Инфо Уязвимость в JCE Редакторе

[Chip3x1]

А по кнопкам, и ограничение в коде?

 

[tryuk]

Добрый день всем.
13 июня 2016 года я обнаружил у себя на сайтах такой вредоносный код и еще другие варианты вредоносного кода, но вот проблема в том, что у меня на одном акаунте хостинга больше 60 сайтов. Большинство сайтов это Wordpress и около 10-ти, - это Joomla. Так вот, после долгого разбирательства было обнаружено, что данный код был записан через один из сайтов написанный на Wordpress, при этом было так-же обнаружено, что разный код был пропихнут через разные плагины Wordpress, а Joomla пострадала уже в последствии работы этого вредоносного кода и была заражена через Wordpress, а не на прямую через сайт Joomla или через отдельный плагин в том числе и не через плагин JCE. Так-что я бы на вашем месте посмотрел еще и в сторону других плагинов, через которые могли залить бекдор, или даже на другие сайты, если они у вас присутствуют в аккаунте хостинга, или могло быть и такое, что параметры безопасности хостинга могли обеспечить заливку бекдора с других сайтов других акаунтов. Сколько работаю с JCE, если вовремя обновлять, проблем с безопасностью на много меньше, чем с другими плагинами и редакторами.

У меня много других сайтов на ВПС, но ни одного на Вордпрессе нету - не любитель Вордпресса. Бэкдор залился после установки плагина JCE именно на джумлу. Вот такая история. В логах писалось все вплоть до времени.

 

[EnotXander]

У меня много других сайтов на ВПС, но ни одного на Вордпрессе нету - не любитель Вордпресса. Бэкдор залился после установки плагина JCE именно на джумлу. Вот такая история. В логах писалось все вплоть до времени.

Подтверждаю. Около 10 сайтов на vpsке. Заразили именно те, на которых устанавливался JCE. После удаления, заражения прекратились

 

[sved2000]

Так что друзья редактор JCE не рекомендуете использовать?

 

[denverkurt]

не рекомендуют использовать только параноики, которых 1 раз взломали и они теперь ссут по любому поводу
лично я пользуюсь и мне нравится. да, были случаи взломов... обновил JCE, вычистил сайты и пользуюсь дальше

сами решайте чем пользоваться.

 

[dimabik]

Вообще взломать сайт могут по разным фактором.
Но помимо этого нужно постоянно обновлять компонент, скачивать из проверенных источников. А то на скачивают уже с дырками а потом ругают компонент. Или зальют к себе файлы непонятные на сайт.
А вообще если уж сайт нужно взломать, то взломают, другой вопрос кто и за сколько.
Компонент хороший и удобно пользоваться, а это тоже не мало важно.

 

[nimfai]

Вообще взломать сайт могут по разным фактором.
Но помимо этого нужно постоянно обновлять компонент, скачивать из проверенных источников. А то на скачивают уже с дырками а потом ругают компонент. Или зальют к себе файлы непонятные на сайт.
А вообще если уж сайт нужно взломать, то взломают, другой вопрос кто и за сколько.
Компонент хороший и удобно пользоваться, а это тоже не мало важно.

На работе ломали сайт на 3.5 джумле. Сайт простой был и использовались только решения из коробки. Так что...может в джумле есть проблема? С друпалом, например, таких проблем ни разу не было.

 

[hvob]

Так что друзья редактор JCE не рекомендуете использовать?

а есть достойные альтернативы?

 

[Abond]

Абсолютно нормальный компонент. Работал и работает. Да, требует легкой настройки (да и то по фильтрации при вводе), впрочем, как и все в Джумле. Но он работает нормально, стабильно, все удобно и под рукой. А называть его при всем уважении "отвратительным и глючным" мягко говоря некорректно. Вы, наверное, забыли добавить "по-моему". Извините, но Ваше мнение совершенно не адекватно без указания (или пояснения) его полной субъективности.

Абсолютно согласен. Лучше его настроить и пользоваться, чем ловить проблемы от TinyMCE, который по умолчанию и повреждает код.
помню как-то намучался, когда шаблон по умолчанию правил - все поползло, а я не сразу понял почему.
Теперь сразу после установки joomla меняю редактор по умолчанию на JCE. Пробовал ARK и удалил - огромный, а толку...

 

[Smart-ass]

Функционал движка поддерживает несколько редакторов для разных пользователей. Не вижу больших проблем в настройке для каждого пользователя своего редактора. Тем более тот же JCE обновляется на автомате.