Содержание
Важная информация для всех владельцев сайтов на Joomla! 7 июля 2026 года разработчики JoomShaper выпустили обновление для популярного шаблона Helix Ultimate (версия 2.2.7), которое закрывает целый ряд критических уязвимостей. В их числе — возможность перенаправления на внешние сайты (Open Redirect), подделка межсайтовых запросов (CSRF), внедрение вредоносного кода (XSS) и неавторизованное изменение настроек сайта.
Это обновление является обязательным для всех сайтов, использующих данный шаблон.
Суть угрозы: что именно было исправлено?
Анализ изменений в версии 2.2.7 показывает, что разработчики устранили несколько серьезных проблем безопасности, которые могли позволить злоумышленникам скомпрометировать ваш сайт.
Основные исправленные уязвимости:
-
Open Redirect (Неавторизованное перенаправление): Исправлена возможность перенаправлять посетителей сайта на внешние, потенциально опасные ресурсы, что могло использоваться для фишинга.
-
Отсутствие CSRF-токенов и проверки прав (CWE-862): Добавлена обязательная проверка CSRF-токенов и прав пользователя для всех AJAX-действий в Helix Ultimate. Ранее злоумышленник мог заставить авторизованного администратора выполнить нежелательные действия (например, изменить настройки) без его ведома.
-
XSS-уязвимости (CWE-79): Устранены множественные проблемы с внедрением вредоносного JavaScript-кода через медиа-вставки, галереи, Мега-меню, Конструктор макетов (Layout Builder) и настройки шрифтов.
-
Проблемы с загрузкой файлов: Ужесточена валидация загружаемых файлов — теперь медиа-менеджер разрешает загрузку только определенных типов изображений, а загрузка SVG и ICO файлов заблокирована.
-
Некорректная проверка путей (Path Traversal): Исправлена логика проверки путей в операциях с медиафайлами, макетами и блогами, что предотвращает возможность чтения или записи файлов за пределами разрешенных папок.
-
Несанкционированный экспорт и удаление: Добавлены недостающие проверки прав для удаления изображений в блогах и экспорта настроек шаблона.
Кто в зоне риска?
В зоне риска находятся все сайты, на которых установлен и используется шаблон Helix Ultimate версии ниже 2.2.7.
Решение проблемы: пошаговая инструкция
Для устранения уязвимостей необходимо выполнить следующие шаги.
Шаг 1: немедленное обновление Helix Ultimate
-
Перейдите в панели управления Joomla в раздел Расширения → Управление → Обновления.
-
Нажмите «Очистить кэш» и «Найти обновления».
-
Найдите в списке обновление для шаблона (!) Helix Ultimate.
-
Установите версию 2.2.7 или выше.
Шаг 2: проверка признаков взлома
Поскольку уязвимости были множественными и затрагивали разные аспекты, необходимо провести тщательную проверку сайта, даже если вы уже обновились.
-
Проверьте папку
/images: Через FTP или Менеджер файлов хостинга просмотрите папкиimagesиmedia. Удалите любые подозрительные файлы, особенно с расширениями.php,.phtml,.svg,.ico, которые могли быть загружены до обновления. -
Проверьте настройки шаблона: Зайдите в Стили шаблонов → Helix Ultimate → Расширенные настройки (Advanced). Проверьте, не были ли изменены настройки без вашего ведома, особенно в разделах "Custom Code" и "SEO".
-
Проверьте файлы переопределений (overrides): Просмотрите папку
/templates/shaper_helixultimate/htmlна наличие подозрительных изменений в файлах, особенноhtml5.php, так как ранее там уже находили XSS-уязвимость .
Шаг 3: меры дополнительной защиты
Помимо обновления самого шаблона, мы настоятельно рекомендуем:
-
Обновить ядро Joomla до актуальной версии.
-
Установить и настроить компонент Admin Tools Pro: Сгенерируйте жесткий
.htaccess, включите блокировку выполнения PHP-скриптов в папках/imagesи/media, и активируйте защиту от CSRF-атак. -
Включить двухфакторную аутентификацию для всех учетных записей с правами администратора и редактора.
-
Регулярно создавать резервные копии сайта, чтобы иметь возможность быстрого восстановления в случае инцидента.
Упоминаемые термины:
Админка, Плагин, SEO, XSS, Медиа-менеджер, Редирект, Helix Ultimate



