このサイトが、Joomla!1.0.xだった当初にもコメント（確か、JoomlaCommentだったかな）機能をインストールしていたが、あらためてコメント機能って必要だと感じました。やっぱりフォーラムだと大抵、ユーザ登録作業があって初めて投稿できますが、コメントだと大抵登録作業がいらない。登録するかどうかの違いだけど、簡単に聞けたり、意見を言えることは必要ですね。

最新のコメントを表示するモジュールを作成していないことに気がつきましたが、そろそろ作成しても良いかもしれない。

昨日あらためて気づいた（知っていて使っている）のだが、Joomla!1.5ではグローバルコンフィグレーションのシステムタブ、エラーメッセージの設定がデフォルトだと、phpのエラーが出力されるようになっている。これは、これで良い事ではあると思う。が、実運用場面では、Noneが正解で、エラー出力を行うのは、ローカルかテスト環境のみにすることが大切ではないかと思います。

1.5.0から1.5.xへの基本的な方法をおさらいしておきます。

英語の苦手な私ですが、Joomla!1.5のアップデート方法は、Joomla!.orgに説明があるので毎回確認された方が良いと思います。微妙なニュアンスで書かれているとわからなかったりしますが・・・。

1. アップデートファイルを用意する
• バージョンの確認
  ご自身のJoomla!1.5のバージョンを確認します。
  ここでは、1.5.0（RCではないことにご注意ください。）を対象として説明していきます。
• Patchファイルのダウンロード
  対応するPatchファイル（Patchファイルと言うとわかりづらいですが、ただの上書き用ファイルと思ってください。WindowsのPatchだと実行ファイルになっていたりしますが行っていることは同じことです。）をダウンロードします。
  今回は、Joomla_1.5.0_to_1.5.3-Stable-Patch_Package.zipをダウンロードしてきます。
  （*.tar.gz, *tar.bz2などと拡張子の異なるファイルがありますが、Windowsでは新たにその拡張子に対応した解凍ソフトをインストールしないと解凍できないと思います。）
• サードパーティー製のエクステンションの対応状況確認
  アップデート内容によっては、影響を受ける場合があるので対応状況を事前に確認できれば確認します。
  （大抵、情報が無いかもしれませんのでアップデートしてみるしか無いかもしれません。）
2. バックアップする
   アップデートしたいサイトのファイルや、データベースをバックアップします。
   ※テンプレートファイルもアップデートの対象になっているのでデフォルトのテンプレートを改造してお使いの場合は、必ずバックアップした方が良いです。
• すべてのファイルをダウンロード
  FTPでサーバーに接続し、すべてのファイルをご自分のPCのわかりやすいところにすべてダウンロードします。
  （FTPソフトによっては結構な時間がかかったりします。お薦めは、Filezillaで同時接続数の設定を増やせば速いです。）
• データベースをバックアップ
  データベースを管理するphpMyAdminが使えるならそれを使い、それが無ければ契約されているレンタルサーバーで確認してください。方法は、以前に書いた記事「Joomla!サイトのローカルコピーを作成」を参考にしてください。
3. サーバーにアップロード（上書きする）
• ファイルの確認と削除
  1.でダウンロードしたアップデートファイル（Joomla_1.5.0_to_1.5.3-Stable-Patch_Package.zip）を解凍し、ファイルの中身を確認し、以下のファイルを削除します。
  
  不要リスト
• CREDITS.php
• configuration.php-dist
• CHANGELOG.php
  
• ファイルのアップロード
  すべてのファイルをサーバーにアップロードし上書きしてしまいます。
4. ディレクトリ パーミッションの確認
• システム情報
  Joomla!の管理画面にログインし、「ヘルプ」「システム情報」「ディレクトリパーミッション」を開き、ステータス欄がすべてグリーン（Writable）になっていることを確認します。
5. グローバルコンフィグレーションの再設定
   設定自体は、configuration.phpを上書きしていないのでアップデート前の設定がそのまま残っています。ですが、バージョンアップの内容によっては、設定項目が増えている場合があるのでもう一度内容を確認し、保存します。
6. サードパーティーのエクステンション（動作確認）
   アップデートの内容によっては、サードパーティーのエクステンションは影響を受ける場合があります。中には致命的な場合も存在し得ますので注意が必要です。動かない場合は、「新しいバージョンへの対応を待つ」「改造する」「アップデートしない」のどれかしか選択はないでしょう。
7. アップデート前にJoomla!本体を改造していた場合
   （改造したりしていなければ必要ありません。）
   バックアップしたファイルから該当箇所のファイルを比較し、同様に改造しても大丈夫かどうか確認してから改造したファイルと同様に書き換えます。
8. 完了

全体の作業は、慣れれば簡単です。

面倒なのはバックアップですね。私の場合1.5はデモサイトなのでいつもバックアップ無しでやってたりします。

クライアントの担当者から電話があり、Joomla!の1.0.15JPを入れたらグローバルコンフィグレーションのWYSIWYGエディタの設定だけが反映され、ユーザの指定したエディタが反映されないと言われる。

よくよく見てみると以下を訂正しなければ、直らない。

root/administrator/components/com_user/user.xmlの１３行目

<param name="ユーザエディタ" type="editor_list" default="" label="ユーザエディタ"

のname部分を

<param name="editor" type="editor_list" default="" label="ユーザエディタ"

のように変更して各ユーザーの設定を保存し直せば直ります。

これは、パラメータ部分の指定によってフォームを作成してくれるのですが、name部分がフォームのname属性となり、保存するとデータベースで

name部分の値=入力した値

として保存されます。Joomla!側では、name部分の値は固定されているので指定されたname値が設定されていないと呼び出されません。なので本来なら

editor=jce などとならなければいけないところが、

ユーザエディタ=jce などと保存されていたので設定が反映されなかったってのがオチでした。

stableもバージョンアップもすべてそうなっているかもしれない。

後で投稿しておこう。

linux.comで「Securing Joomla! installations」という記事がありました。

簡単に

• PHP4かPHP５を使用する。
• ディレクトリは、chmod 755にファイルはchmod 644にする。
  （できるだけ書き込み不可にする。全部やるとエラーが出る。）
• グローバルコンフィグレーションのサーバータブでchmod の設定を行う。
  （ディレクトリは、chmod 755にファイルはchmod 644）
• 複雑な文字数の多いパスワードにする。
• rootのhtaccessを使う。
• register_globalsはオフにする。
• php.iniに以下を追加する。
  allow_url_fopen = OFF
  disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
  
• administratorフォルダにhtaccessでアクセス制限をかける。
• 以下のサイトをチェック。
• • vulnerabilities
  • Secunia's Vulnerability Database
  • Joomla! Forums's security category
  • read what others have to say
  • these guidelines
  • the Joomla! Administrator's Security Checklist.
• 絶えず、セキュリティリストをチェックし、エクステンションのバージョンアップを行う。サーバーログもチェックしなよ。と

超言葉足らずですが、要点はこんなところかと思います。中にはサーバーによってできないものもあるかと思いますが、気をつけましょう。

特にhtaccessで制限をかけることは、簡単なので最初にしておきましょう。

• Root/administratorフォルダ
• Root/xmlrpcフォルダ