Да не важно, Diafan на VPS, или любые другие сайты, главное, что если сервер свой, нужно провериться и обновиться:

Подключаетесь по ssh
Для ОС Centos

Проверьте, что почтовый сервер установлен:

rpm -qa | grep exim

Результат будет выглядеть так: exim-4.88-3.el7.x86_64

Если версия ниже 4.92, выполните обновление:

yum update exim

После завершения обновления перезапустите почтовый сервер:

service exim restart

Для ОС Debian и Ubuntu

Убедитесь, что Exim установлен:

dpkg -l | grep exim

Выполните обновление:

apt-get update && apt-get install exim4

Перезапустите почтовый сервер:

service exim4 restart

По завершению обновления в целях профилактики смените на сервере все пароли: root, обычных пользователей, баз данных, почтовых ящиков и т.д.

Как определить, воспользовались ли уязвимостью и был ли уже взломан сервер?

С помощью команды top в терминале проверьте запущенные процессы. На большинстве взломанных серверов был обнаружен процесс [kthrotlds], создающий 100%-ую нагрузку на процессор. Дополнительно в планировщике cron присутствует задание на загрузку и перезапуск вредоносного скрипта.

Так не читают же! Прокрутите выше, с этого топик и начался!)))

Задуматься над чем? Над тем, что шаблоны из 2000х? Так там не только наши шаблоны, но и куча партнёрских. У всех из 2000? Вряд ли. Да и мне, например, не кажется, что из 2000х. Открываю мвидео, онлайнтрейд, озон, везде такие же дизайны, а сейчас 2019ый...
Или задуматься о том, что у партнёров сторонние модули не работают? А что тут думать? Мы на себя не возьмём поддержку сотен необходимых дополнений, мы тупо не успеем их поддерживать, это 100%. Этим должны партнёры заниматься. Не занимаются? Наверное потому, что клиенты хотят халяву, платить не хотят, а партнёры кушать хотят и бесплатно ничего поддерживать не будут. Просто поскрывать их все? Не проблема. Но кому лучше-то будет?

Так это отдельный модуль, он отношения к карточке товара не имеет, к верстке и к админке. Он чисто в БД работает

Это почему ещё? Пишите в ТП запрос, вернут деньги.
Или если более-менее предметно опишете и покажете, что именно и на каком сайте сломалось, Виталя подскажет, что поправить.
Чаще всего проблема в каком-нибудь не/закрытом теге, из-за чего ломается верстка. Символ один, решается быстро, но выглядит сломанная верстка очень страшно и многие слишком драматизируют этот момент.
Между 6.0.5 и 6.0.8 радикальных изменений не было, так что там скорее всего мелочь какая-нибудь

Виталиковое https://addons.diafan.ru/modules/modules-and-services/izobrazheniya-s-vyborom-neskolkikh-znacheniy-20/

Какие "ссылки"?
Это же xml ;)

https://www.sitemaps.org/ru/protocol.html#index

Не может он такого писать на этот файл. Или на что-то другое пишет, или что-то другое пишет.
И редирект там не нужен. Просто ссылка обычная должна быть. А если sitemap добавлен в яндексе, то и её не обязательно

Никогда такого не было у меня и всех моих знакомых.

Стандарт sitemap.xml читайте. Максимум 5000 ссылок в файле должно быть. Если больше, файл должен разбиться. DIAFAN.CMS это делает автоматом, чтобы вы не парились. Так что доверьтесь и расслабьтесь ;)

Ничего не надо. Только в htaccess редирект поставить желательно, чтобы по http не был доступен.
От шаблона зависит. Ну в site.php, или head.php или как он там устроен у Вас
3. Старого сайта - в смысле? Http? Так если редирект в htaccess поставить, то это не понадобится

Ну кастомить includes не надо :) Да и всякие /admin/ в /modules/ тоже не должны быть по идее.

Ну вот потому и убил их и спокойно обновляешься дальше

А, да. Ещё восстановление бд

Выпустим новый ЛК, откроем всем лог, там ничего секретного.
По сабжу:
1. В темах и дизайне тыкаете "сгенерировать тему". Система перенесёт все изменения в custom, шаблон и пр.
2. Качаете пакет DIAFAN.CMS и льёте поверх все файлы в корень сайта
3 В модули и бд тычете "восстановить бд"

Потом возможно нужно будет посмотреть в custom всякие системные includes plugins да admin, чтобы туда из ядра ничего не осталось, поубивать (переименовать) их.

А так всё, ничего сложного

Ещё бы понимать, кто автор этого сайта :)

1900 в год. А если в первую неделю купить обновления, после окончания предыдущего периода, то вообще 900 рэ. Меньше тыщи! Год!

В течение недели после окончания предыдущего, говорю же.
Откуда я знаю, когда у Вас заканчивается?
Посмотрите на diafan.ru/whois/

Глобально то же самое, что в начале топика, но с некоторыми нюансами для 7 версии


То есть, что делает модуль "Автообновлений". Получает список обновлений. Там таблица одна, та же, что вот тут лог изменений выводит
https://user.diafan.ru/log/, что было после 7.1.3. Было 15 обновлений. По каждому обновлению есть группа файлов, которая была изменена в коробке. Модуль автообновлений смотрит каждый файл из нового пакета, такой же файл на текущем сайте и этот же файл из предыдущего пакета (или из установочного архива /return/1.zip). Если текущий файл на сайте равен предыдущему из предыдущего обновления, значит система просто затирает его новым. Если файлы не равны, это значит его правил владелец сайта, и тогда система создает новую тему в /custom/, перекидывает текущий файл туда, а на его место кладет новый.

И так по каждому файлу. Если никто ничего не трогал в коробке, все файлы исходные, то обновление просто заменяет файлы на новые. Если что-то правилось, обновление тоже все файлы заменит, но те, что были изменены веб-мастером, будут сохранены в кастоме.

И так по каждому пакету обновлений.

Плюс в каждом пакете есть update.sql, где меняется БД под новую функциональность.

По факту, к концу 15-го пакета (то есть к автообновлению до 7.4) на сайте все файлы будут заменены на те, что сейчас доступны в diafan.cms.7.4.0.zip, а база изменена под новый скрипты

Плюс, в базу в diafan_config будет записан хеш последней сборки, это то, что в таблице лога (во вложении на скрине), Для параметра module_name=update.
А в diafan_update_return сделаны все записи, какие пакеты установлены. (но если всегда вручную обновляете, это не принципиально, нужно только для автообновления)

Соотвественно, Вам нужно что:

1. скачать user.diafan.ru/download/ с новыми последними файлами коробки.
2. на сайте отключить кеширование и включить режим разработчика.
3. затем сгенерировать тему в "Темы и дизайн" (она делает почти то же самое, что модуль автообновлений: "Если файлы не равны, это значит его правил владелец сайта, и тогда система создает новую тему в /custom/, перекидывает текущий файл туда, а на его место кладет коробочный из 1.zip или предыдущего пакета обновлений").
4. залить свежий пакет поверх сайта
5. запустить в "Модули и БД" восстановление БД/
6. Взять на https://user.diafan.ru/log/ хеш последней сборки и сунуть его в diafan_config для параметра module_name=update

Собственно, вроде всё

Вот кстати, тема называется "Обновление CMS если нет платной услуги". Автообновление сейчас стоит 4900 в год.

Николай (diagnost) пишет "Имеется версия CMS 7.1.3, нужно обновить до актуальной." То есть, очевидно, вариант оплатить не рассматривает.

Даже не смотря на то, что 7.1.3 вышла в январе 2024. То есть, по идее, чтобы её обновлять, надо было заплатить 4900 в январе 2025 за второй год работы и 4900 в январе 2026 за следующий. Но по факту, можно не платить 4900 в 2025, а заплатить сейчас и получить все пакеты за два года за одну цену.

Более того, так можно провернуть и с версией 7.0.0.1, которая вышла в 2021, то есть, не платить по 4900 пять лет, а сейчас получить все пакеты 2021-2026 за 4900 рублей. И так, кстати, многие делают.

Два вопроса на засыпку форумчанам:
1. Надо ли выставлять старым сайтам, которые не обновлялись 2-3-5 лет при их обновлении все счета за каждый прошедший год, это справедливо? То есть, если сейчас хочет система 7.0.0.1 автообновиться, то выставлять ей 4900+4900+4900+4900? Или оставлять как сейчас работает, раз оплатил и получил всё скопом за все годы?
2. Какая стоимость обновлений за год по вашему мнению адекватная, если учитывать, что мы выпускаем 4-5 обновлений в год?

Так а какая цена должна быть, чтобы охотно платили? Ведь как говорил классик: Сделка есть продукт при полном непротивлении сторон ))
Стороны на рынке две: продавец и покупатель. Продавец хочет чем дороже тем лучше, а покупатель наоборот. И правильная цена сходится в точке пересечения желаний обоих сторон. Мы хотим 50 тыщ! Но столько заплатят 0%, а остальные 100% пользователей хотят за 100 рублей. Мы согласны на 30К, таких 1%, зато 90% пользователей так и быть дадут 500. Ладно, мы худо-бедно за 10К согласны отдать, но столько дадут 5%, зато пользователей которые платят более 1К - их 80%. Окей, мы снижаем до 5000, даже 4900, но и таких всего 10% пользователей. И если, например, 30% людей готовы отдать за обновления 1900 от сердца еле-еле, дороже точно никак, а вот 3250 рублей отдадут 50% пользователей, окей, может нам выгоднее снизить до 3250 или даже до 1900, если за эту цену будут брать сотни людей. Нам может даже будет выгоднее сделать обновления за 800 рублей в год, если за 800 рублей их купят 3000 человек. И это выгоднее, чем если обновления за 4900 купят 200 человек.
Я к этому

Да, если говорить про 6 версию и более старые, то там беда, конечно. Моментов много, система бурно развивалась, очень часто был рефакторинг кода, ядра, массивов MVC, опять же, кастомизация полировалась часто и любое большое обновление могло поломать и шаблон и доработки. В 7 версии уже значительно стабильнее, мы очень аккуратно относимся к доработкам, обратной совместимости и поддержке старых функций. Системы от 7.1 и моложе прям стабильные, как раз именно "Нажал и пошел дальше" большинство сайтов. Особенно, если это касается самой админки, там вообще всё обновляется четко. А вот какие-то инновации, типа чего-то нового (типа картинок к характеристикам в последней сборке) да, они могут в старом шаблоне не вывестись, т.к. в result они ушли, а в шаблоне вывод не предусмотрен. Надо добавить оформление, чтобы заработало. Но это во-первых, стабильности системы не мешает. Во-вторых, как раз лучше регулярно обновляться, получать по несколько инноваций и применять из на сайте раз в квартал быстренько. Чем копить 100500 пакетов, получать через 3 года десяток улучшений и садиться за огромный допил всего и вся.

Как раз если сразу, то именно подряд. Если долго не обновляться, обновлений будет и не 3, а все 10. И если есть косяк, они все 10 подряд залетят на хостинг криво.

config.php после установки заполнен? Посмотрите по ftp

Очевидно, нет прав на запись. Смотрите еррор.лог на хостинге, почему он не даёт

А пароль к БД буквы и цифры? Или есть символы какие-то, типа точки с запятой?

Ну какое-то ограничение на хостинге, или скриптам нельзя файлы менять, или права или владелец

Ну вот, mod_fcgid, режим РНР может поменять попробовать на хостинге

Смотрите в error log на сервере

Эту кнопку мы запланировали ы ближайшей сборке. Будет в настройках магазина, наверное, там логичнее её иметь