Bevezetés - A Joomláról röviden

Ha napi szinten használod az internetet, akkor valószínűleg te is találkoztál már olyan weboldallal, amely a címben említett CMS rendszerre épült. Népszerűsége a mai napig töretlen, felhasználói bázisa napról napra nő, a rendszer pedig egyre stabilabb, sokoldalúbb és megbízhatóbb. Nem véletlen hát, hogy rengeteg webfejlesztő választja ezt a tartalomkezelőt az elkészíteni kívánt honlap "motorjaként".

De ne szaladjunk ennyire előre. Első lépésként következzen egy rövid kis leírás a Joomláról, hogy biztosan mindenki képbe kerüljön.

"A Joomla! PHP-ben írt nyílt forráskódú tartalomkezelő rendszer (Content Management System, CMS), mely a Mambo elágazásaként jött létre. A rendszer MySQL adatbázist használ az adatok tárolására.
Maga a rendszer egy nagy közösség által fejlesztett moduláris termék, melynek a komponenseit úgy állították össze, hogy a legszélesebb körök igényeit is kielégítse, továbbá lerövidítse az üzembe helyezést, valamint a tartalom felvitelének idejét. Előnyei közé tartozik a moduláris felépítés, a magas szintű hozzáférés vezérlés, aminek a segítségével a felhasználók illetve a felhasználói csoportokat tudunk hozzárendelni, egyes adminisztratív feladathoz, valamint az egyes tartalmak megtekintéséhez. Átlátható adminisztrációs felülete és ennek egyszerű kezelése a kevésbé hozzáértő felhasználó számára is átlátható." (Forrás: Wikipedia)

A cikk írásának pillanatában a Joomlának öt komolyabb kiadását különböztethetjük meg egymástól. A legelső verzió - az 1.0 – 2005. szeptemberében jelent meg a Mambo átnevezett új verziójaként, ám a valódi sikert az 1.5-ös kiadás hozta el. Ezt a mai napig rengetegen használják, holott a támogatása már jó ideje megszűnt (ezzel együtt a hozzá érkező frissítések kiadása is). A következő lépcső az 1.6 és az 1.7-es kiadás volt, ám ezek koránt sem voltak annyira jelentősek és hosszú életűek, mint az 1.5 és a jelenlegi legfrissebb kiadás a 2.5. Fejlesztők már letölthetik a jelenleg béta állapotú 3.0-t is, ami értelemszerűen a 2.5-öt fogja váltani majd a megjelenés után, viszont a 2.5 támogatása még biztosan nem szűnik meg 2013 végéig.

Ki, és miért használ Joomlát?

Az első és legfontosabb előnye az, hogy nem szükséges hozzá komolyabb programozói ismeret. Ebből adódóan bárki képes akár még komplexebb és interaktívabb weboldalak létrehozására is pusztán egyszerű kattintgatásokkal és a beépített WYSIWYG szerkesztő segítségével. A legnagyobb előnye tehát ebben rejlik, de azt sem szabad elhanyagolni, hogy egyszerűen és könnyen bővíthető pluginekkel, modulokkal és komponensekkel. Pár kattintással telepíthetsz fórumot, vendégkönyvet, közösségi funkciókat és bármi egyebet, amire csak szükség lehet. Az adminisztrációs felülete sokoldalú, ám gyorsan átlátható, és nagyban megkönnyíti a munkát, a tartalom strukturálását és felvitelét.

A fentiekből is látszik, hogy ez egy sikeres és népszerű rendszer, amit a programozói ismeret nélküli honlapépítők és a profi webfejlesztők is előszeretettel használnak. Miért is ne tennék, hiszen használatával megspórolhatják azt a temérdek időt, amit egy komplex portálrendszer nulláról való megírása venne igénybe. (Itt azért megjegyezném, hogy van olyan eset, amikor ez nem elkerülhető, tehát a Joomla sem csodaszer, ebből kifolyólag vannak olyan speciális igények és feladatok, amire sajnos nem egy CMS az ideális választás).

Akkor hát hol van a buktató?

Apró betű már pedig mindig van. Mint ahogy a legtöbb CMS rendszer, úgy a Joomla sem tökéletes. Minden kódban lehetnek hibák, biztonsági sebezhetőségek, így természetesen itt is akadnak. Hiába jelennek meg frissítések, javítások, újabb verziók, mindez mit sem ér, ha maga a felhasználó vagy az oldal tulajdonosa nem veszi a fáradtságot arra, hogy alkalmazza és telepítse ezeket. Ezért sajnos rengeteg Joomla alapú weblap esett és esik hackerek vagy kártékony botok áldozatául. Elég egy régi verziójú plugin vagy egy régebbi kiadású Joomla rendszer és máris egy ketyegő bombán ülünk, hisz csak idők kérdése míg egy bot vagy egy hacker rá nem talál a weboldalunkra.

Ezen bemutatkozó után áttérnék arra, hogy miről is fog szólni a cikk. Első körben szeretném ismertetni azt, hogy milyen biztonsági hiányosságokra kell ügyelnünk és melyek a leggyakoribb biztonsági rések, amelyeken könnyedén be tud hatolni a támadó. Ezután megnézzük mit is tehetünk, ha már megtörtént a baj és az oldalunkat feltörték, módosították vagy esetleg - ékes magyarsággal szólva - kártékony kódot injektáltak a core fájlokba, végül pedig összegezni fogom, hogy milyen lépéseket is tehetünk (kell tennünk!) annak érdekében, hogy velünk ne történhessen meg ilyesmi.

Az utóbbi hetekben több felkérést, megkeresést kaptam ügyfelektől, régi ismerősöktől, barátoktól, hogy feltörték a Joomla 1.5.X weboldalukat és segítsek helyreállítani, megtisztítani és megtenni a szükséges biztonsági intézkedéseket, ezért ezen írás is főként a Joomla 1.5-ről fog szólni, ámbár azoknak is tartogathat hasznos információt, akik már az újabb verziók egyikét használják.

Vágjunk is bele!

A cikk még nem ért véget, kérlek, lapozz!