Joomla Security htaccess files - Medien/Bilder & PDFs löschen nicht möglich - RewriteCond?

    Hallo zusammen,


    ich habe vor ein paar Tagen von einem meiner Kunden die Meldung erhalten, dass er nicht mehr wie gewohnt über das Backend mittels Joomla Medienmanager die Bilder bzw. PDF Dateien löschen kann. Das System lieferte ihm ständig einen "404 Document not found!"


    Ich hab mir das jetzt mal angesehen und bin draufgekommen, dass der 404 durch die htaccess zustande kommt. Da ich die Joomla Security htaccess Datei verwende, wird ja 401 und 403 als 404 ausgegeben. Eigentlich kommt also ein 403er zurück. Soweit so gut.


    In meiner Recherche habe ich nun die htaccess deaktiviert - siehe da, das Löschen über den Medienmanager ist nun möglich.
    Also habe ich in der htaccess verschiedene Befehle mal auskommentiert und weiter getestet. Leider ist mein htaccess/Apache Wissen sehr beschränkt, weil ich hier noch nicht wirklich viel tun musste.. Dennoch machte ich mich auf die Suche :)


    Letztendlich kam ich dann zu folgender Stelle:


    Apache Configuration
    ## Disallow visual fingerprinting of Joomla! sites (module position dump)Initial idea by Brian Teeman and Ken Crowder, see:## http://www.slideshare.net/brianteeman/hidden-joomla-secrets## Improved by @nikosdion to work more efficiently and handle template## and tmpl query parametersRewriteCond %{QUERY_STRING} (^|&)tmpl=(component|system) [NC]RewriteRule .* - [L]RewriteCond %{QUERY_STRING} (^|&)t(p|emplate|mpl)= [NC]RewriteRule .* - [F]


    Nach Auskommentieren von den beiden RewriteCond's klappte es wunderbar.


    Ich habe dann nochmal die URL die im Browser beim Löschen aufgerufen wird geprüft (Link anonymisiert):
    http://www.meineurl.at/adminis…m_media&task=file.delete&tmpl=index&273d....88fb97=1&folder=website_pictures/folder&rm[]=folder.pdf


    Der fette Teil ist ja schonmal interessant: hier kommt &tmpl=index und das ist in den RewriteConds oben ja eigentlich mit F(orbidden) konfiguriert.


    Wenn ich die RewriteCond umbaue zu folgendem Statement klappt es, denn dann wird der tmpl=index quasi erlaubt.

    Apache Configuration
    RewriteCond %{QUERY_STRING} (^|&)tmpl=(component|system|index) [NC]
RewriteRule .* - [L]
RewriteCond %{QUERY_STRING} (^|&)t(p|emplate|mpl)= [NC]
RewriteRule .* - [F]


    Könnt ihr mir sagen, ob das ein Bug in der htaccess ist oder ob ich hier was falsch konfiguriert habe?
    Warum klappt es mit der Standard htaccess nicht und warum muss ich diesen Teil auskommentieren bzw. ändern?


    Ich hoffe, es hatte schonmal jemand ein ähnliches Problem oder kann mir zumindest weiterhelfen :)


    Danke euch schon im Voraus!



    Guten Rutsch und viel Erfolg für 2016 euch!!


    Liebe Grüße aus Österreich,
    David