLE="Registration form with additional fields" SHOW_AGE_CHECKBOX="Show Age Checkbox" SHOW_AGE_CHECKBOX_DESCRIPTION="Show or hide the age checkbox" AGE_CHECKBOX_DESCRIPTION_HIDE="Hide" AGE_CHECKBOX_DESCRIPTION_SHOW="Show"

administrator/language/overrides/ru-RU.override.ini

MY_NEW_REGISTRATION_TITLE="Регистрационная форма с дополнительными параметрами" SHOW_AGE_CHECKBOX="Показывать подтверждение
возраста при регистрации" SHOW_AGE_CHECKBOX_DESCRIPTION="Показывать / скрывать подтверждение возраста при регистрации" AGE_CHECKBOX_DESCRIPTION_HIDE="Скрыть" AGE_CHECKBOX_DESCRIPTION_SHOW="Показать"

Для отправки в суперглобальный массив переменных $_REQUEST методом POST значений полей формы необходимо, чтобы у каждого поля был уникальный атрибут name . Дополним поля флажков данным атрибутом в файле approval.php

Теперь перейдем собственно к созданию самого плагина.

Назовем его myregistration . Создадим для него папку plugins/user/myregistration , в ней файлы myregistration.php и myregistration.xml . Не забываем про заглушку index.html

myregistration.xml

plg_user_myregistration March 2012 admin//dog//joomla.org www.joomla.org 2.5.0 PLG_USER_MYREGISTRATION_XML_DESCRIPTION myregistration.php index.html language

myregistration.php

isSite()){ return true; } // загружаем файл языковой поддержки $this->loadLanguauge(); $result = true; // проверить, установлен ли флажок согласия с условиями обслуживания if (!JRequest::getBool("tos_agree")){ JError::raiseWarning(1000, JText::_("PLG_USER_MYREGISTRATION_TOS_AGREE_REQUIRED")); $result = false; } // проверить установку флажка на подтверждение достижения 18 лет if (!JRequest::getBool("old_enough")) { JError::raiseWarning(1000, JText::_("PLG_USER_MYREGISTRATION_OLD_ENOUGH_REQUIRED")); $result = false; } return $result; } }

Имя класса указываем в соответствии с принятыми обозначениями

plgUserMyRegistration

plg (подключаемый плагин), User (пользовательский тип подключаемого плагина), MyRegistration (название плагина). Этот класс расширяет класс JPlugin .

У данного класса имеется один метод, обозначаемый по имени обрабатываемого события - onUserBeforeSave() . Данное событие инициируется при попытке сохранить данные нового пользователя в админке или зарегистрировать его в пользовательской части.

JRequest::getBool() вызывается для получения элемента ввода tos_agree или old_enough из суперглобальной переменной $_REQUEST языка PHP. Возвращает false или true .

JError::raiseWarning() - вывод ошибки. В качестве аргументов указываются: код ошибки и текст ошибки. В данном случае код не используется и может быть любым, а текст выводим из файла языковой поддержки плагина.

Файлы языковой поддержки

Предпочтительно создавать их в папке с плагином.Русскоязычные должны быть в кодировке UTF-8 без BOM - иначе система их не подхватит.

Первые предназначены для всех переменных, которые используются на фронте и для вывода настроек самого плагина
plugins\user\myregistration\language\en-Gb\en-Gb.plg_user_myregistration.ini
plugins\user\myregistration\language\ru-RU\ru-RU.plg_user_myregistration.ini

Вторые используются для вывода названия плагина в менеджере плагинов и вывода сообщения после установки расширения
plugins\user\myregistration\language\en-Gb\en-Gb.plg_user_myregistration.sys.ini
plugins\user\myregistration\language\ru-RU\ru-RU.plg_user_myregistration.sys.ini

en-Gb.plg_user_myregistration.ini

PLG_USER_MYREGISTRATION_TOS_AGREE_REQUIRED="You must agree to the terms of service" PLG_USER_MYREGISTRATION_OLD_ENOUGH_REQUIRED="You must be at least 18 years old"

en-Gb.plg_user_myregistration.sys.ini

PLG_USER_MYREGISTRATION="User - My Registration" PLG_USER_MYREGISTRATION_XML_DESCRIPTION="Check that the Terms and Age boxes have been checked"

ru-RU.plg_user_myregistration.ini

PLG_USER_MYREGISTRATION_TOS_AGREE_REQUIRED="Вы должны согласиться с условиями обслуживания" PLG_USER_MYREGISTRATION_OLD_ENOUGH_REQUIRED="Вам должно быть не менее 18 лет"

ru-RU.plg_user_myregistration.sys.ini

PLG_USER_MYREGISTRATION="Юзер - Моя регистрация" PLG_USER_MYREGISTRATION_XML_DESCRIPTION="Проверка на согласие с условиями обслуживания и достижения пользователем возраста 18 лет"

Полностью автономная версия плагина.

Используется класс JForm для замещения регистрационной формы перед выводом на форму с допполями и проверки достоверности, что избавляет от необходимости иметь альтернативные пункт меню и шаблон вывода модуля.

Имя нового плагина myregistrationall. Состоит:

forms/form.xml
language/en-Gb/en-Gb.plg_user_myregistrationall.ini
language/en-Gb/en-Gb.plg_user_myregistrationall.sys.ini
language/ru-RU/ru-RU.plg_user_myregistrationall.ini
language/ru-RU/ru-RU.plg_user_myregistrationall.sys.ini
myregistrationall.php
myregistrationall.xml

Основной myregistrationall .xml файл плагина. В разделе конфигурации установлены поля для отображения в настройках плагина

plg_user_myregistrationall Mark Dexter and Louis Landry feat Taatshi March 2012 (C) 2012 Mark Dexter and Louis Landry GNU General Public License version 2 or later; See License.txt admin//dog//joomla.org www.joomla.org 2.5.0 PLG_USER_MYREGISTRATIONALL_XML_DESCRIPTION myregistrationall.php index.html language forms

form.xml

myregistrationall.php

getName()!="com_users.registration") { return; } // Загрузить файл языковой поддержки $this->loadLanguage(); // Загрузить xml-файл в форму регистрации пользователя - обратить внимаение - вокруг FILE идет ДВОЙНОЕ ПОДЧЕРКИВАНИЕ $form->loadFile(dirname(__FILE__)."/forms/form.xml"); // Проверка установки параметра показа чекбокса для проверки возраста в настройках плагина if (!$this->params->get("show_age_checkbox", "1")) { $form->removeField("old_enough"); // Если мы захотим сделать поле подтверждения возраста необязательным, достаточно будет добавть строку: // $form->setFieldAttribute("old_enough", "requried", "false"); } } }

en-Gb.plg_user_myregistrationall.ini

PLG_USER_MYREGISTRATIONALL_TERMS_OF_SERVICE="Added Fields for Terms of Service Agreement" PLG_USER_MYREGISTRATIONALL_AGREE="I agree to the terms" PLG_USER_MYREGISTRATIONALL_AGE="I am at least 18 years old" PLG_USER_MYREGISTRATIONALL_SHOW_AGE="Show Age Checkbox" PLG_USER_MYREGISTRATIONALL_SHOW_AGE_DESC="Whether to Hide or Show the Show Age Check box. If it is shown, it will be required."

ru-RU.plg_user_myregistrationall.ini

PLG_USER_MYREGISTRATIONALL_TERMS_OF_SERVICE="Согласие с правилами обслуживания" PLG_USER_MYREGISTRATIONALL_AGREE="Я согласен с условиями обслуживания" PLG_USER_MYREGISTRATIONALL_AGE="Мне уже есть 18 лет" PLG_USER_MYREGISTRATIONALL_SHOW_AGE="Подтверждение возраста" PLG_USER_MYREGISTRATIONALL_SHOW_AGE_DESC="Показывать или скрывать чекбокс для подтверждения возраста"

en-Gb.plg_user_myregistrationall.sys.ini

PLG_USER_MYREGISTRATIONALL="User - My Registration - stand-alone" PLG_USER_MYREGISTRATIONALL_XML_DESCRIPTION="Check that the Terms and Age boxes have been checked - stand-alone"

ru-RU.plg_user_myregistrationall.sys.ini

PLG_USER_MYREGISTRATIONALL="Юзер - Моя регистрация - автономка" PLG_USER_MYREGISTRATIONALL_XML_DESCRIPTION="Проверка на согласие с условиями обслуживания и достижения пользователем возраста 18 лет - автономка"

Description

User Options configuration allows setting of parameters used globally for all users. Control the use of Captcha, registration allowed and type of registration, default user group new users, reset password or username counter, and new user registration email notice to administration.

How to Access

On User Manager: Users , click Options button at top. The Options button is in every User-Menu available.

Screenshot

Details

User Options

• Allow User Registration . Yes or No. If set Yes, users can register from the front end of the site using the Create an Account link provided on the Login module. If set to No, the "Create an Account" link will not show. Since Joomla 3.4 this option is set to No by default for new installations.
• New User Registration Group . The group that users are assigned to by default when they register on the site. Defaults to Registered.
• Guest User Group . The group that guests are assigned to. (Guests are visitors to the site who are not logged in.) This is set to Public by default. If you change this to a different group, it is possible to create content on the site that is visible to guests but not visible to logged in users. See Allowing Guest-Only Access to Menu Items and Modules .
• Send Password . If set to Yes the user"s first password will be emailed to the user as part of the registration mail.
• New User Account Activation .
  • None . User account will be active immediately with no action required.
  • Self . User will receive an email with an activation link. The account will be activated when the user clicks the activation link.
  • Administrator . User will receive an email with an activation link. When the user clicks this link, the Site Admin will be notified via email and the Site Admin needs to activate the user"s account.
• Send Mail to Administrators . Send email notification to administrators with User Account Activation set to None or Self .
• Captcha . Use Captcha for User Account Registration and Username or User Password reminders.
• Frontend User Parameters . Show or Hide. If set to Show, users will be able to modify their language, editor, and help site preferences from the front end of the site. If set to Hide, the user will not be able to change these settings.
• Frontend Language . Default site language.
• Change Username . Allow user to change Username.

Email Domain Options

Enter a list of allowed and disallowed email domains. By default, all domains are allowed.

Password Options

• Maximum Reset Count . The maximum number of password resets allowed within the time period. Zero indicates no limit.
• Reset Time . The time period, in hours, for the reset counter.
• Minimum Lenght . Set the minimum lenght for a password.
• Minimum Integers . Set the minimum number of integers that must be included in a password.
• Minimum Symbols . Set the minimum number of symbols (such as !@#$) required in a password.
• Minimum Upper Case . Set the minimum number of upper case alphabetical characters required for a password.

User Notes History

• Enable Versions. (Yes/No). Whether or not to save version history for this component. If No, version history will not be saved for component items or for this component"s categories.
• Maximum Versions. The maximum number of versions to store for an item. If an item is saved and the maximum number of versions has been reached, the oldest version will be deleted automatically. If set to 0, then versions will never be deleted automatically. Also, specific versions may be flagged as "Keep Forever" and will not be deleted automatically. Note that versions may be deleted manually using the Delete button in the Version History screen.

Mass Mail Users

• Subject Prefix . Enter optional text to be inserted automatically before the subject of the mass email.
• Mailbody Suffix . Enter optional text to be inserted automatically after the body of the email (for example, a signature).

Advanced

• Advanced Users Permissions . Display the Advanced Users Permissions Reports.
• Advanced Groups Permissions . Display the Advanced Groups Permissions Reports.

Integration

• URL Routing . Modern routing enables advanced features but may change your URLs. Legacy routing ensures full compatibility for existing sites. This is configured per component.
• Enable Custom Fields . Enable the creation of custom fields.

Permissions

This section shows permissions configuration for Users. The screen shows as follows.

To change the permissions for this extension, do the following.

• Select the Group by clicking its title located on the left.
• Find the desired Action . Possible Actions are:
  • Configure ACL & Optons . Users can edit the options and persimissions of this extension.
  • Configure Optons Only . Users can edit the options exept the persimissions of this extension.
  • Access Administration Interface . Users can access user administration interface of this extension.
  • Create: Users can create content of this extension.
  • Delete: Users can delete content of this extension.
  • Edit: Users can edit content of this extension.
  • Edit State: User can change the published state and related information for content of this extension.
  • Edit Own: Users can edit own created content of this extension.
• Select the desired permission for the action you wish to change. Possible settings are:
  • Inherited: Inherited for users in this Group from the Global Configuration permissions of this extension.
  • Allowed: Allowed for users in this Group. Note that, if this action is Denied at one of the higher levels, the Allowed permission here will not take effect. A Denied setting cannot be overridden.
  • Denied: Denied for users in this Group.
• Click Save in Toolbar at top. When the screen refreshes, the Calculated Setting column will show the effective permission for this Group and Action.

Срабатывает сразу после того, как новый пользователь был зарегистрирован на сайте. После того, как данные пользователя были добавлены в базу данных.

Хук получает в качестве параметра ID пользователя.

На момент срабатывания этого хука, все метаданные уже добавлены в БД. Пароль уже зашифрован.

Этот хук можно использовать для добавления дополнительных метаданных переданных в форме регистрации нового пользователя.

Для добавления или обновления метаданных пользователя, также можно использовать хук insert_user_meta . См. пример ниже или код функции wp_insert_user()

Использование

Примеры

#1 Добавим дополнительные данные пользователя при регистрации

Этот пример показывает как добавить значение поля user_sex , которое передается в $_POST данных из формы регистрации.

Имейте ввиду, что проверка обновляемых данных не должна производиться в момент этого хука - уже слишком поздно, пользователь уже добавлен! Проверку данных нужно делать во время хука registration_errors , хук user_register не сработает если проверка не будет пройдена...

// предварительная проверка поля add_filter("registration_errors", "my_validate_user_data"); function my_validate_user_data($errors){ if(empty($_POST["user_sex"])) $errors->add("empty_user_sex", "Пол обязательно должен быть указан!"); elseif(! in_array($_POST["user_sex"], array("male","female"))) $errors->add("invalid_user_sex", "Пол указан неверно!"); return $errors; } // обновление метаданных пользователя add_action("user_register", "my_user_registration"); function my_user_registration($user_id) { // $_POST["user_sex"] проверена заранее... update_user_meta($user_id, "user_sex", $_POST["user_sex"]); }

#2 Обновление метаданных пользователя при регистрации

Это аналогичный первому пример с использованием хука insert_user_meta для добавления метаданных пользователя при регистрации. Этот вариант предпочтительнее, потому что удобнее...

Этот пример полностью заменяет хук user_register из предыдущего примера. Проверку на ошибки берем из пред. примера.

// $meta = apply_filters("insert_user_meta", $meta, $user, $update); add_filter("insert_user_meta", "my_user_registration_meta", 10, 3); function my_user_registration_meta($meta, $user, $update) { // выходим если это не регистрация юзера if($update) return $meta; $meta["user_sex"] = $_POST["user_sex"]; // $_POST["user_sex"] проверена заранее... return $meta; }

Список изменений

Где вызывается хук

Где используется хук (в ядре WP)

wp-admin/includes/admin-filters.php 92 add_action("user_register", array("WP_Internal_Pointers", "dismiss_pointers_for_new_users"));

Насколько хорошо вы знаете Joomla? Давайте проверим! В данной статье я собрал 10 особенностей этой CMS, о которых знают далеко не все. Прочитайте статью, а затем напишите в комментариях, сколько из пунктов были вам известны, например «6/10». Я уверен, что «10/10» наберут далеко не все. А особенности действительно интересные!

1) Скрытые страницы регистрации и авторизации в Joomla

В Joomla есть страницы, через которые пользователь может зарегистрироваться или авторизоваться на сайте. Именно страницы. Не путайте с модулями авторизации. Адреса этих страниц стандартные и не изменяются по умолчанию от установки к установке.

Главный фокус в том, что даже если вы не показываете пользователям ссылку на страницу регистрации, опытный человек, знакомый с Joomla, сможет попасть на нее. Как? Очень просто:

• php?option=com_users&view=registration – форма регистрации
• php?option=com_users&view=login – форма авторизации

Эта особенность Joomla часто используется нечистыми на руку людьми для рассылки странного вида спама. Спам приходит через форму регистрации. Т.е. через нее робот регистрирует якобы пользователей, подставляя вместо имени спам-текст:

Вот ведь извращение. Но оно имеет место быть. Говорю из практики. Чтобы обезопасить себя от таких «пользователей», либо отключайте на сайте регистрацию, либо ставьте на нее код проверки (капчу).

Если с регистрацией всё просто, то с авторизацией сложнее. Вы можете убрать с сайта модуль ввода логина и пароля, но это не избавит вас от страницы с формой авторизации, описанной выше. Она стандартная, а значит, каждый пользователь может ее открыть и попытаться подобрать логин и пароль администратора. Логин обычно никто не меняет. Остается только подобрать пароль перебором. Если ваш сайт не слишком ценен, то вряд ли кто-то будет морочить себе этим голову. А вот если на сайте есть ценная информация, то злоумышленники могут и поработать с ним.

Как защититься от подбора пароля? Есть несколько вариантов. Самый простой – переопределить макет страницы index. php? option= com_ users& view= login в используемый шаблон Joomla и удалить из него форму ввода логина и пароля. Другой вариант – использовать Wedal Recaptcha Login , который будет показывать капчу после нескольких неудачных попыток авторизации.

Не забывайте про эти стандартные страницы в Joomla.

2) Неизменность файлов. htaccess, robots. txt, web. config. txt и необходимость их ручного обновления

В Joomla есть одна интересная особенность. Когда вы обновляете сайт до новой версии, например, переходите с Joomla 2.5 на Joomla 3, файлы . htaccess , robots. txt , web. config. txt не обновляются вместе со всеми остальными, хотя в них могут быть изменения.

Фокус в том, что в этих файлах могут содержаться ваши личные настройки, которые могут изменяться в зависимости от окружения. Проще говоря, под разные сервера и особенности сайтов настройки в файлах редактируются. Если бы Joomla при каждом обновлении перезаписывала их, то многие сайты просто падали с ошибкой, не говоря уже о других, скрытых проблемах. Поэтому данные файлы не обновляются. Но обновлять их нужно, т.к. в обновленных файлах могут быть важные изменения, относящиеся к самой Joomla. Обновлять файлы можно путем сопоставления. Т.е. открыть новый и старый, посмотреть, что добавилось в новом, добавить это и в старый. Примерно так.

Вообще-то, после установки обновлений Joomla, появляются сообщения с информацией об этих файлах. Но кто читает эти сообщения =)

3) Отдельная страница в Joomla с уникальным макетом/кодом

Моя любимая особенность. Я пользуюсь ей очень часто, и очень часто она сильно выручает.

Многие знают, что в Joomla есть так называемый макет для печати. Это файл component. php , который находится в корне используемого шаблона сайта. Суть этого файла сводится к тому, чтобы показать только выдачу компонента на странице, убрав с нее шаблон и модули (шапку, подвал, колонки, и др., оставив только контент).

Чтобы воспользоваться этим макетом, необходимо добавить к URL «? tmpl= component » или «& tmpl= component », если вопросик уже стоит в URL раньше.

Если стандартная страница выглядела, скажем, так:

То после добавления к URL данной конструкции, будет:

Вообще, фокус с «tmpl=component» довольно известный. Здесь ничего интересного. Но я вот пошел дальше. Кто сказал, что мы должны использовать эту особенность строго по назначению? Следите за руками:

• Копируем файл component. php в корне шаблона Joomla .
• Изменяем его название, на скажем, myscript. php , и размещаем там же, в корне шаблона.
• Пишем в файле myscript. php любой код или верстаем любую страницу, которая нужна нам на сайте, но которая не попадает под стандарт Joomla, например, делаем или вставляем готовый калькулятор чего-либо.
• Открываем любую страницу сайта, добавляя в URL параметр с нашим макетом, например: mysite. ltd/? tmpl= myscript
• Страница загружается и код выполняется. При этом в файле myscript. php будут работать все особенности фреймворка Joomla, будут доступны все позиции модулей и компонент – в общем, всё то, что есть в шаблоне Joomla.

Это очень удобно. В этом файле можно также получать и разбирать параметры URL, не забывая, конечно, фильтровать их на входе. Используя такой подход, вы можете легко интегрировать в Joomla сторонний скрипт, вы можете получать и разбирать любые данные для AJAX-запросов из базы данных, вы можете делать практически всё, что только пожелаете. Главное – не забывайте про безопасность.

4) Собственное меню в админке

А вы знали, что существует возможность создать свое собственное меню в админке Joomla. В нем могут быть любые пункты, а не те, которые есть в стандартном меню. Вы можете заменить им стандартное меню и показывать только то, что действительно необходимо:

А вам слабо? =)

Делается это довольно легко, хотя и со своими тонкостями. Вы можете создать меню администратора в том же менеджере меню, где создаете и все остальные меню, уж простите за тавтологию. Далее – точно также публикуем его в модуле, но только в модуле админки , в позиции «menu ». В результате получаем свое собственное меню.

5) Встроенный менеджер перенаправлений

Про эту особенность вы должны знать, но всё же расскажу. Если вам нужно настроить перенаправление (редирект) с одной страницы на другую, не обязательно лезть в код. В Joomla существует довольно неплохой инструмент, позволяющий создавать редиректы через админку. Он называется «Менеджер перенаправлений » и доступен в админке по умолчанию в «Компоненты –> Перенаправление ». Выглядит он примерно так:

Менеджер перенаправлений Joomla выполняет несколько полезных функций:

• Собирает все запросы к сайту, которые вернули ошибку 404, и показывает, сколько было обращений по каждому такому запросу – так вы можете увидеть, какие страницы были запрошены посетителями, но не были загружены по какой-то причине.
• Позволяет настраивать перенаправления как для страниц, собранных в п.1, так и собственные, уникальные перенаправления.
• Позволяет массово импортировать перенаправления на сайт. Т.е. вы можете создать их в Excel, а затем легко загрузить в менеджер.

Эта очень полезная и удобная функция Joomla. Я часто ей пользуюсь, особенно при миграции сайтов с Joomla 1.5 на свежую версию. Обычно в таких миграциях URL страниц сайта изменяются, но благодаря менеджеру перенаправлений удается сохранить посетителей сайта.

6) Одновременная авторизация фронденд-админка.

Довольно новая «фишка» в Joomla. Позволяет одновременно проходить авторизацию и на сайте и в админке (и наоборот).

По умолчанию в Joomla отдельная авторизация. Т.е. авторизация на сайте отдельно, в админке – отдельно. Если вам это не по душе и хочется вводить логин и пароль только один раз, то это возможно. Перейдите в Общие настройки –> Вкладка «Система» –> Опция «Общие сессии» . Активируйте эту опцию. Авторизовываться и выходить можно будет только один раз для всего сайта.

7) Установка требований к сложности пароля для пользователей при регистрации

Готов поспорить, вы не знали, что это возможно =). Я вот раньше не знал, а оно есть!

Вы можете зайти в общие настройки Joomla, выбрать раздел «Пользователи» , перейти на вкладку «Параметры пароля» и увидеть необходимые настройки:

Задавайте минимальную длину пароля и требования к цифрам, буквам и заглавным буквам в пароле – прямо как на крупных популярных сайтах.

8) Изменение пути к каталогу с изображениями в медиа-менеджере

По умолчанию все изображения в Joomla хранятся в папке images , расположенной в корне сайта. Эта же папка открывается в медиа-менеджере, когда вы хотите выбрать или загрузить изображение. Вроде бы всё хорошо, но мир неидеален.

Бывает, что эта особенность прямо очень сильно мешает. Когда? Тогда, когда нужное вам изображение лежит, например, в папке images шаблона сайта, или же изображения хранятся где-то в стороннем компоненте, разработчики которого как-то не сообразили хранить их там, где нужно. Бывает? Бывает. Что делать в этом случае?

Всё просто. Переходим в Общие настройки Joomla , открываем раздел «Медиа-менеджер» и видим в нем настройки. Здесь нас интересуют две опции:

• Путь к каталогу с файлами
• Путь к каталогу с изображениями

Заменяем их значения на «/ »:

После этого видим в медиа-менеджере все каталоги:

Хочу напомнить об очевидном: если у вас есть пользователи, которые могут работать с редактором и медиа-менеджером, и которым вы не доверяете, не делайте то, что написано в этом пункте! Выполнять его допустимо только когда доступ к редактору и медиа-менеджеру имеет только доверенный круг лиц, а лучше – только Вы.

9) Сбор статистики поиска в Joomla

Обычно на сайте используется форма поиска. Иногда очень интересно узнать, что же всё-таки люди в ней ищут. Стандартный поиск Joomla дает такую возможность. Вы можете собирать статистику всех запросов в форме поиска на сайте, а затем анализировать ее. Для этого переходим в Общие настройки Joomla , раздел «Поиск » и активируем опцию «Собирать статистику поиска ». После этого нужно зайти в «Компоненты –> Поиск », где вы увидите собранную статистику:

10) Полное кэширование страниц Joomla + браузерное кэширование

Думаю, многие уже знают про эту особенность, но есть в ней и кое-что новое.

В Joomla есть система кэширования. Увидеть настройки кэширования вы можете в общих настройках Joomla. Это хорошее кэширование, но оно не кэширует страницу целиком. Это логично, поскольку на странице обычно есть динамические элементы, которые кэшировать нельзя. Например, те же комментарии. Если их полностью кэшировать, то обновляться они будут с большой задержкой.

Ок. Но что, если у вас сайт-визитка в пять страниц, и без какого бы то дополнительного функционала? Для вас главное – скорость загрузки. Для таких ситуаций в Joomla есть плагин Система – Кэш . Вы можете найти его в менеджере плагинов Joomla. Он позволяет кэшировать страницу целиком. По умолчанию он выключен. Если вы включите его, то все страницы сайта будут кэшироваться полностью. Что это значит? Это значит, что ваш сайт будет отдавать пользователям уже готовые html-страницы, не тратя время на их повторную генерацию. Это может значительно ускорить загрузку страниц, особенно, если используется медленный хостинг. Другим плюсом станет снижение нагрузки на хостинг – ведь генерировать ничего не требуется.