Содержание

  1. Суть угрозы: что именно было исправлено?
  2. Кто в зоне риска?
  3. Решение проблемы: Пошаговая инструкция
    1. Шаг 1. Немедленное обновление Helix 3
    2. Шаг 2. Проверка признаков взлома
    3. Шаг 3. Проверка прав пользователей
    4. Что еще нужно сделать?

Важная информация для всех владельцев сайтов на Joomla! 29 июня 2026 года разработчики JoomShaper выпустили обновление для фреймворка Helix 3 (версия 3.1.1), которое закрывает несколько критических уязвимостей. Эти проблемы позволяют злоумышленнику без авторизации удалять файлы на вашем сервере, перезаписывать настройки шаблона и внедрять вредоносный код.

Мы настоятельно рекомендуем немедленно обновить все сайты, использующие фреймворк Helix 3. Промедление может привести к полной компрометации вашего ресурса.

Версия установленных плагинов должна быть не ниже 3.1.1
Версия установленных плагинов должна быть не ниже 3.1.1

Суть угрозы: что именно было исправлено?

Уязвимость кроется в плагине plg_ajax_helix3, который обрабатывает запросы через встроенный диспетчер Joomla (com_ajax). До версии 3.1.0 этот обработчик выполнял ряд критических действий без проверки прав доступа и без CSRF-токена.

Что именно могли сделать злоумышленники:

  1. Несанкционированная запись файлов (save): Хакер мог записать произвольное содержимое в файлы с расширением .json в пределах активного шаблона. Из-за недостаточной проверки пути (Path Traversal) файл мог оказаться за пределами папки шаблона.

  2. Удаление файлов (remove): Злоумышленник мог удалить любой файл на сервере, к которому у веб-сервера есть доступ. Это позволяет вывести сайт из строя или удалить файлы защиты (например, .htaccess).

  3. Перезапись параметров шаблона (import): Атакующий мог изменить настройки любого стиля шаблона в базе данных, что приводит к нарушению работы сайта или внедрению вредоносных скриптов.

Помимо этого, в версии 3.1.1 также исправлены:

  • Загрузка любых файлов: Раньше авторизованный пользователь (с правами на создание материалов) мог загрузить .php-файл через интерфейс загрузки изображений.

  • Межсайтовый скриптинг (XSS): В нескольких местах выводимые данные не экранировались.

  • Утечка API-ключа: В коде был жестко зашит действующий ключ Google Fonts.

Кто в зоне риска?

В зоне риска находятся все сайты, на которых установлен фреймворк Helix 3 версии ниже 3.1.1.

Важное уточнение: Речь идет именно о фреймворке Helix 3 (устанавливается как плагин System - Helix3 Framework и plg_ajax_helix3). Его часто путают с более новым продуктом — Helix Ultimate.

  • Helix Ultimate — это отдельный современный шаблон, и данная уязвимость его не затрагивает.

  • Однако если вы используете любой шаблон, созданный на основе старого фреймворка Helix 3 (включая популярные шаблоны от JoomShaper прошлых лет), вы находитесь в зоне риска и должны немедленно обновиться.

Не знаете, что за фреймворк используется на вашем сайте? Если вы не уверены, обновляйтесь в любом случае через стандартный менеджер обновлений Joomla или проверьте список установленных плагинов на наличие System - Helix3 Framework.

Решение проблемы: Пошаговая инструкция

Для устранения уязвимости необходимо выполнить следующие шаги.

Шаг 1. Немедленное обновление Helix 3

  1. Перейдите в панели управления Joomla в раздел Расширения → Управление → Обновления.

  2. Нажмите «Очистить кэш» и «Найти обновления».

  3. Найдите в списке обновление для Helix3 Framework.

  4. Установите версию не ниже 3.1.1.

Скачивание шаблона с официального сайта
Скачивание шаблона с официального сайта

Если обновление не отображается:
Скачайте последнюю версию шаблона Helix-3, он содержит в себе плагины Helix3 - Ajax и System - Helix3 Framework вручную с официального сайта разработчика JoomShaper и установите через Расширения → Управление → Установить. Если вы используете другой шаблон, то только что установленный шаблон Helix-3 можно сразу удалить, а обновления для плагинов останутся.

Шаг 2. Проверка признаков взлома

Поскольку уязвимость позволяла удалять и изменять файлы, вам необходимо проверить сайт на следы вмешательства, даже если вы уже обновились.

  1. Проверьте файлы шаблона: Через FTP или Менеджер файлов хостинга зайдите в папку /templates/ваш_шаблон/. Ищите подозрительные .json-файлы, созданные или измененные недавно (особенно в период до обновления).

  2. Проверьте корневую папку сайта: Обратите внимание на наличие файлов с нестандартными расширениями (например, .php или .shtml), которые вы не создавали.

  3. Проверьте наличие служебных файлов: Убедитесь, что в папках шаблона и изображений присутствуют файлы защиты (например, index.html или .htaccess). Злоумышленник мог их удалить для облегчения последующих атак.

Шаг 3. Проверка прав пользователей

Убедитесь, что у пользователей с правами "Автор" или "Редактор" нет возможности загружать исполняемые файлы. Если вы подозреваете взлом, смените пароли всех пользователей, имеющих доступ к административной панели.

Что еще нужно сделать?

Помимо обновления самого фреймворка, мы настоятельно рекомендуем:

  • Обновить другие расширения и ядро Joomla до актуальных версий.

  • Установить компонент Admin Tools Pro и сгенерировать через него строгий .htaccess с дополнительными правилами безопасности (например, запретить выполнение PHP-скриптов в папке /images).

  • Включить двухфакторную аутентификацию для входа в административную панель.

Важно!
Если ваш сайт оказался взломан, и вы не знаете, что делать, либо сомневаетесь, то срочно обращайтесь к нам за помощью!

Упоминаемые термины:

Админка, Плагин, Стиль шаблона