По сообщению AndyR, автора популярных русских сборок Joomla Paranoia, за последние 2 суток только ему стало известно о восьми случаях взлома сайтов на Joomla!. Однако, во всех случаях причиной взлома стали не уязвимости Joomla, а невыполнение администраторами этих сайтов простейших правил безопасности.
Причина №1: файл конфигурации доступен по записи
Вся «левая» информация помещается прямо в файл configuration.php, который, как известно, загружается всегда по include перед любыми данными. В результате вместо сайта стартует та информация, которая помещается в этот файл.
Исправления: восстановить файл configuration.php
Защита: снять права на запись с этого файла.
Причина №2: открытые по записи директории
В папку /administrator (если она доступна на запись!!!) записывается файл .htaccess (если он там отсутствует!!!) в котором переопределяется стартовый файл каталога: вместо index.php указывается другой файл, который тоже записывается в эту же папку. В результате, при запуске админки по пути (без явного указания имени файла), запускается «левый» файл, как правило, с турецкими или чеченскими национальными символами.
Исправление: удалить или восстановить файл .htaccess
Защита: следить за правами доступа или поместить в защищаемые папки файл .htaccess нулевой длины, прмещенный туда через FTP.
ПРИМЕЧАНИЕ: Описанные методы не являются недостатками Joomla, а скорее результат русского «авось», когда пользователь на следит на правами на имеющиеся файлы и папки.
Заключение
Еще раз хочется обратить внимание, на то, что после успешной установки и настройки Joomla и ее расширений, нет никакой необходимости оставлять права на запись в директории сайта (за исключением папок cache и images). Поэтому, сразу после завершения настройки сайта, рекомендуется провести ревизию прав на файлы и папки, и закрыть по записи все папки, кроме двух перечисленных. И уж конечно, нет никакого смысла оставлять доступным по записи файл конфигурации Joomla.
