Dacă ați primit de la mine un e-mail care vă îndrumă către această pagină, este pentru că site-ul dumneavoastră pare să ruleze o versiune Joomla ajunsă la sfârșitul ciclului de viață, sistemul de gestionare a conținutului pe care este construit site-ul. Această pagină explică de ce contează acest lucru și cum se remediază.

Este acest mesaj legitim?

Da. Aceasta este o notificare de bună-credință, prin divulgare responsabilă, din partea unui cercetător independent în securitate. Nu vă cer bani, parole sau acces la site-ul dumneavoastră și nu am încercat să pătrund în el sau să exploatez ceva.

Tot ce am făcut a fost să citesc un fișier public pe care site-ul dumneavoastră îl servește fiecărui vizitator, un manifest de versiune Joomla, și să notez numărul versiunii pe care îl publică. Aceasta este aceeași parte publică a site-ului ca și pagina dumneavoastră de start. Nimic din această verificare nu atinge datele dumneavoastră, zona de administrare sau vreo parte privată a site-ului. Dacă e-mailul meu a menționat o versiune sau o problemă de securitate anume, aceasta a rezultat din citirea acelui singur fișier public, nu din testarea a ceva.

Dacă doriți să verificați cine sunt, consultați datele de contact din partea de jos a acestei pagini și pagina Despre.

De ce contează

Joomla 3.x a ajuns la sfârșitul ciclului de viață pe 17 august 2023. Ramurile anterioare (2.5, 1.5) au ajuns la sfârșitul ciclului de viață cu ani înainte de aceasta. Sfârșitul ciclului de viață înseamnă că proiectul Joomla nu mai emite deloc corecturi de securitate pentru acea ramură, nici măcar pentru vulnerabilități grave, cunoscute public. Noile vulnerabilități găsite după data sfârșitului ciclului de viață pur și simplu nu sunt niciodată corectate pentru versiunea dumneavoastră.

Atacatorii scanează activ internetul în căutarea site-urilor care rulează aceste versiuni fără suport, deoarece vulnerabilitățile sunt bine documentate și ușor de găsit. Printre rezultatele frecvente se numără defăimarea site-ului (paginile dumneavoastră înlocuite sau modificate), injectarea de spam și folosirea site-ului pentru găzduirea de conținut malițios. Dacă e-mailul meu a citat un CVE anume, înseamnă că versiunea raportată de site-ul dumneavoastră se încadrează în intervalul pe care se știe că acea problemă îl afectează. Nu am testat dacă site-ul dumneavoastră anume este exploatabil, ci doar că raportează o versiune afectată.

Vestea bună: trecerea la o versiune cu suport închide aceste breșe și există o cale de actualizare bine documentată.

Exemple de vulnerabilități cunoscute

Acestea sunt câteva dintre vulnerabilitățile documentate public, de severitate ridicată, care afectează ramurile Joomla 3.x (și anterioare) ajunse la sfârșitul ciclului de viață. Deoarece aceste versiuni nu au suport, probleme ca acestea nu sunt niciodată corectate, iar detaliile tehnice sunt publicate pe larg:

  • CVE-2015-8562: execuție de cod la distanță fără autentificare prin injecție de obiecte PHP, afectând Joomla de la 1.5.x până la 3.4.5. Aceasta a fost exploatată activ în mediul real.
  • CVE-2017-8917: injecție SQL critică (CVSS 9.8) în Joomla 3.7.0.
  • CVE-2016-8869: escaladare de privilegii critică (CVSS 9.8) prin componenta de înregistrare a utilizatorilor, în versiunile anterioare 3.6.4.
  • CVE-2016-8870: crearea neautorizată de conturi chiar și atunci când înregistrarea este dezactivată, în versiunile anterioare 3.6.4.
  • CVE-2015-7857: injecție SQL în componenta de istoric al conținutului, afectând Joomla de la 3.2 până la 3.4.4.

Dacă e-mailul meu a citat un CVE anume, va fi unul precum acestea: o problemă cunoscută public al cărei interval de versiuni afectate include versiunea raportată de site-ul dumneavoastră.

Cum să vă verificați versiunea

Nu trebuie să mă credeți pe cuvânt cu privire la versiunea pe care o rulați.

Din manifestul public (nu este nevoie de autentificare): deschideți yourdomain.com/administrator/manifests/files/joomla.xml într-un browser. Linia <version> este versiunea autoritară a nucleului, iar acesta este același fișier pe care l-am citit eu.

Din zona de administrare (dacă aveți acces):

  1. Autentificați-vă în administrarea Joomla (de obicei la yourdomain.com/administrator).
  2. Deschideți System, apoi uitați-vă la panoul System Information / tabloul de bord, care afișează versiunea Joomla.

Dacă versiunea majoră este 3, 2.5 sau 1.5, vă aflați pe o ramură ajunsă la sfârșitul ciclului de viață și ar trebui să actualizați.

Cum să actualizați

Versiunile majore cu suport în prezent sunt Joomla 4 și Joomla 5. Faceți întotdeauna mai întâi o copie de rezervă (fișiere și baza de date) înainte de a face modificări; majoritatea gazdelor oferă copii de rezervă cu un singur clic sau puteți folosi o extensie de backup pentru Joomla.

Calea recomandată de la Joomla 3 este:

  1. Actualizați mai întâi la cea mai recentă versiune Joomla 3.10.x. Seria 3.10 include o verificare prealabilă a actualizării integrată (în componenta Joomla Update) care semnalează orice extensii sau șabloane care nu sunt încă compatibile cu Joomla 4.
  2. Rezolvați extensiile/șabloanele incompatibile pe care le raportează. Actualizați-le la versiuni compatibile cu Joomla 4/5 sau găsiți înlocuitori.
  3. Rulați migrarea la Joomla 4, apoi actualizați mai departe la Joomla 5, din Components → Joomla Update în administrare.
  4. Linkurile de descărcare și versiunea curentă sunt întotdeauna disponibile la proiectul oficial: https://downloads.joomla.org.
  5. După actualizare, confirmați noua versiune folosind pașii de mai sus și verificați că site-ul se încarcă și se editează normal.

Dacă site-ul dumneavoastră este foarte vechi (Joomla 1.5 sau 2.5), saltul este mai mare și adesea este cel mai bine realizat ca o construcție Joomla 5 nouă, cu conținutul dumneavoastră migrat. Un profesionist web poate face acest lucru rapid.

Cât timp faceți asta, actualizați și extensiile și șablonul, deoarece același principiu “fără suport înseamnă necorectat” se aplică tuturor.

Nu am un webmaster / m-am blocat

Dacă nu sunteți persoana care întreține site-ul, vă rog să transmiteți această pagină celui care o face (dezvoltatorul dumneavoastră web, agenția sau furnizorul de găzduire). Vor recunoaște rapid pașii de mai sus.

Dacă întrețineți site-ul dumneavoastră și v-ați blocat, vă ajut cu plăcere să vă orientați în direcția corectă, fără niciun cost. Contactați-mă folosind datele de contact de mai jos.

Contact

Evan Harris, cercetător în securitate

Iau legătura în privința unor probleme ca aceasta pur și simplu pentru a ajuta operatorii să-și securizeze site-urile. Dacă preferați să nu mai fiți contactat, doar spuneți-mi și voi respecta acest lucru.

Referințe

Surse oficiale Joomla

Sinteză terță