Joomla *

Предлагаю вашему вниманию подборку ссылок на новые материалы по Joomla! CMS за Январь 2019. В дайджесте: информация о Joomla 4, новости о Joomla, подборка ссылок на инструменты для разработчиков и вебмастеров.

Joomla очень плохо переваривает базу данных даже с несколькими тысячами статей в таблице _content. При нескольких десятках тысяч запросы в базу стандартных модулей типа mod_articles_popular могут зависать на секунды.

Всё дело в ACL (Access Control List) — политике контроля доступа. Проверка законности доступа пользователя к материалам занимает свыше 98% времени выполнения запроса.

Проверка существующих пользователей Joomla на спам

Сообщения спам-ботов (комментарии) часто замаскированы под обычные сообщения пользователей, но содержат рекламные ссылки или текст. Основными задачами таких сообщений являются, переход пользователя на вредоносный ресурс, рекламу или ссылки для повышения позиций их сайта. Это компрометирует сайт и может испортить репутацию, поисковые системы могут понизить позицию сайта в результатах поиска.

Мы реализовали проверку на спам, для комментариев и пользователей, которые уже существуют на сайте. Это позволяет администраторам веб-сайтов автоматически проверять и идентифицировать комментарии и регистрации спам-ботов, которые не были обнаружены обычными средствами защиты от спама.

В первой части говорилось об основных проблемах с которыми пришлось столкнуться при изучении Gantry 5. Здесь я постараюсь рассказать о вещах на которые стоит обратить внимание перед написанием своего шаблона.

Грамотная посадка верстки на CMS WordPress – задача важная (после нескольких проектов мне стало ясно, что это занимает достаточно много времени). Чтобы ускорить процесс, начал искать фреймворк для написания тем WordPress. О Gantry 5 узнал от коллеги, который ведёт сайты на Joomla. Он рассказал, что есть движок, который может работать, как и на WordPress, так и на Joomla (а с некоторых пор и на Grav). Вот и решил узнать о нём побольше. Ведь согласитесь, — это хорошо: работать с одной системой и, перейдя на другую, продолжить пользоваться теми же инструментами.

В русской части интернета почти ничего не нашлось — ни отзывов, ни документации, а статьи оказались поверхностными. Единственно полная информация — только на официальном сайте.

Прочитав всё, что смог найти в русскоязычном интернете и частично документацию, решил изучить Gantry 5. Использование в качестве шаблонизатора twig, и хранение конфигов в yaml формате стало дополнительным плюсом (поскольку я давно присматривался к symfony, но времени не находил – получалось частичное изучение инструментов).

Здравствуйте, уважаемые читатели хабра. Данный материал является продолжением цикла статей о том, как построить VPS-хостинг с нуля на базе RUVDS White Label API. И сегодня мы рассмотрим популярную CMS Joomla и одно из самых популярных ecommerce-решений для неё — VirtueMart.

Virtuemart

Вообще говоря, расширение существует достаточно давно (первая версия вышла аж в 2005 году).
Продукт рос и развивался вместе с CMS Joomla и на текущий момент обладает достаточно широкой функциональностью.

Давайте вместе рассмотрим плюсы и минусы плагина Virtuemart 3.

В продолжение осуществления переводов справочных материалов про лицензирование различных CMS публикую перевод такого материала про другую достаточно популярную CMS — Joomla!, которая также распространяется на условиях лицензии GPL. В тексте есть пояснения по таким вопросам, как например, можно ли продавать лицензии на Joomla!, шифровать расширения и лицензировать их на условиях иных лицензий.

Начну с того, что из всех cms joomla — моя любимая, поэтому решил написать вот такую статью. Для начала необходимо установить пакеты, которые понадобятся для установки joomla, выполните команду:

pkg install apache24 mysql56-server wget unzip

После того, как установка завершится, необходимо добавить apache и mysql в автозапуск командами:

sysrc apache24_enable="YES"

sysrc mysql_enable="YES"

Запустим apache и mysql:

service apache24 start

service mysql-server start

Во вторник 14 декабря команда разработки Joomla выпустила срочное обновление безопасности, закрывающее 0-day уязвимость, которая открывает злоумышленникам возможность удаленного исполнения кода. Хакеры уже активно пытаются атаковать уязвимые сайты.

Известно, что для того, чтобы удержать посетителя на сайте, нужно правильно обрабатывать HTTP/1.0 404 и другие подобные коды. На просторах интернета можно найти массу занимательных примеров страниц 404, а также руководств – что и как сделать, чтобы ошибка 404 правильно обрабатывалась сайтом как для посетителя, так и для поисковых систем.

Хочу с вами обсудить проблему 404 для сайтов Joomla.

Миллионы сайтов, работающих на CMS Joomla, могут быть взломаны, причем злоумышленник получает административный доступ к взломанному сайту. Это — следствие уязвимости в Joomla, которую исправили только на прошлой неделе (само собой, далеко не все сайты обновились, с тем, чтобы получить это исправление бага). Под управлением Joomla сейчас работает около 2,8 миллионов сайтов.

Уязвимость, связанная с SQL-инъекцией, была исправлена на прошлой неделе, с выходом новой версии Joomla 3.4.5. Уязвимость позволяла злоумышленнику выполнить вредоносный код на сервере с запущенной CMS Joomla, обнаружена эта уязвимость была впервые в ноябре 2013 года, и только сейчас ее закрыли.

Довелось мне сейчас настраивать Akeeba Backup Pro на удалённое хранение резервных копий в Dropbox. И по ходу процесса оказалось, что Akeeba умеет только захламлять тот самый Dropbox, а вот подчищать старьё после него придётся вручную. Но вручную — не комильфо, да и архивы по гигабайту с небольшим. Следовательно, нужно как-то избавляться от устаревших без помощи рук.

Итак, дано — полные бэкапы аплоадятся в папку "full" каждые три часа. Базы Mysql — в папку "mysql" каждые полчаса. Так хозяину сайта хочется, он под это дело Dropbox Pro оплатил.

Надо — удалить все старые полные архивы, оставив по одному за день (а чтоб был!), и все бэкапы Mysql, кроме сегодняшних.

Разработчики, и те, кто ими не является, используют системы управления контентом для работы с сайтами. Этих систем довольно много, но особо популярны среди них три: WordPress, Drupal и Joomla.

Joomla лучше подходит для разработки сайтов, сложнее, чем блоги на WordPress, но проще, чем Drupal. Одно из преимуществ Joomla – это количество расширений. Они помогают расширить и настроить внешний вид и функциональность сайта.

JSitemap

Карта сайта – это список важных страниц, который помогает поисковикам вроде Google найти и проиндексировать важный контент. JSitemap – один из лучших генераторов карт для Joomla, который предлагает инновационный способ работы с картами сайта. По утверждениям создателей, это расширение на 400% увеличивает видимость сайта поисковиками.

После установки JSitemap вам не придётся ждать момента, когда поисковик просмотрит весь ваш сайт – вместо этого вся информация сразу сможет отправиться в базы поисковиков.

Введение

В предыдущей статье мы изучили, как создать тему для WordPress. Давайте сегодня на основе этого же шаблона Corporate Blue попробуем создать сайт на второй по популярности CMS – Joomla! Поскольку в статье описывается в основном вёрстка, будем считать, что Joomla! у вас уже установлена. Если вы не знаете, как установить Joomla!, то инструкцию можно найти здесь. В данном руководстве мы не будем подробно описывать CSS стили и HTML код – это было сделано в самой первой статье. Вместо этого рассмотрим детально особенности создания шаблона именно для Joomla!

Для компонента каталога необходимо организовать красивые ссылки. Я опишу на живом примере, что для этого необходимо сделать. Статья пишется на ходу. Пишу код, тестирую, если все работает, дописываю статью.

Для начала нужно создать router.php в папке компонента (/components/com_catalog/router.php).

Добавим в него функцию которая будет генерировать url:

function catalogBuildRoute(&$query)
{
       $segments = array();
       if (isset($query['view']))
       {
                $segments[] = $query['view'];
                unset($query['view']);
       }
       if (isset($query['id']))
       {
                $segments[] = $query['id'];
                unset($query['id']);
       };
       return $segments;
}

Вторая функция будет разбирать url на составные части:

По долгу работы в Айри я иногда разбираю ошибки функционирования сайта на сетевом уровне / уровне браузерного взаимодействия. Обычно это сводится к простому анализу заголовков запроса-ответа и воспроизведению тривиальных условий. Но иногда бывают интересные случаи.

Все начиналось холодным февральским вечером. Клиент написал о странной проблеме при ускорении сайта: слайд-шоу множилось и блокировало поведение сайта, страницы были недоступны. Через два дня после выяснения всех подробностей я узнал, почему Mootools и jQuery категорически нельзя использовать совместно. И подтвердился в мысли, что и «алкоголь — зло», и «eval — зло».

Но обо всем по порядку.

Буквально на днях столкнулся с новым (*?) вариантом спам-вируса для веб-сайтов. Гугл определяет его как «Внедрение через URL».

Описание

На вашем сайте появляются ссылки которых не было и быть не могло — вы, например, четко знаете структуру сайта и оригинальный вид URL, который отличается от «левых» URL. В частности, в индексе поисковиков появляются ссылки вида:

www.site.ru/?jn=xxxxxxxx

Поиск и устранение

Яндекс-Вебмастер пока не реагирует на них, а вот в инструментах Гугла для вебмастеров выдается предупреждение о возможном взломе сайта. Там же даны рекомендации по поиску. К сожалению они довольно общие и конкретный поиск проблемы занимает время. Антивирусы и он-лайн анализаторы сайтов — результата не дают. Только ручками.

Вариант А: Код не обфусцирован

1. Ищем в исходниках кто и как у нас пользует переменную $_GET['jn']
2. Далее по коду смотрим кто где гадит (например: \js\swfupload\plugins\jquery\)

Вариант Б: Код обфусцирован

1. Ищем каталог с файлами, названия которых идут после "?jn="
2. Ищем подозрительные исполняемые файлы типа images/c0nfv.php
3. Можно сделать поиск путей где могут быть файлы а-ля "/img/icon/thumb/jquery.php"
4. Проверить дату изменения конфигов CMS
5. Рекомендуется проверить на наличие (корректность) файлов base.php — это само тело вируса, код обфусцирован
6. Проверяем дату jquery.php и сравниваем ее с датой обнаружения вируса по мониторингу инструментов вебмастеров Гугла.

Встречается

• CMS: Joomla, WordPress, DLE, PrestaShop, HostCMS
• Plugins: ImageZoomer, SWFupload, BlockCategories
• Велика вероятность появления практически во всех плагинах, которые используют JQuery и в тех местах, где у админов ручки не дошли до настройки.

Полный код (необфусцированного) зловредного кода под катом.

Слово Jumla на языке суахили означает «все вместе», «как одно целое».

Когда-то давно, довольно долгое время я верстал сайты на HTML/CSS/JavsScript и не имел никакого представления о CMS.
Пугающим моментом было то, что как я полагал владение PHP является крайне необходимым, однако по факту каких-то базовых знаний оказалось достаточно (простой код оказывается понятен программисту любого другого языка, а в дебри лезть не обязательно).
Для человека, владеющего только версткой и скриптами, довольно достаточно знать какие-то определенные моменты, для того, чтобы с ходу приступить к работе с Joomla.
Что-то в этих моментах схоже с другими CMS, что-то отличается.
Постарался изложить эти моменты кратко. Если бы они мне были известны сразу, то смог бы начать создавать администрируемые пользователями сайты гораздо быстрее.
Итак, если вы владеете HTML, но не имеете представления о CMS Joomla, то вам следует нажать кнопку ниже.

Описание

Уязвимость позволяет удалённому злоумышленнику извлечь архив, хранящийся где-то удалённо, на атакуемый сайт во время распаковки резервной копии или установки обновлений, в зависимости от настроек. Само наличие уязвимости не позволяет её использовать. Злоумышленник должен атаковать именно в то время когда извлекается архив резервных копий или устанавливается пакет обновления Joomla!

Версии программного обеспечения, подверженные уязвимости

• Akeeba Backup for Joomla! Professional, версии 3.0.0 и выше, включая 4.0.2
• Akeeba Backup Professional for WordPress, 1.0.b1 и выше, включая 1.1.3
• Akeeba Solo, 1.0.b1 и выше, включая 1.1.2
• Admin Tools Core and Professional, version 2.0.0 и выше, включая 2.4.4. Более поздние версии не подвержены, так как не включают в себя Joomla! update.
• Akeeba CMS Update, version 1.0.a1 и выше, включая 1.0.1
• Joomla! 2.5, 3.0, 3.1, 3.2, 3.3 и выше, включая 3.3.4

До того, как я начал работать над текущим проектом, я не думал, что мне когда либо придется использовать инструменты для автоматической сборки проектов. Ведь работаю я исключительно с интерпретируемыми языками, которым не нужна компиляция. Однако, как оказалось, они могут быть полезными и при разработке на PHP, и особенно при работе с Joomla!