Не далее как 13 числа была обнаружена сквозная уязвимость во всех версиях джумлы с 1.5 по 3.4.5 включительно позволяющая отправив серверу специально сформированный запрос вида: 

“GET /contact/ HTTP/1.1″ 403 5322 “http://google.com/” “}__test|O:21:\x22JDatabaseDriverMysqli\x22:3: ..
{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0: .. {}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:..
{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:60:..

выполнить любой PHP-код с правами веб-сервера. Проще говоря — получить полный контроль над сайтом. 

Собственно, этой возможностью активно пользуются злоумышленники прямо сейчас. 

Поэтому разработчиками Joomla было оперативно выкачено свежее обновление: https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html

Для того чтобы закрыть дыру достаточно выполнить простые шаги: 

Joomla 3.4.x

В джумле 3.x — достаточно обновиться до версии 3.4.6 через менеджер обновления Joomla (раздел «Компоненты» -> «Обновление Joomla!«)

Joomla 2.5.x

 В случае, если у вас Джумла 2.5.x — нужно скачать файл https://github.com/joomla/joomla-cms/releases/download/3.4.6/SessionFix25v1.zip , распаковать его, и файл session.php закачать с заменой в папку /libraries/joomla/session/ сайта. 

 Joomla 1.5.x

С джумлой версий 1.5.x — нужно скачать файл https://github.com/joomla/joomla-cms/releases/download/3.4.6/SessionFix15v2.zip ,распаковать его, и файл session.php закачать с заменой в папку /libraries/joomla/session/ сайта.  

Предупреждение!

Если у Вас на сайте установлена Joomla имеющая версию ниже чем 3.4.6, то «дыр» на сайте значительно больше одной. Просто вы не в курсе 🙂 

Поэтому обновляться необходимо в обязательном порядке до версии 3.4.6!!!

Ещё хочу отметить что на хостинге, который рекламируется под этой статьёй — уязвимость закрыта на уровне сервера для ВСЕХ сайтов, что позволяет сэкономить массу нервов и денег даже самому медлительному сайтовладельцу. Заходите, пробуйте