برچسب: جوملا

جوملا چیست؟ چیزهای مهمی که درباره Joomla باید بدانید

کاور مقاله جوملا چیست؟

تکنولوژی آن‌قدر پیشرفت کرده و اینترنت آن‌قدر سریع رشد کرده که دیگر راه‌اندازی مغازه و حجره، مثل قدیم‌ها پر از دردسر و هزینه نیست. الان به کمک ابزارهای مختلف، از جمله سیستم‌های مدیریت محتوا، می‌توانید در چند روز، مغازه یا ویترین آنلاین خودتان را داشته باشید. یکی از این سیستم‌ها که به درد راه‌اندازی فروشگاه اینترنتی می‌خورد، جوملا (Joomla) است. در مقاله امروز ایران‌سرور می‌خواهیم راجع به تمام جنبه‌های جوملا (Joomla) صحبت می‌کنیم؛ اما قبل از آن باید با مفهوم سیستم مدیریت محتوا یا همان CMS آشنا شوید. [su_box title=”مروری بر تعریف سیستم مدیریت محتوا یا CMS” style=”soft” box_color=”#ffe449″ title_color=”#000000″ radius=”4″]CMS یا Content management System، کمک می‌کند تا مدیریت یک وب‌سایت از همیشه ساده‌تر شود. در واقع با استفاده از سیستم‌های مدیریت محتوا، نیاز به دانش برنامه‌نویسی به حداقل می‌رسد؛ یعنی حتی اگر اطلاعات بسیار کمی از دنیای کدها داشته باشید هم می‌توانید سایت‌تان را به‌راحتی مدیریت کنید. توصیه می‌کنیم برای کسب اطلاعات بیشتر، مقاله CMS چیست را مطالعه کنید. در ضمن برای آشنایی با CMSهای مختلف، می‌توانید مقاله انواع CMS را بخوانید. اما مقاله‌ای که در حال خواندن آن هستید، راجع به یکی از معروف‌ترین سیستم‌های مدیریت محتوا در دنیا، یعنی جوملا ‌است![/su_box] جوملا (Joomla) چیست؟ خیلی‌ها فکر می‌کنند […]

آسیب پذیری های کشف شده در جوملا (January 2021)

آخرین آسیب پذیری های جوملا در سال جدید میلادی

طبق روال همیشگی بعضی از آسیب‌پذیری‌های کشف شده در انواع سیستم‌های مدیریت محتوا را بررسی می‌کنیم. اگر مقالات ما را دنبال کرده باشید می‌دانید که در مقالات گذشته آسیب‌پذیری‌های وردپرس را به صورت دوره‌ای معرفی و هرکدام را بررسی کرده‌ایم. در این مطلب قصد داریم به معرفی اولین آسیب‌پذیری‌های کشف شده در سال جدید میلادی در سیستم مدیریت محتوای جوملا بپردازیم. تمامی این آسیب‌‎پذیری‌ها در هسته جوملا بوده و در نسخه ۳.۹.۲۴ برطرف شده‌اند. دقت کنید، در صورتی که CMS سایت شما Joomla است، حتماً باید هرچه سریع‌تر آن را به نسخه جدیدتر به‌روزرسانی کنید. اگر می‌خواهید با ماهیت این سیستم‌ها یا اصطلاحاً CMS آشنا شوید، بد نیست مقاله CMS چیست را مطالعه کنید. آسیب‌پذیری XSS در پارامترهای تصویر com_tags به دلیل یک نقص امنیتی مربوط به پارامترهای تصویر در com_tags، امکان اجرای حمله XSS در وب‌سایت وجود خواهد داشت. درجه اهمیت: پایین (Low) نسخه‌های آسیب‌پذیر جوملا: ۳.۱.۰ – ۳.۹.۲۳ راه حل رفع مشکل: آپدیت به نسخه ۳.۹.۲۴ آسیب‌پذیری XSS در mod_breadcrumbs aria-lable این مورد نیز مانند آسیب‌پذیری قبل، به دلیل یک نقص امنیتی مربوط به خصوصیت mod_breadcrumbs aria-lable، امکان اجرای حمله XSS را به هکر می‌دهد. درجه اهمیت: پایین (Low) نسخه‌های آسیب‌پذیر جوملا: ۳.۹.۰ – ۳.۹.۲۳ راه حل رفع […]

آسیب پذیری های کشف شده در جوملا (۲۰۲۰ November)

گزارش آسیب پذیری های جوملا

در این مقاله قصد داریم به معرفی آسیب‌پذیری‌هایی که به تازگی (یعنی هفته آخر نوامبر ۲۰۲۰) در سیستم مدیریت محتوای جوملا برطرف شده است، بپردازیم. (اگر دوست داشته باشید می‌توانید مقاله سیستم مدیریت محتوا چیست را مطالعه کنید.) تمامی این آسیب‎پذیری‌ها در هسته جوملا بوده و در نسخه ۳.۹.۲۳ برطرف شده‌اند. توجه کنید، در صورتی که CMS سایت شما Joomla است، حتماً باید هرچه سریع‌تر آن را به نسخه جدیدتر به‌روزرسانی کنید. آسیب‌پذیری اول از نوع Information Disclosure بوده و مشکل آن در سطح دسترسی در feature مربوط به autosuggestion در com_finder است. نسخه‌های آسیب پذیر: ۲.۵.۰-۳.۹.۲۲ آسیب‌پذیری دوم نیز از نوع Information Disclosure است و باعث افشای پسوردها در صفحه‌ی Global Configuration می‌شود. نسخه‌های آسیب‌پذیر: ۲.۵.۰-۳.۹.۲۲ آسیب‌پذیری سوم Path traversal است و دلیل وجود این آسیب‌پذیری، ضعف در اعتبارسنجی ورودی‌های پارامتر folder در mod_random_image می‌باشد. نسخه‌های آسیب‌پذیر: ۲.۵.۰-۳.۹.۲۲ آسیب‌پذیری چهارم از نوع SQL Injection است که دلیل آن تنظیمات نامناسب در فیلترها بوده و باعث حمله SQLi در com_users می‌شود. نسخه‌های آسیب‌پذیر: ۳.۰.۰-۳.۹.۲۲ آسیب‌پذیری بعدی پنجم به User Enumeration خواهد شد. این آسیب‌پذیری،به دلیل ضعف در مدیریت کاربران، در backend صفحه ورود، منجر به user enumeration خواهد شد. نسخه‌های آسیب‌پذیر: ۳.۹.۰-۳.۹.۲۲ آسیب‌پذیری ششم از نوع CSRF بوده و به دلیل نبودن token […]

گزارش حفره امنیتی در NextGen Editor جوملا

Joomla

NextGenEditor صفحه ساز قدرتمند است که به شما کمک می کند به راحتی سایت جوملا خود را ایجاد کنید. این افزونه جوملا رایگان شامل inlineediting، یک pagebuilder و ۴۰ ویدجت برای جوملا است! متاسفانه هم اکنون این ابزار در آخرین ورژن منتشر شده خود ۲.۱.۰  هم اکنون حفره امنیتی SQL-Injection  است. این حرفه امنیتی در مورخ Published: 2017-12-19 در دسترس عموم قرار گرفته است و در سایت Exploit DB  در دسترس است. هکر با کمک گرفتن از حفره امنیتیSQL Injection   در این پلاگین اجازه میگیرد که کدهایSQL  خود را تزریق کند: http://localhost/[PATH]/index.php?option=com_nge&view=config&plname=[SQL  در صورتیکه از این پلاگین استقاده می کنید در حال حاظر بهترین کار جایگزین کردن این Editor  با editor  دیگری جهت جلوگیری از بروز مشکلات امنیتی می باشد.

آموزش پاکسازی جوملای هک شده

پاکسازی جوملا هک شده

در صورتی که سایت شما هک شده و یا دارای فایل هایی با محتوای مخرب است، جهت رفع مشکل باید آن را پاکسازی نمایید.

بهترین راه یافتن فایل هایی که از طریق نفوذ و هک به سایت اضافه شده است مقایسه یا بازگردانی با نسخه بک آپ سالم و پاکیزه، مربوط به قبل از نفوذ می باشد.

اگر نسخه پشتیبانی دارید (که مطمئن هستید آلوده نیست) می توانید شروع به مقایسه فایل ها کنید ویا آن را بازگردانی کنید.

آموزش مهاجرت جوملا ۲.۵ به ۳.x – بخش دوم

جوملا

بخش اول -امنیت در جوملا  بخش دوم -آموزش مهاجرت جوملا ۲.۵ به ۳.x – بخش دوم سیستم های مدیریت محتوا بدلیل مشکلات گزارش‌شده، آشکار شدن سوءاستفاده ها و باگ های شناخته شده بصورت مداوم بروزرسانی می‌دهند، در صورتیکه که بروزرسانی ها نصب نشده باشد احتمال نفوذ به سایت شما توسط هکرها بیشتر می شود، بنابراین با اعمال آخرین بروزرسانی ها، از اطلاعتتان حفاظت کنید و همیشه توجه داشته باشید آخرین نسخه سیستم مدیریت محتوایی که ارائه می شود بر روی سایت شما فعال باشد. در بخش قبلی در مورد امنیت جوملا و اقدامات لازم پس از هک شدن سایت پرداختیم، اما در صورتیکه سایت شما هک شده باشد، شاید قادر باشید که قسمت هایی که هکر نفوذ کرده است را پاکسازی کنید اما اطمینان از اینکه کلیه قسمت ها پاکسازی شده و دیگر اثری از تغییرات هکر وجود ندارد بسیار دشوار است و همچنین در صورتیکه از نسخه های قدیمی‌تر استفاده می کنید، باید خیلی خوش‌شانس باشید که سایت شما با مشکلی مواجه نشده و یا بصورت کامل هک نشده است، بهمین دلیل در این بخش نحوه مهاجرت جوملا  ۲.۵ به ۳.x را شرح می دهیم تا با این اقدامات از  نفوذ هکر به سایت جلوگیری کنیم. – از اطلاعات […]

برطرف نمودن آسیب پذیری SQL injection در نسخه ۳.۴.۵ جوملا

تیم توسعه دهنده جوملا به دلیل بروز مشکل امنیتی مهمی، نسخه ۳.۴.۵ را جهت رفع این آسیب پذیری منتشر کرد. این آسیب پذیری خطرناک شامل SQL injection به ماژول com_contenthistory می باشد، که از طریق آن هکر می تواند به سایت نفوذ کرده و کنترل آن را به طور کامل بدست بگیرد. نسخه جدید به غیر از برطرف نمودن این مشکل امنیتی، هیچ تغییری دیگری نداشته است. در صورتی که شما کاربر این CMS می باشید (جوملا ۳.۲ و بالاتر) لازم است هم اکنون نسخه جوملای خود را بروز نمایید. SQL Injection یکی از معایب رایج در اپلیکیشن های وب است و در موارد بحرانی شبیه به این، به مهاجمان اجازه می‌دهد از طریق یک اپلیکیشن وب، به اطلاعات حساس پایگاه داده دسترسی کامل پیدا کنند. این آسیب‌پذیری سبب می‌شود کاربر غیرمجاز بتواند از راه دور و با ربودن session مدیریت؛ به‌کل وب‌سایت در سطح مدیریت دسترسی پیدا کند. این مشکل امنیتی توسط تیم TrustWave  کشف شده است. در حال حاضر به صورت تخمینی ۲.۸ میلیون وبسایت از CMS جوملا استفاده می نمایند و پس از وردپرس از محبوبیت قابل قبولی برخوردار است. در صورتی که می خواهید تشخیص دهید که سایت شما دارای این نفوذ قرار گرفته است یا […]

هاست جوملا چیست؟ چه مزایا و معایبی دارد؟

تصویر شاخص درباره هاست جوملا

هاست جوملا سازگارترین میزبان وب برای وب‌سایت‌های جوملا CMS و برنامه‌های وب نوشته شده با PHP است. از مزیت‌های این هاست آن است که نیازی به دانش عمیق درباره کدنویسی ندارید و به‌راحتی می‌توانید از آن استفاده کنید.  جوملا یکی از CMS‌های منبع باز محبوب است که میلیون‌ها کاربر وب‌سایت در سراسر جهان به آن اعتماد دارند. این پلتفرم در مقایسه با دروپال، پیچیدگی کمتری دارد، اما در مقایسه با وردپرس، کمی پیچیده‌تر است.  اگر می‌خواهید در پروژه خود از هاست جوملا استفاده کنید، باید مزایا و معایب آن را بدانید تا مطمئن شوید انتخاب درستی را انجام داده‌اید. در ادامه با ما همراه باشید تا به شما بگویم هاست جوملا چیست؟ و چه مزایا و معایبی دارد؟ هاست جوملا چیست؟  معمولا بسیاری از افراد اطلاعات خاصی درباره هاست جوملا ندارند، به همین دلیل در همان ابتدا با این سوال مواجه می‌شوند که هاست جوملا چیست؟ در پاسخ به این سوال باید گفت که جوملا یکی از بهترین سیستم‌های مدیریت محتوا (content Management system) و اپن سورس و رایگان است که از آن به‌عنوان یکی از رقبای اصلی وردپرس یاد می‌کنند.  هاست جوملا یک سرویس میزبانی مخصوص جوملا است و سازگاری بسیار خوبی با این سیستم مدیریت محتوا دارد. همچنین […]

بروزرسانی‌های امنیتی Joomla

بروزرسانی‌های امنیتی Joomla

تیم امنیتی جوملا  به تازگی ۲ نسخه بروز رسانی امنیتی برای نسخه‌های ۲.۵.۱۹ و ۳.۲.۳ ارائه کرده‌است. چنانچه برای پیاده‌سازی وب‌سایت خود از هسته جوملا استفاده کرده‌اید، برای اطمینان داشتن از امنیت سایت خود، حتما در اسرع وقت نسبت به روزرسانی و اعمال این patchها اقدام نمایید. یک تیم ۳۰ نفره متشکل از داوطلبان متخصص جوملا  توانسته‌اند ۴۰ bug (رخنه) را در مدیریت محتوای جوملا ۳.۲.۳ رفع کنند که شامل ۴ رخنه امنیتی نیز بوده‌است.       ۱. با اولویت بالا: آسیب SQL Injection در هسته اصلی جوملای  نسخه ۳.۱.۰ تا ۳.۲.۲.       ۲. با اولویت متوسط: آسیب پذیری XSS در هسته جوملای نسخه ۳.۱.۲ تا ۳.۲.۲.       ۳. با اولویت متوسط: آسیب پذیری XSS در هسته جوملای نسخه ۲.۵.۱۸ به قبل و نسخه ۳.۲.۲ به قبل.       ۴. با اولویت متوسط: آسیب پذیری دسترسی غیرمجاز از طریق احراز هویت Gmail در هسته جوملای نسخه ۲.۵.۱۸  به قبل و نسخه های ۳.۲.۲ به قبل. همانطور که مشاهده میکنید، آسیب‌های SQL Injection و دسترسی غیرمجاز از طریق احراز هویت Gmail (که به صورت پیش فرض غیر فعال می‌باشند) از اولویت بالایی برخوردار هستند. به‌نظر می‌رسد آسیب SQL injection  به دلیل عدم محافظت درست از  id مجموعه وب لینک‌ها و سوء استفاده […]