Если Вы получили от меня письмо со ссылкой на эту страницу, то потому, что Ваш сайт, по всей видимости, использует версию Joomla с истёкшим сроком поддержки, то есть систему управления контентом, на которой построен Ваш сайт. На этой странице объясняется, почему это важно и как это исправить.

Является ли это сообщение подлинным?

Да. Это добросовестное уведомление в рамках ответственного раскрытия информации от независимого исследователя безопасности. Я не прошу у Вас денег, паролей или доступа к Вашему сайту и не пытался проникнуть в него или что-либо эксплуатировать.

Всё, что я сделал, это прочитал публичный файл, который Ваш сайт предоставляет каждому посетителю, а именно манифест версии Joomla, и отметил номер версии, который он публикует. Это та же публичная часть Вашего сайта, что и Ваша главная страница. Ничто в этой проверке не затрагивает Ваши данные, Вашу административную панель или какую-либо частную часть Вашего сайта. Если в моём письме была названа конкретная версия или проблема безопасности, это получено из чтения того единственного публичного файла, а не из тестирования чего-либо.

Если Вы хотите убедиться в том, кто я, ознакомьтесь с контактными данными внизу этой страницы и на странице Обо мне.

Почему это важно

Joomla 3.x достигла окончания срока поддержки 17 августа 2023 года. Более ранние ветки (2.5, 1.5) достигли окончания срока поддержки ещё за годы до этого. Окончание срока поддержки означает, что проект Joomla вообще больше не выпускает исправления безопасности для этой ветки, даже для серьёзных, публично известных уязвимостей. Новые уязвимости, обнаруженные после даты окончания срока поддержки, просто никогда не исправляются для Вашей версии.

Злоумышленники активно сканируют интернет в поисках сайтов, использующих эти неподдерживаемые версии, поскольку уязвимости хорошо задокументированы и легко обнаруживаются. К частым последствиям относятся порча сайта (Ваши страницы заменяются или изменяются), внедрение спама и использование сайта для размещения вредоносного контента. Если в моём письме упоминалась конкретная CVE, это означает, что версия, о которой сообщает Ваш сайт, попадает в диапазон, который, как известно, затрагивает эта проблема. Я не проверял, уязвим ли Ваш конкретный сайт, лишь то, что он сообщает о затронутой версии.

Хорошая новость: переход на поддерживаемый выпуск закрывает эти бреши, и существует хорошо задокументированный путь обновления.

Примеры известных уязвимостей

Ниже приведены несколько публично задокументированных уязвимостей высокой степени серьёзности, затрагивающих ветки Joomla 3.x (и более ранние) с истёкшим сроком поддержки. Поскольку эти версии не поддерживаются, подобные проблемы никогда не исправляются, а технические подробности широко опубликованы:

  • CVE-2015-8562: неаутентифицированное удалённое выполнение кода через инъекцию PHP-объектов, затрагивает Joomla с 1.5.x по 3.4.5. Она активно эксплуатировалась в реальных условиях.
  • CVE-2017-8917: критическая (CVSS 9.8) SQL-инъекция в Joomla 3.7.0.
  • CVE-2016-8869: критическое (CVSS 9.8) повышение привилегий через компонент регистрации пользователей, в версиях до 3.6.4.
  • CVE-2016-8870: несанкционированное создание учётных записей, даже когда регистрация отключена, в версиях до 3.6.4.
  • CVE-2015-7857: SQL-инъекция в компоненте истории контента, затрагивает Joomla с 3.2 по 3.4.4.

Если в моём письме упоминалась конкретная CVE, это будет одна из подобных: публично известная проблема, диапазон затронутых версий которой включает версию, о которой сообщает Ваш сайт.

Как проверить свою версию

Вам не обязательно верить мне на слово относительно того, какую версию Вы используете.

Из публичного манифеста (вход в систему не требуется): откройте в браузере yourdomain.com/administrator/manifests/files/joomla.xml. Строка <version> содержит достоверную версию ядра, и это тот же файл, который прочитал я.

Из административной панели (если у Вас есть доступ):

  1. Войдите в администрирование Joomla (обычно по адресу yourdomain.com/administrator).
  2. Откройте System, затем посмотрите на панель System Information / панель мониторинга, где отображается версия Joomla.

Если основная версия 3, 2.5 или 1.5, Вы находитесь на ветке с истёкшим сроком поддержки и Вам следует обновиться.

Как обновиться

Текущие поддерживаемые основные выпуски: Joomla 4 и Joomla 5. Всегда сначала создавайте резервную копию (файлы и база данных) перед внесением изменений; большинство хостеров предлагают резервное копирование в один клик, или Вы можете использовать расширение для резервного копирования Joomla.

Рекомендуемый путь от Joomla 3 таков:

  1. Сначала обновитесь до последней версии Joomla 3.10.x. Серия 3.10 включает встроенную предварительную проверку обновления (в компоненте Joomla Update), которая отмечает все расширения или шаблоны, ещё не совместимые с Joomla 4.
  2. Устраните несовместимые расширения/шаблоны, о которых она сообщает. Обновите их до версий, совместимых с Joomla 4/5, или найдите замену.
  3. Выполните миграцию на Joomla 4, затем обновитесь далее до Joomla 5, через Components → Joomla Update в администрировании.
  4. Ссылки для загрузки и текущий выпуск всегда доступны на официальном проекте: https://downloads.joomla.org.
  5. После обновления подтвердите новую версию, следуя приведённым выше шагам, и проверьте, что Ваш сайт загружается и редактируется нормально.

Если Ваш сайт очень старый (Joomla 1.5 или 2.5), скачок будет крупнее и его зачастую лучше выполнить как новую сборку Joomla 5 с перенесённым в неё контентом. Веб-специалист может сделать это быстро.

Заодно обновите также Ваши расширения и шаблон, поскольку тот же принцип “не поддерживается значит не исправляется” применим ко всем из них.

У меня нет веб-мастера / я застрял

Если Вы не тот человек, который обслуживает сайт, пожалуйста, перешлите эту страницу тому, кто это делает (Вашему веб-разработчику, агентству или хостинг-провайдеру). Они быстро узнают приведённые выше шаги.

Если Вы обслуживаете сайт самостоятельно и застряли, я с радостью бесплатно помогу Вам найти верное направление. Свяжитесь со мной, используя контактные данные ниже.

Контакты

Evan Harris, исследователь безопасности

Я обращаюсь по подобным вопросам исключительно для того, чтобы помочь операторам защитить их сайты. Если Вы предпочитаете, чтобы с Вами больше не связывались, просто сообщите мне об этом, и я это уважу.

Источники

Официальные источники Joomla

Сводка от третьих сторон

  • endoflife.date: Joomla (сводная таблица дат окончания срока поддержки Joomla)