Neue Beiträge erstellen in Kategorie verbieten

    Hallo zusammen,


    ein Besucher meiner Homepage machte mich darauf aufmerksam, dass es möglich sei, auf einer Kategorieseite Beiträge einzureichen. Tatsächlich ist auf dieser Seite plötzlich der Button "Beiträge einreichen" zu sehen.


    Dies ist aber ohne mein Zutun geschehen und es erscheint nur auf dieser Seite.


    Wie kann ich diesen Button entfernen? Ich habe schon versucht, in den Benutzerberechtigungen für "Öffentlich" das Erstellen von Beiträgen explizit zu verbieten, aber das ändert nichts. Ich kann auch in der Kategorie selbst im Backend keine Einstellung finden, mit der ich das Einreichen von Beiträgen verbieten kann.


    Was muss ich tun?


    Danke im Voraus für Tipps.

    Ich habe gerade letzten Monat geupdetet, ich habe also die aktuellste Version


    Ich habe tatsächlich mir unbekannte User entdeckt, die ich gelöscht habe. Muss ich evtl. befürchten, dass die Seite noch tiefergehend manipuliert worden ist?


    Bei den Menüeeiträgen kann ich nichts finden. Weder die Suche nach "Einreichen" noch nach "Beiträge" bringt ein Ergebnis.


    Aufgrund des möglichen Hackversuchs halte ich es für sinnvoll, lieber ein Backup einzuspielen. Trotzdem würde ich gerne wissen, wie man das Einreichen von Beiträgen in bestimmten Menüs erlauben oder verbieten kann.

    Vielleicht postest mal den Link, der sich hinter dem Button versteckt (es reicht der Teil hinter der Domain)


    oder einen Link zur Seite oder wenigstens einen Screenshot vom Button, damit man mal eine Vorstellung hat, wo der eigentlich ist.


    Wenn du (oder anderer) nicht an Benutzerrechten rumgeschraubt hast, dann erlaubt Joomla keinem Public-User oder Guest oder Registriert ... das Anlegen von Beiträgen. Egal, welche Kategorie.


    Selbst, wenn du einen Menüeintrag "Beitrag anlegen" einrichtest, diesen versehentlich einer dieser Gruppen (genauer Zugriffsebenen) anzeigst, kommen die nicht weiter, sondern sehen ein Kein Zugang.


    Auch der direkte Versuch
    /index.php?option=com_content&view=form&layout=edit
    gibt dir ein Nicht Erlaubt aus.



    Habs jetzt nur auf Englisch: Zum Beispiel in der Globalen Konfiguration im Reiter Permissions kannst bspw. folgende, wahnwitzige Einstellungen machen und jeder kann (nicht nur) Beiträge anlegen, soweit es grundlegend diese Möglichkeit aus dem Frontend gibt


    Es reicht ein /index.php?option=com_content&view=form&layout=edit



    Solche Permission-Reiter gibt es auch in der/den Komponenten, um spezifischer einstellen zu können, also auch in com_content. Auch in "Untereinträgen" wie den Beiträgen usw.


    Nur so als Einstieg...


    Das ist ein sehr komplexes Thema, bei dem man viele Fehler machen kann. Wenn man was verstellt, im Glauben, alles noch sicherer zu machen als Joomla das schon vorgegeben hat. Sollte man sehr ausgiebig testen.


    Der Weg ist im Normalfall der, dass man im Menüeintrag "Beitrag einreichen", auswählt, ob man nur eine Kategorie haben will oder nicht. Alles andere ist dann, wie gesagt, Einstellarbeit in den jeweils relevanten Berechtigungen der Komponenten und/oder Einträgen der Komponente.


    EDIT: Auch, wenn sich jemand Zugang zur DB erschlichen hat und/oder Webspace ist es gelegentlich relativ leicht, an Benutzerrechten zu schrauben.

    Der Witz ist, dass überall in den Einstellungen steht, dass alles was nicht Lesen ist für "Öffentlich" verboten ist.


    Folgendermaßen sieht der Button aus:



    Das ist der Link zu dem er führt:


    .../index.php/projekte?task=article.add&return=aHR0cDovL2F1dGlzbXVzLWZvcnNjaHVuZ3Mta29vcGVyYXRpb24uZGUvaW5kZXgucGhwL3Byb2pla3Rl&a_id=0&catid=9

    Hallo,


    also, wie sehen nun die Einstellungen in der Konfiguration > Berechtigungen (Public) aus?


    Der angegebene Link gibt folgendes: .../defaultsite. Daher gecheckt:


    es dürfte (von einem anderes Thead) um diese Seite gehen? http://www.hamburgerjung.hamburg/index.php/projekte


    Wenn man in Sucuri schaut, zeigt es einen 500er Fehler und würde dort hin führen: http://www.hamburgerjung.hamburg/404testpage4525d2fdc
    PHP: 7.0.14


    weiters: wenn ich eingebe: http://www.hamburgerjung.hamburg/language/de-DE/de-DE.xml > steht dort: Sprachdatei 2.5.9.1


    keine Ahnung, was das nun alles bedeuten soll. Re:Later, Du darfst hier weiter :)


    Liebe Grüße, Christine

    Der Link sitzt mittendrin im Formular-HTML einer Beitrags-Kategorie-Liste. (Nur Info: Das Formular ist normalerweise zuständig, wenn man z.B. nach Listenüberschriften sortiert).


    Das wurde da eingemogelt:


    Code
    <span class="hasTooltip" title="Neuen Beitrag einreichen">
 <a href="index.php/projekte?task=article.add&amp;return=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx&amp;a_id=0&amp;catid=9" class="btn btn-primary">
  <span class="icon-plus"></span>
  Neu
 </a>
</span>


    Schau mal in eurem Templateordner unter
    /html/com_content/category/default_articles.php
    nach, ob sich da was Verdächtiges nach dem <form - Tag findet.


    Anschließend unter
    /components/com_content/category/tmpl/default_articles.php


    Das Beseitigen des Buttons bedeutet aber nicht(!), dass Neuanlegen von Beiträgen nicht mehr möglich ist!


    Schau mal auch in der Kategorie mit ID 9 nach den Rechteeinstellungen.
    Dann unter Kategorien unter dem Optionen-Button.
    Leider werden Rechte vererbt.


    Auffällig ist, dass unter Englicher Sprache die
    catid=23
    nicht catid=9
    in der URL vorgegeben wird.


    Auch die Guest-/Gast-Gruppe könnte in Frage kommen, falls bei Euch vorhanden.

    Es handelt sich nicht um die HamburgerJung-Seite, die ist nämlich nur die Testplattform. Und obwohl die inhaltlich komplett auf dem selben Stand ist, besteht da der Fehler nicht.


    Also gehe ich davon aus, dass gezielt diese Seite manipuliert worden ist.


    Danke @Later, das werde ich mir morgen Mittag mal ansehen.


    Was kann das Ziel dieses Buttons sein? Der dubiose fremde Nutzer war im Oktober aktiv, es sind aber keine neuen Beiträge erstellt worden. Was kann also noch mit der Seite passiert sein?

    Zitat von Re:Later

    Schau mal in eurem Templateordner unter
    /html/com_content/category/default_articles.php
    nach, ob sich da was Verdächtiges nach dem <form - Tag findet.


    Anschließend unter
    /components/com_content/category/tmpl/default_articles.php


    Leider habe ich die angegebenen Verzeichnisse und Dateien auf dem gesamten Server bei mir nicht finden können.




    Ich habe in allen Einstellungen nachgeschaut, alle Verbote werden richtig vererbt. Der Benutzergruppe "Öffentlich" ist alles verboten. Ansonsten sind nur die Standardbenutzergruppen vorhanden und die müssen ja alle irgendwelchen Benutzern zugeordnet sein.

    Zitat von Greenback

    Leider habe ich die angegebenen Verzeichnisse und Dateien auf dem gesamten Server bei mir nicht finden können.


    Dann verwendest du kein Joomla ;) Wenigstens 2. ist eine Core-Datei


    Bei ersterer steht eytra dabei "in deinem Templateordner", /templates/DEINTEPLATE/


    Zitat von Greenback

    Ansonsten sind nur die Standardbenutzergruppen vorhanden


    Die Gast-Gruppe zählt mittlerweile auch zu den Standardgruppen.


    Code
    und die müssen ja alle irgendwelchen Benutzern zugeordnet sein.


    Das ist nicht richtig. Bspw. kann jede beliebige Gruppe unter Benutzer > Optionen-Button > Gast Benutzergruppe definiert sein. Jeder unangemeldete Besucher der Seite ist dann in dieser Gruppe statt Öffentlich.

    Zitat von Greenback

    Ich habe in allen Einstellungen nachgeschaut


    Nachschauen reicht nicht. Da du nicht wissen kannst, wo angesetzt wurde (bspw, direkt in assets-Datenbank-Tabelle oder access.xml oder ...), müsstest du explizit alle neu setzen und somit speichern.


    Ich wär an dem Punkt, wo ich die Seite neu aufsetzen würde. Zumindest nicht online stehen lassen würde.

    Zitat von Re:Later


    Dann verwendest du kein Joomla ;) Wenigstens 2. ist eine Core-Datei


    Bei ersterer steht eytra dabei "in deinem Templateordner", /templates/DEINTEPLATE/


    Ich habe die Suchfunktion drüber laufen lassen, es ist tatsächlich so. Dann habe ich auch noch mal explizit in Joomla in meinen Templateordnern alles durchgeguckt, auch ohne Erfolg.


    Zitat

    Ich wär an dem Punkt, wo ich die Seite neu aufsetzen würde. Zumindest nicht online stehen lassen würde.


    Ja, das werde ich wohl tun, ich hatte mir nur erhofft, irgendwie herausfinden zu können, was da passiert ist. Aber wer weiß, vielleicht sind da noch irgendwelche dubiosen Sachen in der Seite versteckt, die ich nicht finden kann. Das ist zu riskant.


    Trotzdem vielen Dank allen.

    So, ich habe die Seite jetzt aus einem sauberen Backup komplett neu hergestellt.


    Dem Himmel sei es gepriesen und gepfiffen, dass ich das hatte. Unter anderem nutze ich auch für solche Fälle meine Testseite.


    Meine Lehre aus der Sache:
    - Die Seite öfter mal komplett durchklicken
    - regelmäßig nach dubiosen neuen Nutzern suchen
    - Admin-Passwort regelmäßig ändern
    - Updates zeitnah durchführen


    Danke noch mal an alle Helfer.