Joomla Backend: Ich werde dauernd ausgeloggt - Session-Problem?

  • Hi!

    Bereits seit Joomla 3.6 habe ich das Problem, dass ich immer wieder ausgeloggt werde, so als ob ein session timeout stattfinden würde. Dieses Problem tritt mittlerweile bei drei separaten Joomla-Installationen auf, die durch Quota auf dem Server getrennt sind. Alle Seiten sind auf Joomla 3.9


    Beispiel für den Fehler: Ich schreibe z.B. als Admin im Backend Texte in einem Beitrag und klicke auf Speichern. Buff, schon sehe ich nur noch die Anmeldemaske für das Backend. Und der eingegebene Text ist natürlich dann auch weg und der Beitrag wird mit dem schwarzen kleinen Schloss-Symbol als nicht korrekt geschlossen gekennzeichnet.

    Dieses „Ausloggen” kann bei jeglicher Aktion stattfinden, also auch z.B. wenn ich vom HTML-Editor-Fenster umschalte ins Code-Fenster oder wenn ich verschiedene Funktionen im Backend anklicke wie z.B. eine Kategorie oder ein Menü usw. Es dürfte folglich nicht JCE-Editor-bezogen sein.


    Bisher kam das nicht so häufig vor und ich dachte jeweils, beim nächsten Joomla-Update könnte das weg sein. Aber jetzt mit Joomla 3.9 ist es so häufig geworden, dass ich nicht mehr vernünftig arbeiten kann!


    Das einzige, was mir einfällt, was mit dem Effekt irgendwie zu tun haben könnte ist, dass ich im Server in der PHP.ini das "keep_alive" aktiviert habe. Ich hab es versuchsweise wieder raus gemacht, aber es ändert sich nichts bei Joomla.

    Ich hab auch schon die Session-Zeit verändert und gespeichert, weil es ja sein könnte, dass diese Zeit in der Datenbank irgendwie falsch gespeichert wurde. Brachte aber auch nix.


    Frage: Was kann ich tun, um den Fehler zu finden und zu beheben? Hatte jemand ebenfalls diesen Fehler?


    Freundliche Grüße

    Clemens

  • Hi!

    Danke für deine schnelle Antwort! Session_handler ist "database"


    Das Problem tritt bei allen Browsern und rechnerunabhängig auf.


    Gemeinsame Sitzungen kenne ich nicht. Ich bin der einzige User auf den Joomla-Installationen. Die Möglichkeiten, sich als weiteren Benutzer anzulegen, sind weitgehend deaktiviert.

  • Vor langer langer Zeit hatte ich mal gewagt oder aus Versehen den Handler auf "Datei" umgestellt. Dann kam ich nicht mehr ins Joomla rein. Ich musste irgendwo in der Datenbank über MySQL-Admin etwas zurück ändern, damit es wieder lief. Deshalb habe ich bisher nicht in Erwägung gezogen, hiermit zu experimentieren.


    Soll ich also wirklich? Und wie krieg ichs hin, wenn nach der Umstellung nix mehr geht?

  • Hallo Christine!

    Danke für deinen Tipp. Ich hab den Server kontrolliert. Auch bei mir steht die PHP-Sessionzeit auf 1440s, also rund 24 Minuten. Das unerwünschte Timeout erfolgte aber erheblich früher.


    Immerhin tritt das Timeout jetzt erheblich seltener auf, sodass ich wieder halbwegs am Backend arbeiten kann. Als gelöst sehe ich das daher noch nicht an.


    Den von dir zitierten Thread habe ich gelesen.


    Freundliche Grüße

    Clemens

  • Versuche mal herauszufinden, ob du immer nach einer bestimmten Zeit rausgeschmissen wirst oder ob das wirklich sporadisch ist! Falls bestimmte Zeit, welche Zeiteinstellung greift? Stelle dazu alle Zeiten mal auf eine kürzere Dauer ein. Diese sollten sich aber unterscheiden!


    Und bastelst du da zeitgleich auch im Frontend rum oder nur im Backend, wenn du ausgeloggt wirst?

    Könnte es sein, dass du irgendeine Erweiterung/Tool verwendest, was zu dem Problem führt? Vielleicht werden die Browserdaten gelöscht?

    Verwendest du die "normale" .htaccess oder eine veränderte mit speziellem Hackschutz?

  • Hallo Joomlawunder!

    Ich werde jetzt, nach Umstellung auf PHP-Session zu unregelmäßigen Zeiten rausgeworfen, manchmal während der Texteingabe eines Beitrags im JCE-Editor. Am häufigsten geschieht es jetzt aber bei bestimmten Aktionen im Backend wie z.B. nach dem Speichern eines Beitrag und nachfolgendes Wechseln zum Hauptmenü, um dieses zu ändern.

    Ich habe die PHP-Session-Time des Servers von 1440 auf andere und auch sehr kurze Werte z.B. 1 Minute geändert. Die 1 Minute greift auch. Aber z.B. bei eingestellten 5 Minuten flog ich wieder raus nach ca. 2 Minuten. Ich hab den Eindruck, es hängt durchaus von der jeweiligen Aktion im Backend an.


    Ich habe jegliches Frontend-Editing deaktiviert, weil ich der einzige User und Admin bin. Die geschilderten Probleme beziehen sich alle auf das Backend.


    Ich verwende durchaus eine angepasste htaccess:

    Das ist meine htaccess. Ich kann daran nichts Ungewöhnliches entdecken und schon gar nichts, was das Ausloggen verursachen könnte.


    Die zusätzlichen Erweiterungen sind auf ein notwendiges Minimum reduziert und zudem alle aktuell gehalten. Es sind folgende:

    Akeeba, BruteForceStop, JCE-Editor, JCH-Optimize, JYAML-Template, Marcos SQLI, OSM-Sitemap, RegularLabs mit Slider und CacheCleaner.

    Datenbank-Überprüfung war auch OK und Joomla meldet keine Fehler in der Installation.


    Was meinst du damit, dass „die Browserdaten gelöscht” werden? Wie könnte das denn erfolgen? Und wieso würde nach einem solchen Löschen dann die Anmeldemaske für das Backend geladen?


    Übrigens: Öfter nach einem Rauswurf musste ich mich ein oder zwei mal im Backend anmelden, weil zunächst die Fehlermeldung kam, die Session wäre abgelaufen.


    Gerade bin ich innerhalb von drei Minuten 2 mal rausgeflogen. Nach dem Wieder-Einloggen öandete ich merkwürdiger Weise auf der Seite, wo ich rausgeflogen bin, nämlich die Übersichtsseite der Module. Dazu erschien die Meldung, dass der "Zugriff auf diese Seite nicht gestattet sei -118" Dennoch konnte ich zugreifen.

    Ich hatte zuvor gerade eines nach Änderung speichern wollen, als ich rausflog. Das Modul war dann mit dem Hängeschloss gekennzeichnet. Nach Öffnen des Moduls sah ich, dass die im Text vorgenommenen Änderungen nicht gespeichert worden waren.


    Merkwürdig!

  • Übrigens: Öfter nach einem Rauswurf musste ich mich ein oder zwei mal im Backend anmelden, weil zunächst die Fehlermeldung kam, die Session wäre abgelaufen. Merkwürdig.

    Völlig normal!

    In aller Regel einmal F5 drücken, um die Einlogg-Maske erneut aufzurufen und die Eingabe funktioniert beim ersten Mal.


    Was ist denn dieses "BruteForceStop"? Habe das jetzt nicht weiter gegoogelt. Aber lässt sich das testweise deaktivieren?

    Und ist der Cache Cleaner so eingestellt, dass er automatisch mit dem Speichern den Cache leert? Eventuell diese Funktion auch mal ausschalten! Man weiß ja nie. Allerdings kann ich mir diesen als Ursache eher nicht vorstellen.

    Und natürlich auf Joomla 3.9.1 aktualisieren!

  • BruteForceStop ist ein PlugIn, mit dem BruteForce-Angriffe auf das Backend bzw. jede Einlogg-Maske verhindert wird. Nach drei Fehlversuchen wird die IP gesperrt usw.


    Der CacheCleaner ist von RegularLabs und blendet einen Button im Backend ein, über den komfortabel der serverseitige Cache geleert werden kann. Angeblich sollen dabei auch nicht korrekt geschlossene Beiträge etc. geschlossen werden. Funzt aber nicht immer.


    Joomla 3.9.1 ist drauf.

  • BruteForceStop ist ein PlugIn, mit dem BruteForce-Angriffe auf das Backend bzw. jede Einlogg-Maske verhindert wird. Nach drei Fehlversuchen wird die IP gesperrt usw.


    Der CacheCleaner ist von RegularLabs und blendet einen Button im Backend ein, über den...


    Der CacheCleaner bietet u.a. die Funktion, nach dem Speichern eines Beitrags automatisch den Cache zu leeren, damit man das nicht mittlels Button manuell machen muss. Ich frage mich, ob dies dazu führen könnte, dass du ausgeloggt wirst.


    Und was kann "BruteForceStop" noch so alles? Wirst du da vielleicht aus Sicherheitsgründen ausgeloggt?

  • Betr. CacheCleaner

    Bei Regular Labs steht:

    With Cache Cleaner you can clean your cache fast and easily via a link in your Joomla! Administrator.

    Not only that, it also gives you the possibility to purge expired cache, do a global check-in, empty the temp folder, empty user-defined folders and database tables … all with just 1 click!

    Cache Cleaner can clean your cache automatically when you save an article or other item. And it can clean your cache at preset intervals too.


    In der gegenüberstellung der bezahlten Version gegenüber der freien Version fand ich keinen Hinweis auf die Funktion des automatischen Löschen des Chache bei Speichern eines Beitrags. Ich habe die kostenlose Version. Das Plugin lässt sich nicht konfigurieren.

    Ich gehe daher davon aus, dass bei nix automatisch "gecleant" wird.


    Alle von mir genannten Erweiterungen sind auf allen meinen Sites installiert und arbeiteten bisher immer einwandfrei, ausgenommen BruteForceStop und Marco's Intercept, die beide Probleme mit PHP7 haben. Der Austausch einer Zeile hat diese Probleme behoben. Und bei Marco's Intercept darf man nicht die IP-Sperre aktivieren, weil dann unabhängig von der Joomla-Einstellung betr. Fehlermeldungen eine fette Fehlermeldung unterhalb des Seitenkopf erscheint, sobald das Tool eine Injection erkannt und eine IP gesperrt hat.

    Die genannten Fehler werden von den Autoren der Erweiterungen offensichtlich nicht behoben. Alternativen zu diesen Erweiterungen gibt es nicht.


    Das unerwünschte Ausloggen hat sicher nicht mit den Erweiterungen zu tun.

    Auch habe ich die Datenbank per Joomla-Befehl überprüft. Alles OK.


    Ich bin mir zeitlich nicht ganz sicher, ab ich glaube, es hat auf allen drei Sites gleichzeitig zu Anfang 2018 begonnen und ich beobachtete es erstmalig nach einem Joomla-Update.


    Frage: Ist es denkbar, dass der ISP eine merkwürdige Einstellung in seinen Managed Hosting Paketen vorgenommen hat, wodurch dieses unerwünschte Ausloggen zustande kommt?

  • Hast du mehrere Projekte auf deinem Webspace liegt? Dann könnte es mehrere .htaccess-Dateien geben. Schau mal, ob es noch übergeordnete gibt?

    Prinzipiell könnten auch bestimmte Servereinstellungen für solche Probleme sorgen. Gibt es denn was Auffälliges? Welchen Hoster hast du?


    Ich persönlich würde den ganzen "Sicherheitskram" entfernen, also lediglich einen Schutz für's administrator-Verzeichnis nutzen und gut is! (CacheCleaner ist natürlich nicht gemeint)

  • Es liegen alle drei Joomla-Sites in voneinander durch Quotas getrennten Verzeichnissen auf einem Managed Hosting Server. Jede Joomla-Installation hat daher ihre eigene htaccess, wobie diese alle inhaltlich identsch sind.

    Das Backend wird zusätzlich abgesichert durch eine htaccess, die jeden Zugriff aufs Backend verhindert. Nur wenn ich mich ins Backend einloggen will und arbeiten will, benenne ich die htaccess einfach um, sodass nur das normale LogIn als Schutz am Backend wirksam ist.


    Was bezeichnest du als "bestimmte Servereinstellungen"? Was bezeichnest du als "Auffälliges"? Und was hat der Hoster damit zu tun?

    Sorry, aber derart vage Andeutungen empfinde ich nicht als hilfreich.

  • Hallo,

    Sorry, aber derart vage Andeutungen empfinde ich nicht als hilfreich.

    Sorry, aber das empfinde ich gegenüber einem unserer fähigsten Supporter unfair!

    Hast du mehrere Projekte auf deinem Webspace liegt? Dann könnte es mehrere .htaccess-Dateien geben. Schau mal, ob es noch übergeordnete gibt?

    Prinzipiell könnten auch bestimmte Servereinstellungen für solche Probleme sorgen. Gibt es denn was Auffälliges? Welchen Hoster hast du?

    Die Frage ist doch berechtigt, wo Du selbst schreibst:

    Zitat

    Frage: Ist es denkbar, dass der ISP eine merkwürdige Einstellung in seinen Managed Hosting Paketen vorgenommen hat, wodurch dieses unerwünschte Ausloggen zustande kommt?

    Dazu kommen noch die vielen .htaccess Einträge wie z.B. "Keep Alive", "ADDITIONAL CACHE FUNCTIONS" Einstellungen usw.

    Zitat von Clemens-XS

    Das Backend wird zusätzlich abgesichert durch eine htaccess, die jeden Zugriff aufs Backend verhindert. Nur wenn ich mich ins Backend einloggen will und arbeiten will, benenne ich die htaccess einfach um, sodass nur das normale LogIn als Schutz am Backend wirksam ist.

    wozu ist das gut?


    Also auch ich befürworte:

    Zitat von JoomlaWunder

    Ich persönlich würde den ganzen "Sicherheitskram" entfernen, also lediglich einen Schutz für's administrator-Verzeichnis nutzen und gut is! (CacheCleaner ist natürlich nicht gemeint)


    Liebe Grüße

    Christine