Proponha uma correção, faça uma sugestão
Alerta: Milhões de sites baseados no Joomla estão vulneráveis
A segurança nas plataformas online é uma das áreas onde mais se tem investido nos últimos anos. As ameaças são cada vez mais mas há também várias descobertas que mostram que existe má programação o que leva à descoberta de vulnerabilidades que rapidamente são exploradas.
Recentemente foi descoberta uma falha de segurança no CMS Joomla que afecta mais de 2.8 Milhões de sites.
O Joomla é provavelmente um dos gestores de conteúdos web (ou CMS) mais utilizado para criação de sites a nível empresarial mas também muito usado para desenvolvimento de sites pessoais.
É um software openSource sob licença GNU/GPL, sendo actualizado por uma comunidade de programadores organizados numa estrutura não lucrativa (Joomla.org ).
Segundo alguns sites internacionais, o CMS joomla (3.2 até 3.4.4) têm falhas graves de segurança permitindo ataques do tipo SQL Injection que permitem aos atacantes "ganhar" privilégios de Administrador da plataforma.
Demonstração do Ataque
Para quem tem uma versão "vulnerável", a equipa responsável pelo Jooma aconselha já a actualização para o Joomla 3.4.5.
Este artigo tem mais de um ano
Loading ...
CMS mais conhecido pelas vulnerabilidades que tem. Dupral pls
WordPress!
Pelo core, talvez, mas deixa lá que os plugins de WP mais parecem um crivo, cheios de buracos.
WordPress não é assim tão má como antigamente… os plugins é que abrem backdoors por todo o lado. Do pior que vi foi do Revolution Slider
Imagino que seria “Drupal”.
Já experimentei tanto Drupal como Joomla, ambos têm coisas boas, mas nenhum me convenceu.
Eu cá prefiro desenvolver tudo de raiz.
Sempre gostei de fazer tudo de raíz, mas existem sistemas que ficam bem melhor com um ‘lite’ CMS, não falo nem Joomla, nem Drupal nem mesmo WordPress [que já é longe de lite], especialmente quando se fala em segurança, a não ser que sejam sistemas básicos ou páginas estáticas.
Existem muitos Joomla, no caso do artigo fala do Joomla CMS.
O Joomla Framework que é o core do Joomla CMS é um bom core para o desenvolvimento de aplicações de bem seguro.
Tudo de raíz? sem frameworks ou algo do género? ouch… gostava de ver esse código 😐
try Ghost CMS
Faz agora + / – um ano que o Drupal também teve uma falha muito grave.
Acontece… Mas neste caso do Joomla! eles avisaram com vários dias de antecedência 🙂
Ter uma plataforma destas é como ter uma planta ou um animal de estimação (ou um(a) namorado(a)). É preciso dar atenção todos os dias! 🙂 🙂 🙂
Este tipo de ataques não funciona em sites joomla empresariais.
Desculpa ?
LOL, isto é com cada um. Estás a gozar, correcto ?
Não não estou.
A nivel empresarial o contenthistory é desactivado para frontend.
E também nunca se deixa mostrar os erros ao publico, o ataque aproveita-se de o Joomla estar a mostrar os erros das extensões no site ao publico.
Sim, mas tens noção que a grande maioria das empresas de webdesign limita-se a instalar o joomla, provavelmente pelo Softaculous, e nem se dá ao trabalho de configurar medidas mínimas de segurança?
E nem vamos falar de updates.
Documentos como “Apache 2.0 Hardening Guide” ou equivalente para nginx é algo demasiado complicado para eles, estamos na era do point-and-click, salvo raras excepções ninguém está para se chatear e quer o site online o mais rápido possível. Depois? depois queixam-se…
WordPress!
WordPress? Não é assim tão seguro como pensas.. têm muitas falhas e muitos problemas de segurança, no entanto é possívelmente uma das CMS mais usadas, no entanto esta bem longe de ser segura acredita, milhares de blogs/websites são roubados por dia a custa do WordPress e claro dos utilizadores também que usam passwords fracas, e não protegem os diretórios.
por essas e por outras eu tenho o meu próprio CMS em codeigniter de 1 versão muito, mas muito remexida de pyroCMS. gente, qualquer coisa que seja muito usada, é também muito explorada! querem algo seguro? façam vocês mesmos bem feito e com ferramentas menos conhecidas, usem codeigniter por ser fácil, ou Laravel por ser mais recente e ter muitos Goodies já feitos, eu sei que isto é outra guerra como Android e iOS, mas quem sabe o que faz vai concordar comigo, o problema é a procura de programadores “WordPress” aos pontapés, minha gente, a segurança começa primeiro de tudo com o desconhecido e o total controlo sobre a plataforma, a melhor maneira de ter controlo é saber o fluxo de dados, ligações a BDS robustas e encriptadas, limpeza de strings e formulários, utilização de chaves nos posteriormente gerados pelo servidor para evitar ataques em massa, utilização dos chatos códigos em imagens, e já agora, esqueçam passes somente em md5, isto são só algumas dicas, e venham daí os programadores falar bem dstas tangas de CMS todos altamente e super rápidos dizer que são bons…. quero ver quantos deles dão manutenção e resolvem os problemas ao cliente quando estas Tretas de segurança acontecem…..
+1 pelo Pyro 😉 De lamentar, só a documentação e a arrogância do suporte deles.
pra mim é indiferente…. peguei no source code deles e modifiquei a meu proveito, tenho a versão pro, atualizei todos os script, crie tema novo de admin, novas APIs, multi-site com único login pra várias contas e permissões novas, o sistema de stremas realmente é algo que pra gestão de sites é do melhor! somente tenho de criar o HTML todo depois utilizar as lexs com as streams e ta feito! e como pouca gente conhece, melhor ainda 🙂 estou a pensar seriamente pegar na V3 em laravel e fazer o mesmo 😉