Национальный центр кибербезопасности Беларуси зафиксировал волну активных атак на веб-ресурсы, работающие на базе CMS Joomla с установленным плагином JCE (популярный редактор контента). В связи с этим владельцам сайтов, использующих данные технологии, необходимо в срочном порядке провести аудит безопасности и обновить программное обеспечение.
Что произошло:
В плагине JCE была обнаружена критическая уязвимость. Она позволяет злоумышленникам обходить аутентификацию (без ввода логина и пароля), загружать вредоносные файлы на сервер и получать полный контроль над сайтом. Уязвимости подвержены все версии JCE ниже 2.9.99.5. Атаки фиксируются в реальном времени.
Инструкция по защите сайта:
Шаг 1. Обновление плагина
Обновите JCE до версии 2.9.99.6 через административную панель Joomla.
Важно: Если сайт работает на устаревшей версии PHP (ниже 7.4) или Joomla (ниже 3.10), обновиться до последней версии не получится. В таком случае необходимо скачать и установить бесплатный патч безопасности с официального сайта разработчика: https://www.joomlacontenteditor.net/downloads/editor/security-patch
Шаг 2. Аудит профилей редактора
Перейдите в административную панель вашего сайта → Компоненты → JCE Editor → Профили.
Удалите все сторонние или незнакомые профили, особенно те, у которых есть права на загрузку файлов.
Шаг 3. Проверка директорий
Откройте корневую папку images на вашем сайте и проверьте все вложенные каталоги.
Полностью удалите любые файлы с расширениями .php или .phtml — в этой папке их быть не должно.
Что делать, если сайт уже взломан?
Если вы обнаружили следы несанкционированного доступа, выполните следующие действия:
— Смените пароли администратора Joomla, всех пользователей и доступы к базе данных (DB).
— Проверьте список администраторов на наличие учетных записей, которые вы не создавали.
— Проверьте опубликованные статьи и файлы шаблонов на предмет постороннего или вредоносного кода.
— При наличии чистой резервной копии (созданной до взлома) — восстановите сайт из нее и сразу же обновите плагин.
Какие меры приняты со стороны domain.by:
Для обеспечения базовой защиты наших клиентов до момента установки обновлений, мы временно ограничили подозрительные запросы к компоненту JCE на уровне сетевой инфраструктуры.
Обращаем внимание, что эта мера лишь снижает риски, но не заменяет полноценное обновление. Настоятельно рекомендуем выполнить инструкции из шагов 1–3 как можно скорее, если ваш сайт подпадает под выше указанные характеристики.
При возникновении вопросов, пожалуйста, обратитесь в службу технической поддержки по адресу: support@domain.by.