推荐的扩展程序/工具来检查核心文件的修改？

当将Joomla网站更新到最新版本时，如果我正在升级的网站（由六年前的流氓开发人员（即我，六年前）建在过去）碰巧具有某些功能更改（“ hacks”），我总是会有一点恐慌核心的Joomla文件。

在理想的世界中，我可以通过以下扩展或工具来避免这种潜在的冠状动脉：

• 了解每个版本的Joomla中包含的所有核心Joomla文件
• 将我的Joomla安装上的每个文件与Github上或任何地方的主Joomla源文件进行比较（甚至像MD5哈希比较之类的东西）
• 如果存在差异，请启动差异工具以查找差异并将其标记为审核
• 如果它们是相同的，好东西，则无需采取任何措施
• 最后生成报告，详细说明上述过程的结果

我发现该扩展程序可以完成上述大部分操作，但是自J2.5.7以来，甚至从未针对J3.X进行过任何更新-就是这样。

在我公司，我们偶尔使用MyJoomla进行完整的Joomla网站“审核”（一整套针对Joomla网站的最佳实践准则和修复程序的清单），其中一部分是“核心文件完整性检查”。但是，此服务每月收取订阅费，我真正要检查的是升级之前是否已对任何文件进行了黑客入侵。

有人知道其他解决方案吗？除了 “不要破解核心文件”之外，直到最近，有时没有其他方法可以执行某些任务，而不必承担大量通常是无偿的工作。

我无法想象有比这更好的工具 git。这是一个很好的工具，可用来跟踪您对代码所做的更改（如果您要进行任何更改），是Joomla使用的用于贡献代码的系统（这是一件很棒的事情），这就是它的目的！

工作流程非常简单，应该让您完全不用担心：

1. 备份您的joomla网站（无论如何，这是您以前做的，对吧？）
2. 在本地设置备份副本。
3. git init在本地副本的根文件夹上运行。然后运行git add --all和git commit。这将立即获取代码快照。
4. 获取与您当前的Joomla版本匹配的补丁。
5. 在本地副本上安装该修补程序。
6. 运行git diff，您将看到正在运行的文件和核心文件之间的所有文件差异列表。

我认识到这是一个很好的“开发”答案，并非所有人都希望在命令行中使用git。如果您使用Git GUI（例如Github的客户端），则可以跳过最后一步，因为GUI通常会自动显示差异。

最终，我推荐这种方法，因为它既可以教给您技巧，也可以帮助您编写代码并为Joomla做贡献，并且可以将所有检查都保留在本地，因此您不必担心将代码运送到另一个网站或服务！

这是FFrewin答案的扩展。Akeeba还生产一个名为SiteDiff的免费工具。它使您可以比较使用Akeebabackup备份的2个站点（也有该站点的免费版本）。

要使其正常工作，您必须具有2个备份。一个备份将是您的站点（假设它是2.5.19版）。对于其他备份，您需要安装Joomla 2.5.19的新副本，然后对该安装进行备份。接下来，使用SiteDiff工具比较两个备份。

此方法的问题是，与全新安装相比，您的站点备份中将有更多文件。多余的文件将显示为差异，从而可能难以区分核心更改与其余“噪声”。

http://audit-fs.co.za/有一个名为Audit_FS的免费工具，它可以显示已修改的Joomla文件和/或可能损坏的Joomla文件。

作为一种基本的安全工具，Audit_FS旨在仅对Joomla！®文件执行审核，并检查文件和目录权限。它不检查数据库记录中的任何更改或黑客入侵，也不检查您可能已安装的扩展名中的任何文件。审核报告还将忽略.htaccess，robots.xt，configuration.php，configuration.php-dist和copyright.php。

除了您提到的扩展名，我什么都不知道，该扩展名停在J2.5中。

我的解决方法是使用桌面应用程序进行文件/文件夹比较，然后将相关站点与其原始joomla版本进行比较。我个人在Mac上使用DiffMerge。

我知道，另一个可以帮助您跟踪网站上被黑/修改过的文件的实用程序是Admin Tools专业版。它提供了php扫描程序工具。但是实际上，这是针对您在启动后开发和扫描的网站的，目的是帮助您在黑客尝试之后发现所有受感染的文件。