.htaccess Problem mit JoomGallery Melde-Button

    Hallo Forum.


    Ich baue gerade die Vereinsseite des Sportvereins bei uns im Ort neu auf. Nachdem unautorisiert Spammails versendet wurden, wollte ich diesmal das Augenmerk mehr auf Sicherheit legen und habe versucht viele Tipps von https://www.joomla-security.de/ umzusetzen, u.A. auch das erweiterte .htaccess File zu setzten.


    Die Seite sah vorher eigentlich genau so aus wie sie jetzt aussieht, da ich aber nicht ausmachen konnte wo die Schwachstelle war, habe ich die Seite einmal komplett neu aufgebaut. Soweit funktioniert auch alles super, nur mit der JoomGallery habe ich ein Problem mit dem Melde-Button und bekomme es nicht ans Laufen. Wenn man darauf klickt kommt normalerweise die Eingabemaske mit E-Mail usw. Der iFrame öffnet sich auch, aber dann bekomme ich einen 404 Error weil die .htaccess den Zugriff im root Verzeichnis zu sehr einschränkt. Wie kann ich den Zugriff in der .htaccess Datei soweit öffnen dass der Melde-Button wieder funktioniert?


    Wäre echt super wenn jemand einen Tipp hätte. :)


    Hier noch der Link zur Seite: https://www.sv-muenster.de/galerie.html


    Danke schon mal.

    Grüße

    Hallo,


    wenn Du dein Joomla stets Aktuell hältst und zeitnah alle Uptades einspielst und auch alle deine Extensions immer Aktuell hältst, dann solltest dur für deine Sicherheit schon viel getan haben.


    Jedoch, es gibt keine 100%ige Sicherheit.


    Mit der .htaccess von Joomla Security musst Du dich schon sehr gut in der Tiefe deines Systems auskennen. Oft sperrst Du mit dieser mehr aus als dir lieb ist.


    Gruß Faro

    Guten Morgen.


    Danke für Eure Antworten.

    Zitat von faro

    Mit der .htaccess von Joomla Security musst Du dich schon sehr gut in der Tiefe deines Systems auskennen. Oft sperrst Du mit dieser mehr aus als dir lieb ist.

    Ja, den Eindruck hatte ich auch. Wobei das "kleine" Problem mit dem Melde-Button bis jetzt das einzige ist, was ja aber nicht heißen muss dass mit der Zeit nicht noch mehr Probleme auftreten und man sich dann dumm und dämlich sucht.


    Zitat von Elwood

    Deaktiviere in deinen Kontaktformularen das Feld 'Eine Kopie dieser Mail erhalten'

    Na wenn es so einfach ist, dann werde ich wohl diesen Weg gehen. Ich persönlich finde das Feld "Eine Kopie dieser Mail erhalten" eigentlich ganz gut, weil man dann einfach genau weiss was man dem Kontakt geschrieben hat. Wenn dieser dann Antwortet ist die Anfrage ja nicht mehr mit dabei, aber wenn es der Sicherheit dient werde ich diese Funktion abschalten!


    Das Feature mit den Artikeln per Mail zu verschicken benutzen wohl die aller wenigsten bis niemand, und die Seite ist ja nicht so groß dass man den Artikel nicht finden würde wenn man darauf geht. :D:D


    Danke für Eure Tipps und schönen Feiertag.

    Gruß PhatFarmer

    Zitat
    Das Feature mit den Artikeln per Mail zu verschicken benutzen wohl die aller wenigsten bis niemand


    Oh doch. Das ist doch dein Problem:


    Zitat

    unautorisiert Spammails


    Das möchtest du doch verhindern. Im Netzt wird permanent nach solchen 'Lücken' automatisiert gesucht.

    Hier geht es nicht darum, ob die Seitenbenutzer es nutzen oder finden, sondern weil es eine Schwachstelle

    für Spammails sein könnte.


    Und die solltest du mit den Infos hinter den Links verhindern. ;)

    Hallo Elwood.


    Ich habe mich vielleicht etwas ungünstig ausgedrückt. Ich meinte, die User die die Seite besuchen werden das Feature, Artikel per Mail zu versenden, wohl eher nicht benutzten.

    Dass die Spamer/Bots nach solchen "Lücken" suchen, bzw. diese ausnutzen ist klar.


    Habe den Bug beseitigt..., äh das Feature deaktiviert. :)

    Zurück zum Problem:

    Du könntest in der .htaccess blockweise die Anweisungen als Kommentar setzen. Wenn es dann wieder funktioniert, weißt du, dass der entsprechende Block hier blockiert. Anschließend machst du das gleiche zeilenweise innerhalb des gefundenen Blocks. Mit etwas Glück musst du dann letztendlich nur eine Zeile entfernen, damit dein Button einwandfrei funktioniert.

    Wenn du Pech hast, sind mehrere Zeilen aus verschiedenen Blöcken gleichzeitig betroffen.

    Kannst das Ganze durch Analysieren der URL aber auch etwas beschleunigen. Muss man sich halt etwas damit auskennen.

    In aller Regel bleibt von dieser "erweiterten" htaccess aber nicht mehr viel übrig, wenn Joomla und Erweiterungen richtig funktionieren sollen.

    Bei mir funktioniert der Meldebutton (rotes Rufezeichen) auch mit der extended htaccess von joomla-security (Version: 3.7.1 Extended (2018-03-11)) nach Testinstallation problemlos.

    JoomGallery Komponente 3.3.4

    Joomla 3.8.6

    Protostar-template


    Der Link des Meldebuttons lautet:

    ... ?view=report&id=2&catid=2&tmpl=component

    Kein Unterschied zu deiner Seite.