コアファイルの変更を確認するための推奨される拡張子/ツールですか?

16

Joomlaサイトを最新バージョンにアップデートするとき、私がアップグレードしようとしているサイト(6年前の私など)が不正な開発者によって過去に構築したものが機能変更(「ハック」)した場合、コアJoomlaファイル。

理想的な世界では、次のような拡張機能またはツールを使用することで、この潜在的な冠動脈を回避できます。

  • Joomlaの各バージョンに含まれるすべてのコアJoomlaファイルを知っている
  • Joomlaインストールの各ファイルをGithubなどのマスターJoomlaソースファイルと比較します(MD5ハッシュ比較など)
  • それらが異なる場合は、差分ツールを開始して違いを見つけ、レビューのためにフラグを立てます
  • 同じ素晴らしいものであれば、アクションは不要です
  • 最後に、上記のプロセスの結果を詳述するレポートを生成します

上記のほとんどを実行するこの拡張機能を見つけましたが、J2.5.7以降、またはJ3.X向けにまったく更新されていないので、公開されていません。

私の会社では、MyJoomlaを使用して、完全なJoomlaサイト「監査」(Joomlaサイトのベストプラクティスガイドラインと修正の長いチェックリスト)を時々実施していますが、その一部は「コアファイル整合性チェック」です。ただし、このサービスには月額のサブスクリプション料金があり、アップグレードを行う前にファイルがハッキングされているかどうかを確認するだけです。

誰か他のソリューションを知っていますか?「コアファイルをハッキングしないでください」を除けば、ごく最近まで、追加の、多くの場合は未払いの作業を行わずに特定のタスクを実行する他の方法がなかったことがありました。

cms  update 
コーディングハンド
ソース
1
Myjoomla.comは、Joomlaコアの変更を支援する優れたツールを提供します。
github.com/btoplak/Joomla-Anti-Malware-Scan-Script--JAMSS- JAMS- すべてのファイルをスキャンし、可能性のあるハッキングとファイル変更の日付を特定します
-iamrobert

回答:

11

gitよりも優れたツールを想像することはできません。これは、コードに加えた変更を追跡するための優れたツールであり(コードを作成している場合)、Joomlaがコードを提供するために使用するシステムです(これは素晴らしいことです)。これがその目的です。

ワークフローは非常にシンプルであり、かなり心配する必要はありません。

  1. joomlaのWebサイトをバックアップします(とにかく以前にやっていたことですか?)
  2. バックアップコピーをローカルにセットアップします。
  3. git initローカルコピーのルートフォルダーで実行します。次に、を実行git add --allgit commitます。これにより、現在のコードのスナップショットが取得されます。
  4. 現在のJoomlaバージョンに一致するパッチを入手します。
  5. ローカルコピーにそのパッチをインストールします。
  6. 実行するgit diffと、実行中のファイルとコアファイルのファイルのすべての相違点のリストが表示されます。

これは非常に「開発」的な回答であり、コマンドラインでgitを使用したいとは限らないことを認識しています。Git GUI(Githubのクライアントなど)を使用する場合、GUIは通常差分を自動的に表示するため、最後の手順をスキップできます。

最終的にこの方法は、Joomlaにコードを記述して貢献するのに役立つスキルを教え、ローカルですべてのチェックを保持するため、コードを別のWebサイトやサービスに配送する必要がないため、この方法をお勧めします!

デビッド・フリッチュ
ソース
私はこの方法が好きですが、通常、メンテナンスは時間を無視できるようにしようとしています(したがって、MyJoomlaにお金を払っています)。しかし、私はこれをやり始めるかもしれないので、ありがとう。
コーディングハンド14年
1
うん。サイト開発の制御と追跡にgitを既に使用している場合、これは非常に高速になります。古いサイトのサポートには役立ちませんが、gitの使用は簡単になるため、この方法ですばやく使用できます。
デビッドフリッチュ
Gitは人気がありますが、常に最良とは限りませんので、答え一般化したいと思います。あなたに合ったリビジョン管理ソフトウェアを選択してください。
ミロクスラフ
サードパーティのテンプレートの一部として提供され、com_contentをオーバーライドする拡張機能を変更または複製しようとしています。最初に、リバースエンジニアリングする必要があるため、このソリューションが変更されたファイルと追加のファイルの両方を見つけるのに役立つことを願っています(多くの場合でも-優れたツールと方法論が必要です)。このソリューションがそのために働くことを願っています:
NivF007
5

これはFFrewinの答えの延長です。Akeebaは、SiteDiffと呼ばれる無料のツールも作成します。Akeebabackupでバックアップされた2つのサイトを比較できます(無料版もあります)。

これを機能させるには、2つのバックアップが必要です。1つはサイトのバックアップです(バージョン2.5.19だったとしましょう)。他のバックアップでは、Joomla 2.5.19の新しいコピーをインストールしてから、そのインストールのバックアップを作成する必要があります。次に、SiteDiffツールを使用して2つのバックアップを比較します。

この方法の問題は、サイトのバックアップに、新規インストールよりも多くのファイルがあることです。余分なファイルは相違点として表示され、コアの変更を残りの「ノイズ」と区別するのが困難になる可能性があります。

TryHarder
ソース
3

http://audit-fs.co.za/には、変更されたJoomlaファイルや破損したJoomlaファイルを表示するAudit_FSという無料のツールがあります。

基本的なセキュリティツールとして、Audit_FSは、Joomla!®ファイルのみの監査を実行し、ファイルとディレクトリのアクセス許可を確認するように設計されています。データベースレコードの変更やハッキングをチェックしたり、インストールした拡張機能のファイルをチェックしたりしません。監査レポートは、.htaccess、robots.xt、configuration.php、configuration.php-dist、copyright.phpも無視します。

リチャード
ソース
2

あなたが言及したもの以外の拡張機能は知りません。これはJ2.5のどこかで停止しています。

これを処理する私の方法は、デスクトップアプリケーションを使用してファイル/フォルダーを比較し、問題のサイトを元のjoomlaバージョンと比較することです。私は個人的にMacでDiffMergeを使用しています。

私が知っているもう1つのユーティリティは、サイト上のハッキング/変更されたファイルの追跡に役立つ可能性があるAdmin Tools proです。PHPスキャナーツールを提供します。しかし実際には、これは、起動後に開発およびスキャンしたサイト用であり、ハッキングの試み後に感染ファイルを発見するのに役立ちます。

FFrewin
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.