web-dev-qa-db-ja.com

コアファイルの変更をチェックするための推奨拡張機能/ツール?

Joomlaサイトを最新バージョンに更新するとき、私がアップグレードしているサイトが過去に不正な開発者(つまり、6年前)によって構築された場合、機能の変更(「ハッキング」)が発生した場合に備えて、常にマイナーパニックが発生します。コアJoomlaファイル。

理想的な世界では、次のような拡張機能やツールを用意することで、この潜在的な冠状動脈を回避できます。

  • Joomlaの各バージョンに含まれるすべてのコアJoomlaファイルを知っています
  • Joomlaインストールの各ファイルをGithubのマスターJoomlaソースファイルと比較します(MD5ハッシュ比較のようなものでも)
  • 異なる場合は、相違点ツールを開始して相違点を見つけ、確認のためにフラグを立てます。
  • それらが同じで素晴らしいものである場合、アクションは必要ありません
  • 上記のプロセスの結果を詳述したレポートを最後に生成します

上記のほとんどを行う this extension を見つけましたが、J2.5.7以降、またはJ3.Xではまったく更新されていません。

私の会社では MyJoomla を使用してJoomlaサイトの完全な「監査」(Joomlaサイトのベストプラクティスガイドラインと修正の長いチェックリスト)を時々実施しています。その一部は「コアファイルの整合性」です小切手'。ただし、このサービスには月額のサブスクリプション料金があり、私が本当に確認したいのは、アップグレードを行う前にファイルがハッキングされていないかどうかだけです。

誰か他の解決策を知っていますか? さておき「コアファイルをハックしない」から-ごく最近まで、追加の、多くの場合は未払いのボートロードなしで特定のタスクを実行する他の方法が時々なかった、仕事。

cmsupdate
16
codinghands

git よりも優れたツールは想像できません。これは、コードに加えた変更(ある場合)を追跡するための優れたツールであり、Joomlaがコードを提供するために使用するシステムです(これは素晴らしいことです)。これがその目的です!

ワークフローはかなりシンプルで、心配する必要はほとんどありません。

  1. JoomlaのWebサイトをバックアップします(とにかく以前に行っていました)。
  2. ローカルにバックアップコピーを設定します。
  3. ローカルコピーのルートフォルダーでgit initを実行します。次に、git add --allおよびgit commitを実行します。これにより、現在のコードのスナップショットが作成されます。
  4. 現在のJoomlaのバージョンに一致するパッチを入手してください。
  5. ローカルコピーにそのパッチをインストールします。
  6. git diffを実行すると、実行中のファイルとコアファイルとの間のファイルのすべての違いのリストが表示されます。

これはかなり「開発」の答えであり、誰もがコマンドラインでgitを使用したいとは限らないことを認識しています。 Git GUI(Githubのクライアントなど)を使用している場合、GUIは通常、差分を自動的に表示するため、最後の手順をスキップできます。

最終的にはこの方法をお勧めします。どちらも、コードを記述してJoomlaにコントリビュートする場合に役立つスキルを教え、すべてのチェックをローカルで維持するので、コードを別のWebサイトやサービスに送信することを心配する必要がないからです。

11
David Fritsch

これはFFrewinの答えの延長です。 Akeebaは、SiteDiffと呼ばれる無料のツールも作成します。それはあなたがAkeebabackupでバックアップされた2つのサイトを比較することを可能にします(それの無料版もあります)。

これを機能させるには、2つのバックアップが必要です。 1つのバックアップはあなたのサイトのものになります(バージョン2.5.19であるとしましょう)。他のバックアップについては、Joomla 2.5.19の新しいコピーをインストールしてから、そのインストールのバックアップを作成する必要があります。次に、SiteDiffツールを使用して2つのバックアップを比較します。

この方法の問題は、サイトのバックアップに新規インストールよりも多くのファイルが含まれることです。余分なファイルは違いとして表示され、コアの変更を残りの「ノイズ」から識別することが困難になる可能性があります。

5
TryHarder

http://audit-fs.co.za/ には、Audit_FSと呼ばれる無料のツールがあり、変更されたJoomlaファイルや破損したJoomlaファイルを表示します。

基本的なセキュリティツールとして、Audit_FSはJoomla!®ファイルのみの監査を実行し、ファイルとディレクトリの権限をチェックするように設計されています。データベースレコードの変更やハッキングをチェックしたり、インストールした拡張機能のファイルをチェックしたりすることはありません。監査レポートでは、.htaccess、robots.xt、configuration.php、configuration.php-dist、copyright.phpも無視されます。

3
Richard

あなたが言及した拡張機能以外の拡張機能は知りません。J2.5のどこかで停止されています。

これを処理する私の方法は、ファイル/フォルダー比較にデスクトップアプリケーションを使用することであり、問​​題のサイトを元のjoomlaバージョンと比較します。私は個人的にMacでDiffMergeを使用しています。

サイト上のハッキング/変更されたファイルを追跡するのに役立つ可能性のあるもう1つのユーティリティは、Admin Tools proです。 phpスキャナーツールを提供します。しかし実際には、これは起動後に開発およびスキャンしたサイト用であり、ハッキングの試行後に感染ファイルを発見するのに役立ちます。

2
FFrewin