A um tempo atrás foi detectada uma falha grave no Joomla! 1.0.13 e ainda não foi liberada nenhuma correção oficial pelo time de desenvolvedores do Joomla!. A vulnerabilidade é grave mas não há motivo para [tanto] pânico.
No dia 27 de dezembro foi relatada uma vulnerabilidade do tipo Cross-site Request Forgery (CSRF) que afeta todas as versões do Joomla! anteriores a 1.5 RC 4. Inclusive a versão 1.0.13, que é a versão estável e utilizada pela maioria de nós nos sites em produção.
O risco ocorre quando você está logado na área adminsitrativa do site e navegar no site do hacker, que contém o código malicioso. Nessa caso, o hacker poderá executar comandos no seu joomla, como se fosse você (em 90% dos casos ele irá criar um usuário do tipo superadmin para que possa controlar o site).
Logo, se você não ficar de bobeira logado na área administrativa do site e navegando por locais obscuros, não há risco nenhum.
A comunidade se mobilizou e disponibilizou um patch não-oficial que está disponível no forum (é necessário estar logado para ter acesso ao arquivo e fazer o download). Além disso, quem acompanha o SVN da versão 1.0 (acredito que quase ninguém hehe) notou que foram adicionadas essa e inúmeras outras correções de segurança, o que indica que teremos uma versão 1.0.14 em breve.
A polêmica dessa vez ficou pelo fato do time de desenvolvedores ter corrigido a falha em 4 dias na versão 1.5 e levado quase 1 mês para corrigir a falha na versão estável utilizada em milhões de sites... não vou comentar muito sobre isso, na thread mencionada anteriormente há uma discussão exaustiva e alguns julgamentos sobre as atitudes do Dev Team.
Lembre-se:
- Só permaneça logado enquanto realmente estiver efetuando mudanças no site.
- Não fica navegando em outras páginas enquanto dá manutenção no seu site.
- Fique ligado e aguarde as novidades.
- Faça backups periódicos!
- Use camisinha