MP:Mediaprojekte » Joomla/Mambo

Pimp your CMS – Javascript Frameworks in Joomla!

MP:Thorsten — Wed, 03 Oct 2007 11:41:58 +0000

Wie man mit Frameworks wie z.B. JQuery oder Prototype sein bestehendes CMS erweitern kann und was man damit realisieren kann zeigt diie Website http://wwww.joomla-downloads.de am Beispiel des Open Source CMS Joomla!. Versteht man das System dahinter macht man sich laut der Autoren unabhängig von extra Komponenten und kann die gewünschten Effekte selbst in sein Joomla integrieren. Sicherlich nicht so einfach wie sich vielleicht mancher wünscht, aber auch auch nicht so schwer das es nicht zu schaffen wäre. Neben Beispielen, Tipps und Tricks, Tutorials etc. gibt es vor allem auch interessante Links zum Thema:

Einfach mal reinklicken:

Teil 1 –> Frameworks wie MooTools, jQuery und Prototype
Teil 2 –> Neue Anwendungen bekannter Techniken mit Javascript
Teil 3 –> Ajax mit Beispielen kurz erklärt

Joomla! Radio vor dem Aus – Hilfeaufruf!

MP:Thorsten — Fri, 01 Sep 2006 08:51:35 +0000

Der Hilferuf von Andreas Duswald macht in der Joomla!-Community schon seit ein paar Tagen die Runde…

Jetzt wollen wir uns ebenfalls bei der "Rettet das Joomla!-Radio" Aktion beteiligen.

Das Joomla Radio stellte nach eigener Aussage die Webseite ein und wird keine weiteren News zum CMS innerhalb der Sendung bringen. Aufgrund der hohen Kosten und geringen Resonanz lohne es sich einfach nicht entsprechende News zu bringen. Schade, da gerade auf diesem Gebiet praktisch keine Angebote existieren. Die Webseite selbst soll zwar noch online bleiben, aber nicht weiter gepflegt werden wenn sich keine Unterstützung findet. Eine kleine Hintertür bleibt aber offen da Andreas Duswald ausdrücklich schreibt das mit etwas mehr Hilfe das Projekt durchaus weiter geführt werden könnte. Dies sollte also der beste Zeitpunkt sein um aktiv zu werden und das Joomla Radio doch noch zu retten. Wer Hilfe welcher Art auch immer anbieten kann schreibt bitte direkt über das Kontaktformular seiner Webseite.

Wäre schön, wenn die Community nicht immer nur nimmt, sondern auch mal Eigeninitiative zeigt und gibt!

Joomla 1.0.11 erschienen

MP:Stefan — Tue, 29 Aug 2006 13:58:16 +0000

Wie aus verschiedenen Quellen zu hören/lesen, ist die neue Version von Joomla erschienen. Und steht zum Download bereit.

Insgesamt wurden 26 Sicherheitslücken gestopft:

```
4 HIGH Level Threats
```
```
4 MEDIUM Level Threats
```
```
18 LOW Level Threats 
```

Zu den Änderungen: Joomla! – 1.0.11 Changelog

Jedoch sollten Anwender wohl vorerst davon absehen, die neue Version direkt auf- bzw. einzuspielen da es noch zu einigen Problemen kommt!

Joomla! Schulungen für Anwender und Entwickler

MP:Thorsten — Thu, 17 Aug 2006 15:17:37 +0000

Es gibt inzwischen zahlreiche Bücher zum Open Source CMS Joomla!. So zahlreich wie die Einsatzmöglichkeiten sind hierbei leider auch die Fragen und Missverständnisse…

Wer sich ungern mit Büchern beschäftigt, und eher das persönliche Gespräch sucht, dürfte bei den neuen Lehrgängen für Joomla! fündig werden. Statt trockener Texte bietet basta!media intensive Schulungen für kleine Gruppen an. Ein Paket das sich speziell an Anwender richtet (Redakteure), und auf der anderen Seite ein Paket für Entwickler die Joomla auch installieren und als Administratoren tätig werden. Je nach Aufgabe nur die Informationen die für den jeweiligen Benutzerkreis wichtig sind und dafür besonders intensiv behandelt. Wer also auf eine schnelle Einarbeitung angewiesen ist, dürfte sich über dieses Angebot besonders freuen.

http://www.joomla-schulungen.de

Quelle: http://www.joomla-downloads.de

Joomla! Seite gehackt was nun?

MP:Thorsten — Wed, 16 Aug 2006 14:26:02 +0000

Die Postings über gehackte Joomla! Seiten nehmen immer mehr zu. In zahlreichen Foren beklagen sich User darüber, dass Ihre Websites manipuliert oder sogar unbrauchbar gemacht wurden. Dies hängt nicht zuletzt mit der Nachlässigkeit einiger Administratoren zusammen, die es nicht einsehen eine funktionstüchtige Website zu aktualisieren. Doch leider ist das gerade bei Joomla! ein absolutes Muss!

Für alle, die das bis jetzt versäumt haben, sei eine regelmäßige AKtualisierung empfohlen. Für die Unglücklichen, bei denen das Kind bereits in den Brunnen gefallen ist, soll die nun folgende Spurensuche und Fehlerbehebung eine kleine Hilfe sein:

Daten sichern (sofort!). Auch wenn die Seite selbst nicht mehr läuft ist es wichtig den "Ist-Zustand" auf einen sicheren Datenträger zu bekommen. Joomla selbst kann man relativ leicht wieder zum Laufen bewegen und reparieren, alle Artikel und Einträge in der Datenbank sind aber für immer verloren wenn zu gründlich und unüberlegt reagiert. Zu diesem Zeitpunkt nicht die Backupfunktion des Hoster benutzen, man überschreibt sonst das letzte funktierende Backup das retten könnte. Richtet einen neuen Ordner auf eurer Festplatte an und speichert dort die Daten. Hier eine Liste wie man vorgehen sollte…

Die Datenbank selbst mit phpmyadmin sichern, das ist das wichtigste an Joomla!

Den kompletten Ordner des verwendeten Templates

Den Ordner "images" damit die Bilder und Grafiken in Artikeln nicht verloren gehen.

Ist eine Galerie vorhanden müssen auch dort die Ordner mit den Bildern gesichert werden.

Je nach anderen Komponenten (z.B. Forum auch das Verzeichnis mit den Avataren der Benutzer) auch dort Daten sichern die nicht bei Joomla enthalten sind oder sich nicht nachträglich installieren lassen.

Hoster informieren. Logfiles sichern (lassen) und schauen ob ungewöhnliche URL’s aufgerufen wurden. Hier findet man einen Hinweis wo der Angreifer eindrigen konnte und sich die potenzielle Schwachstelle befindet. Dieser Schritt ist ebenfalls wichtig wenn man Anzeige bei der Polizei erstatten möchte. Der Hoster könnte es bemerkt haben, muß es aber nicht zwangsläufig. Diese Information ist aber wichtig für ihn damit er kontrollieren kann ob evtl. weitere Programme ausserhalb von Joomla auf dem Server installiert wurden. Einfach eine kurze Mail mit eurem Webpaket, Namen und kurzer Info was passiert ist. Dies kann auch nützlich sein wenn der Hoster selbst für seine Kunden keine eigene Backup-Funktion anbietet, sie aber doch intern auf seinen Servern laufen lässt. Manche Hoster machen sich die Mühe dann gezielt nach euren Daten zu suchen. Teilweise gegen kleines Entgeld, fast immer aber als Support. Diesen Service benötigt man aber nicht wenn man (hoffentlich) selbst ein Backup angefertigt hat.

Da man nicht kontrollieren kann wo von den Angreifern überall Veränderungen vorgenommen wurden ist es nicht ratsam einfach die beschädigten Dateien neu aufzuspielen. Einfach Joomla neu aufspielen reicht eindeutig nicht! Habt ihr alle wichtigen Daten gesichert löscht den kompletten Webspace. Man kann nicht wissen was dort so an Hintertüren eingebaut wurde. Dies sollte man auch tun wenn man ein aktuelles Backup aufspielt. Programme wie z.B. Confixx überschreiben zwar vorhandene Dateien und Ordner, lassen aber alles andere stehen was sich nicht mit im Paket befindet.

Ist der Webspace sauber kann man das Backup aufspielen oder (falls nicht vorhanden) Joomla frisch installieren. Danach muß man aber sofort tätig werde um nicht erneut zur Zielscheibe zu werden.

Benutzt man ein Backup bitte sofort (!) alle Komponenten überprüfen und neuere Versionen installieren. Das dein Joomla gehackt wurde hatte einen Grund, und genau diesen muß man sofort absichern. Alles was nicht zwingend für eure Seite benötigt wird sofort deinstallieren. Die Rechte der Dateien und Ordner bitte nach der Anleitung von Micha entsprechend anpassen. Er hat dort eine sehr gute Anleitung geschrieben (Link siehe ganz oben).

Steht kein Backup zur Verfügung spielt man zuerst Joomla auf und ersetzt dann die Datenbank gegen seine Sicherung von vorhin. Auch hier werden alle Komponenten nur in der aktuellen Version installiert. Ist man sich unsicher ob ein Projekt noch gepflegt wird lässt man besser die Finger davon.

Sind die Komponenten installiert schaut man kurz in die Ordner der gesicherten Daten (die der Komponenten). Sind bei der Galerie auch wirklich nur Bilder drin? Ist man sich sicher kann man die Daten wieder auf den Webspace übertragen.

Läuft die Seite wieder sollte man trotzdem nochmal einen Blick auf die Dateirechte werfen und nach anderen Schwachstellen suchen. Ist das RegisterGlobals wirklich nötig? Ist die .htaccess mit dem Schutz von joomla.org ausgestattet?

Das beste Mittel ist aber noch immer sein Joomla und die verwendeten Komponenten aktuell zu halten. Das erspart jede Menge Nerven und Arbeit die man sinnvoller verbringen könnte. Ziel ist nicht das Joomla irgendwie läuft, Ziel ist das es sicher läuft und nicht mehr Schwachstellen als nötig bietet.

Mehr Wissenwertes und weitere Tutorials gibt es unter:

http://www.joomla-downloads.de

3 massive Sicherheitslöcher in Joomla! Update gestopft!

MP:Thorsten — Wed, 28 Jun 2006 10:21:39 +0000

Joomla.org meldet, dass es ein neues Joomla!-Update gibt, das enorm wichtige Sicherheitslöcher stopft. Hier der Beitrag zu Joomla! 1.0.10

All existing Joomla! users MUST UPGRADE to this version, due to several High Level vulnerabilities that affect ALL Previous versions of Joomla!

1.0.10 contains the following important security fixes:

03 High Level Security Fixes
01 Medium Level Security Fixes
05 Low Level security
40+ General bug fixes

If you are using ANY previous version of Joomla!, you need to upgrade to 1.0.10

1.0.10 is available as a Full Package, which contains all Joomla! files and Patch Packages which contain only the files that have been changed by the Stability work conducted from previous Joomla! 1.0.x versions.

Joomla 1.0.9 – Stabilitäts Release

MP:Thorsten — Fri, 23 Jun 2006 11:48:27 +0000

Joomla! 1.0.9 [Sunshine] steht jetzt in einer stabilen Version zum Download bereit.

Im neuen Release wurden 12 unkritische Sicherheitslöcher und über 160 unkritische Fehler behoben.

Die wichtigsten Veränderungen sind:

SQL performance wurde verbessert
Content wird nun vor dem Logout gespeichert
Content caching wurde gefixt
MOSImage Manager wurde für große Datenmengen optimiert

Eine vollständige Liste der Änderungen finden Ihr hier.

Das Entwicklerteam empfiehlt, die aktuelle Version zu installieren, bzw. ein Upgrade durchzuführen.

1.0.9 gibt es als Voll-Version, welche alle Joomla! Dateien enthält sowie in Form von Upgrade-Paketen.
Deutsche Sprachdateien für Joomla! findet Ihr auf den Projektseiten des GTT (German Translation Team) in der Joomla!forge.

Hier noch ein paar nützliche Links:

Joomla! 1.0.9 Vollversion
Joomla! 1.0.9 Upgradepakete
Deutsche Sprachdateien für Joomla! 1.0.9

Mambo Joomla Security Fix Linux/Elxbot

MP:Schorsch — Wed, 14 Dec 2005 00:53:25 +0000

MP:Thorsten hatte ja schon auf die Sicherheitslücke im Mambo und Joomla hingewiesen und den Fix gepostet. Diese Lücke wird von einem Wurm Namens Linux/Elxbot automatisch genutzt. Wahrscheinlich betrifft sie auch ältere Mambo Versionen, auch wenn diese nicht automatisch von dem Wurm gefunden werden sollen. (Meldung von virenschutz.info)
Diese Art die Globalen Variablen zu überprüfen kann auch in anderen php Systemen eingesetzt werden.

Ich habe zumindest auch meine älteren Mambo Versionen mit dem Code ausgerüstet.

Eigentlich ist dies ein php Problem (Feature) mit Register Globals Variablen, welches auch sonstige php Software betreffen kann. Dabei wird versucht eigene Variablen und Funktionsaufrufe in die Globalen Arrays einzuschleusen. Um diese Hintertür zu schliessen sollten diese php Variablen auf schadhaften Code hin überprüft oder auch in der php ini register_globals auf off gestellt werden. Das Ausschalten von register_globals hat allerdings oft zur Folge das php software nicht mehr richtig läuft.

PHP gehört zu den Programmiersprachen, die aufgrund der mächtigen Befehle und Funktionen nahezu beliebige Möglichkeiten zur Entwicklung von Anwendungen und eigenen Funktionen erschließen, die aber zeitgleich auch ebenso beliebig missbrauchbar sind, wenn nicht sauber programmiert wird.

Die folgenden Zeilen wurden auf der Mambo Webseite als Bugfix empfohlen und Thorsten hatte diese auch schon gepostet. Hier der Code nochmal in Farbe und der Hinweis diesen nach oder vor dem define( "_VALID_MOS", 1 ); Aufruf einzufügen.

Code:

————–

$protects = array(‘_REQUEST’, ‘_GET’, ‘_POST’, ‘_COOKIE’, ‘_FILES’, ‘_SERVER’, ‘_ENV’, ‘GLOBALS’, ‘_SESSION’);

foreach ($protects as $protect) {
    if ( in_array($protect , array_keys($_REQUEST)) ||
         in_array($protect , array_keys($_GET)) ||
         in_array($protect , array_keys($_POST)) ||
         in_array($protect , array_keys($_COOKIE)) ||
         in_array($protect , array_keys($_FILES))) {
        die("Invalid Request…Are you trying to trick me?");
    }
}

Joomla Plugin WordPress

MP:Schorsch — Sat, 10 Dec 2005 12:41:35 +0000

Und wieder finde ich eine Verbindung von zwei Open Source Systemen an die ich auch schon dachte. Auf http://www.joomladeveloping.org findet man das WordPress als Plugin für Joomla.

Diese Symbiose macht in einigen Punkten durchaus Sinn und man spart sich unter Umständen einige Joomla Plugins (z.B. Kommentare). Die Blog Plugins die ich bisher im Joomla gesehen habe ware alle noch nicht so das wahre, aber auf diesem Wegen nutz man das Framework von Joomla und die speziellen Blogfähigkeiten von WordPress.

Ich werde diesen Plugin einmal testen und über das Ergebniss berichten.

Joomla! 1.0.4 steht zum Download bereit

MP:Thorsten — Fri, 09 Dec 2005 09:02:06 +0000

Vor allem aus Sicherheitsgründen wird das Update von den Entwicklern allen Joomla! Betreibern ans Herz gelegt. Es schliesst wichtige Lücken im System und verhindert das Eindringen von feindlichen Würmern etc.

Zum Download gibt es das Ganze bereits unter http://www.joomla.de

Joomla Wurm gefährdet Server

MP:Thorsten — Fri, 09 Dec 2005 08:47:40 +0000

Linux/Elxbot heißt der jetzt durch Heise gemeldete Internetwurm. Er nutzt eine kürzlich aufgedeckte Sicherheitslücke im Mambo-Content-Management-System, um Server zu infizieren und sich dort einzunisten. Nach der Infektion horcht der Wurm die Befehle des Betreibers ab und bietet diesem eine Fülle von – teils schädlichen – Funktionen an.

Als Einfallstor dient die Lücke in der register_globals-Emulation von Mambo, wodurch sich beliebige Skripte in das CMS einschleusen und zur Ausführung bringen lassen. Die eigentliche Funktion der Emulation ist es, nicht auf die gefährliche PHP-Option register_globals angewiesen zu sein, die Angreifern ebenfalls Tür und Tor öffnet.

Der Wurm nutzt die Suchmaschine Google, um verwundbare Systeme aufzuspüren. Hat er ein System infiziert, baut er eine Verbindung zu einem IRC-Server auf und horcht dort auf die Befehle des Betreibers. Der Wurm hat Funktionen integriert, die das Ausführen beliebiger Befehle, das Öffnen einer Shell, TCP-Floods, UDP-Floods, HTTP-Floods sowie Portscans erlauben; außerdem kann der Wurm auf Anfrage auch weitere Ziele über Google suchen. Somit ist eine Kettenreaktion ebenfalls nicht ausgeschlossen.

Die Mambo-Entwickler haben laut Changelog das Sicherheitsleck am 23. November gestopft, die seit dem 30. November verfügbare Version 4.5.3 sollte daher nicht anfällig sein. Administratoren sollten zügig die eingesetzte Version aktualisieren.

Oder zumindest den folgenden Code an den Anfang der Dateien index.php und index2.php im Stammverzeichnis von Mambo/Joomla! und in die Dateien index.php, index2.php und index3.php im Verzeichnis administrator einfügen:

/ fix to address the globals overwrite
// problem in php versions < 4.4.1
$protect_globals = array(‘_REQUEST’, ‘_GET’, ‘_POST’,
‘_COOKIE’, ‘_FILES’, ‘_SERVER’,
‘_ENV’, ‘GLOBALS’, ‘_SESSION’);
foreach ($protect_globals as $global) {
if ( in_array($global , array_keys($_REQUEST)) ||
in_array($global , array_keys($_GET)) ||
in_array($global , array_keys($_POST)) ||
in_array($global , array_keys($_COOKIE)) ||
in_array($global , array_keys($_FILES))) {
die("Invalid Request.");
    } }
 

Joomla! Magazin

MP:Thorsten — Fri, 14 Oct 2005 08:21:14 +0000

Wer monatlich auf dem Laufenden bleiben will, kann sich ab November im Joomla! Magazin über das Open Source CMS informieren. Sowohl User als auch Entwickler sollen mit dem neuen Printmedium angesprochen werden. Für 4,58 € pro Ausgabe (wie kommt man denn auf den Preis?) klingt das ganz interessant! Abwarten…

Mehr unter: http://www.joomlamagazin.de

Templates Layout in Mambo/Joomla verstehen

MP:Schorsch — Wed, 14 Sep 2005 19:54:20 +0000

Mal wieder keinen Durchblick in Mambo Templates und den entsprechenden CSS Klassen? Dann zieht euch diese zwei Artikel rein.
Falls ich die Zeit finde werde ich versuchen diese Seiten zu übersetzten. Solange solltet Ihr des Englischen mächtig sein.

~~Link: Mambo / Joomla CSS verstehen~~

~~Link: Mambo / Joomla Layout verstehen~~

http://www.mambotheme.com >>>> http://www.joomlart.com/

Entwickler spalten sich von MAMBO ab

MP:Thorsten — Wed, 14 Sep 2005 14:44:01 +0000

Die Entwickler des freien Content-Management-Systems (CMS) Mambo haben nach dem Streit mit dem australischen Unternehmen Miro, das die Markenrechte an Mambo hält, kurzerhand ein neues Projekt gegründet.

"Joomla!" wird das Ganze heißen und soll eine zielgerichtete Weiterentwicklung von Mambo sein. Mambo wird zwar unter dem alten Namen weiter geführt. Gepflegt wird das CMS dann von der durch Miro eigens gegründeten Mambo Foundation. Das bisherige Entwicklerteam spaltet sich von Miro ab und wird zukünftig seine eigenen Wege mit "Joomla!" gehen. Unter den entsprechenden Domains joomla.org und openspourcematters.com gibt es nähere Infos.

Auch" Joomla!" soll unter der GPL veröffentlicht werden. Und das Team entwickelt bereits die Version 1.0.0, die laut Experten der Version 4.5.2 con Mambo entsprechen soll.

Bleibt abzuwarten, ob dieser Wechsel neuen Aufschwung für die Open Source Gemeine rund um "Joomla!" geben wird und sich Miro mit der Abspaltung unter Umständen selbst ins Aus geschossen hat…