Hallo!
Ich verwende in meiner HTACCESS vier HTTP-Header-Security Settings. Solange diese aktiv sind, kann ich manche Extensions nicht über das Backend updaten wie z.B. die Extensions von RegularLabs (früher NoNumber).
Auch die Joomla-Update-Prüfung funktioniert nicht, weil offensichtlich keine Verbindung zum Update-Channel aufgebaut werden kann. Erst wenn ich im Backend den Menüpunkt "Joomla-Update prüfen anklicke, gelingt die Verbindung und Update-Prüfung. Das Update selbst kann aber nicht durchgeführt werden, weil nach der erfolgten Datensicherung mit Akeeba kein Download des neuen Joomla erfolgt.
Ich muss also vor jedem Update-Vorgang per FTP in meine htaccess und die oberen drei Security-Settings deaktivieren (auskommentieren), dann die Updates durchführen und prüfen und anschließend die htaccess wieder zurück ändern.
Hier die vier Settings:
Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' http://meine.piwik-domain.de https://www.initiative-s.de"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options "nosniff"
Frage:
Was muss ich ändern, damit die Updates ohne den oben beschriebenen Änderungsaufwand erfolgen können, die Security-Settings aber weiterhin wirksam bleiben?