Важная информация для всех владельцев сайтов на Joomla! 7 июля 2026 года разработчики JoomShaper выпустили обновление для популярного шаблона Helix Ultimate (версия 2.2.7), которое закрывает целый ряд критических уязвимостей. В их числе — возможность перенаправления на внешние сайты (Open Redirect), подделка межсайтовых запросов (CSRF), внедрение вредоносного кода (XSS) и неавторизованное изменение настроек сайта.

Это обновление является обязательным для всех сайтов, использующих данный шаблон.

Обратите внимание!
Если вы используете шаблон Helix Ultimate, то при его обновлении автоматически обновится фреймворк (плагинHelix Ultimate Framework. А если вы используете другой шаблон на этом же фреймворке, то достаточно обновить только плагин Helix Ultimate Framework.

Суть угрозы: что именно было исправлено?

Анализ изменений в версии 2.2.7 показывает, что разработчики устранили несколько серьезных проблем безопасности, которые могли позволить злоумышленникам скомпрометировать ваш сайт.

Основные исправленные уязвимости:

  1. Open Redirect (Неавторизованное перенаправление): Исправлена возможность перенаправлять посетителей сайта на внешние, потенциально опасные ресурсы, что могло использоваться для фишинга.

  2. Отсутствие CSRF-токенов и проверки прав (CWE-862): Добавлена обязательная проверка CSRF-токенов и прав пользователя для всех AJAX-действий в Helix Ultimate. Ранее злоумышленник мог заставить авторизованного администратора выполнить нежелательные действия (например, изменить настройки) без его ведома.

  3. XSS-уязвимости (CWE-79): Устранены множественные проблемы с внедрением вредоносного JavaScript-кода через медиа-вставки, галереи, Мега-меню, Конструктор макетов (Layout Builder) и настройки шрифтов.

  4. Проблемы с загрузкой файлов: Ужесточена валидация загружаемых файлов — теперь медиа-менеджер разрешает загрузку только определенных типов изображений, а загрузка SVG и ICO файлов заблокирована.

  5. Некорректная проверка путей (Path Traversal): Исправлена логика проверки путей в операциях с медиафайлами, макетами и блогами, что предотвращает возможность чтения или записи файлов за пределами разрешенных папок.

  6. Несанкционированный экспорт и удаление: Добавлены недостающие проверки прав для удаления изображений в блогах и экспорта настроек шаблона.

Кто в зоне риска?

В зоне риска находятся все сайты, на которых установлен и используется шаблон Helix Ultimate версии ниже 2.2.7.

Обратите внимание
Предыдущие статьи касались уязвимостей во фреймворке Helix 3. Helix Ultimate — это отдельный продукт, и данная уязвимость относится именно к нему. Если вы используете старые шаблоны на основе Helix 3, вам необходимо обновить их согласно предыдущим инструкциям.

Решение проблемы: пошаговая инструкция

Для устранения уязвимостей необходимо выполнить следующие шаги.

Шаг 1: немедленное обновление Helix Ultimate

  1. Перейдите в панели управления Joomla в раздел Расширения → Управление → Обновления.

  2. Нажмите «Очистить кэш» и «Найти обновления».

  3. Найдите в списке обновление для шаблона (!) Helix Ultimate.

  4. Установите версию 2.2.7 или выше.

Важно!
По какой-то причине обновить предлагается только плагин, а не шаблон. Если предложение обновления не отображается, то скачайте последнюю версию шаблона (пакет Template) вручную с официального сайта разработчика JoomShaper и установите через Расширения → Управление → Установить.

Шаг 2: проверка признаков взлома

Поскольку уязвимости были множественными и затрагивали разные аспекты, необходимо провести тщательную проверку сайта, даже если вы уже обновились.

  1. Проверьте папку /images: Через FTP или Менеджер файлов хостинга просмотрите папки images и media. Удалите любые подозрительные файлы, особенно с расширениями .php.phtml.svg.ico, которые могли быть загружены до обновления.

  2. Проверьте настройки шаблона: Зайдите в Стили шаблонов → Helix Ultimate → Расширенные настройки (Advanced). Проверьте, не были ли изменены настройки без вашего ведома, особенно в разделах "Custom Code" и "SEO".

  3. Проверьте файлы переопределений (overrides): Просмотрите папку /templates/shaper_helixultimate/html на наличие подозрительных изменений в файлах, особенно html5.php, так как ранее там уже находили XSS-уязвимость .

Шаг 3: меры дополнительной защиты

Помимо обновления самого шаблона, мы настоятельно рекомендуем:

  • Обновить ядро Joomla до актуальной версии.

  • Установить и настроить компонент Admin Tools Pro: Сгенерируйте жесткий .htaccess, включите блокировку выполнения PHP-скриптов в папках /images и /media, и активируйте защиту от CSRF-атак.

  • Включить двухфакторную аутентификацию для всех учетных записей с правами администратора и редактора.

  • Регулярно создавать резервные копии сайта, чтобы иметь возможность быстрого восстановления в случае инцидента.

Важно!
Если ваш сайт оказался взломан, и вы не знаете, что делать, либо сомневаетесь, то срочно обращайтесь к нам за помощью!