elimu blog – o CMS Joomla! i Drupal

Developerzy Joomla! opublikowali nową, poprawioną wersję Joomla! 1.6.1. Wydanie to niesie za sobą liczne poprawki w tym w obszarze bezpieczeństwa CMS. Paczka instalacyjna oraz łatka aktualizująca do pobrania ze strony joomlacode.org.

Z uwagi na częste zapytania:  „Jak odzyskać uszkodzoną stronę/bazę danych”. Opiszę trzy praktyczne i proste sposoby odzyskania strony w przypadku awarii.  Pamiętaj jednak, że w myśl przysłowia, że „z pustego to nawet Salomon nie naleje”, także twoim obowiązkiem jest posiadanie sprawnej kopii.  O czym dalej.   Czytaj dalej…

Zespół odpowiedzialny za JomSocial zrealizował poprawkę bezpieczeństwa do wszystkich zagrożonych atakiem (typu XSS Injection) wersji JomSocial (1.6, 1.8 oraz 2.0). Bez względu czy masz legalną, czy testową wersję sugeruje, abyś niezwłocznie zainstalował poniższą oficjalną poprawkę.

Czytaj dalej…

Na rynku dostępnych jest kilka rozszerzeń dla Joomla!, które mają zapewnić jej bezpieczeństwo przed typowymi atakami. Czytaj dalej…

Oba komponenty forumowe doczekały się nowych wersji, Kunena 1.6.1 oraz Agora 3.0.141. W przypadku pierwszego rozszerzenia zmiany dodały kilka nowości, oraz poprawki błędów. W przypadku Agory jest to głównie aktualizacja błędów bezpieczeństwa. Zapewne zaciekawi was fakt, iż projekt Agora został przejęty przez firmę Anything Digital, LLC i stał się już komercyjnym produktem (!), zatem aby pobierać aktualizacje musisz wykupić członkostwo, ceny już od $29/rok.

Tym razem do aktualizacji zachęca nas nie tylko dbałość bezpieczeństwo, patrz Joomla! 1.5.22 oraz  Kunena Forum 1.5.13, ale także liczne poprawki patrz Ninjaboard RC6.

Wczoraj grupa YGN Ethical Hacker poinformowała głośno i donośnie, że w Joomla! odkryto kolejną dziurę. Tak wiem, niektórych to wkurza, tak jak mnie, że wciąż znajdowane są nowe sposoby, aby się włamać do tego CMS-a. Ale z drugiej strony, wiem że z każdą poprawką mój system jest szczelniejszy. Najgorszy jest jednak okres od … do. Dlatego Centrum Joomla! w dniu 9.10.2010 przygotowało odpowiednią poprawkę. Czytaj dalej…

Dziś mimo przeziębienia, zająłem się pilną sprawą klienta. Otóż otrzymał on od znajomego zrzut ekranu z informacją, że na jego stronie pojawia się ostrzegawczy komunikat (rysunek poniżej). W pierwszej chwili myślałem, że to właśnie to narzędzie jest podejrzane, tyle słyszy się o fałszywych antywirusach etc.. Jednakże po krótkiej analizie wyników google, okazało się, że to co innego.
Czytaj dalej…

Dziś oficjalnie miała miejsce odsłona kolejnej wersji komponentu K2,  wersji 2.4. Dzień później wydano 2.4.1 z dodatkową łatką (getk2.org). Oprócz zmian kosmetycznych, poprawiono dosyć istotny błąd bezpieczeństwa, na który narażone były wszystkie serwisy Joomla! z włączoną opcją komentowania artykułów.
Czytaj dalej…

jHackGuard to nowo opublikowany – darmowy, ale stosunkowo skuteczny, dodatek do ochrony strony Joomla! przed hackerami. Jak zapewnia jego producent SiteGround (firma z długoletnią tradycją) rozszerzenie uchroni twój serwis przed atakami typu SQL Injections, Remote URL/File Inclusions, Remote Code Executions oraz XSS Based Attacks! Stanowi zatem niezłą alternatywę dla innych często płatnych dodatków. Po instalacji opublikuj dodatek Security – jHackGuard. Jedną widoczną wadą w/w dodatku jest stopka „Secured by Siteground Web Hosting” – widoczna zarówno w części frontowej (!), jak i administracyjnej. Kod stopki znajdziesz w pliku sgsec.php w linii 74. Czytaj dalej…

Właśnie przejrzałem ciekawy artykuł na temat aplikacji napędzających strony www i wydanych jako Open Source. Autorzy raportu przebadali podobno ponad milion witryn i odkryli, że wiele z nich (ba, większość!) zawiera luki bezpieczeństwa. W celu badania przygotowali narzędzie Blind Elephant (ślepy słoń), które możecie pobrać i przetestować sami.

Moim zdaniem artykuł jest dość tendencyjny a zaprezentowane wyniki dyskusyjne, ale co tam, warto poczytać, niech świadomość w narodzie rośnie!

Jeszcze sam nie zdążyłem zaktualizować wszystkich serwisów, a dziś w nocy pojawiło się kolejne wydanie Joomla! 1.5.20 nazwane senu takaa. Na chwilę bieżącą nie ma informacji co ta aktualizacja niesie za sobą.