Joomla Backend: Ich werde dauernd ausgeloggt - Session-Problem?

Hi!

Bereits seit Joomla 3.6 habe ich das Problem, dass ich immer wieder ausgeloggt werde, so als ob ein session timeout stattfinden würde. Dieses Problem tritt mittlerweile bei drei separaten Joomla-Installationen auf, die durch Quota auf dem Server getrennt sind. Alle Seiten sind auf Joomla 3.9

Beispiel für den Fehler: Ich schreibe z.B. als Admin im Backend Texte in einem Beitrag und klicke auf Speichern. Buff, schon sehe ich nur noch die Anmeldemaske für das Backend. Und der eingegebene Text ist natürlich dann auch weg und der Beitrag wird mit dem schwarzen kleinen Schloss-Symbol als nicht korrekt geschlossen gekennzeichnet.

Dieses „Ausloggen” kann bei jeglicher Aktion stattfinden, also auch z.B. wenn ich vom HTML-Editor-Fenster umschalte ins Code-Fenster oder wenn ich verschiedene Funktionen im Backend anklicke wie z.B. eine Kategorie oder ein Menü usw. Es dürfte folglich nicht JCE-Editor-bezogen sein.

Bisher kam das nicht so häufig vor und ich dachte jeweils, beim nächsten Joomla-Update könnte das weg sein. Aber jetzt mit Joomla 3.9 ist es so häufig geworden, dass ich nicht mehr vernünftig arbeiten kann!

Das einzige, was mir einfällt, was mit dem Effekt irgendwie zu tun haben könnte ist, dass ich im Server in der PHP.ini das "keep_alive" aktiviert habe. Ich hab es versuchsweise wieder raus gemacht, aber es ändert sich nichts bei Joomla.

Ich hab auch schon die Session-Zeit verändert und gespeichert, weil es ja sein könnte, dass diese Zeit in der Datenbank irgendwie falsch gespeichert wurde. Brachte aber auch nix.

Frage: Was kann ich tun, um den Fehler zu finden und zu beheben? Hatte jemand ebenfalls diesen Fehler?

Freundliche Grüße

Clemens

Hi!

Danke für deine schnelle Antwort! Session_handler ist "database"

Das Problem tritt bei allen Browsern und rechnerunabhängig auf.

Gemeinsame Sitzungen kenne ich nicht. Ich bin der einzige User auf den Joomla-Installationen. Die Möglichkeiten, sich als weiteren Benutzer anzulegen, sind weitgehend deaktiviert.

Vor langer langer Zeit hatte ich mal gewagt oder aus Versehen den Handler auf "Datei" umgestellt. Dann kam ich nicht mehr ins Joomla rein. Ich musste irgendwo in der Datenbank über MySQL-Admin etwas zurück ändern, damit es wieder lief. Deshalb habe ich bisher nicht in Erwägung gezogen, hiermit zu experimentieren.

Soll ich also wirklich? Und wie krieg ichs hin, wenn nach der Umstellung nix mehr geht?

Tja, das hat also offensichtlich funktioniert! Bisher wurde ich noch nicht wieder aus dem Backend ausgeloggt.

Hätte nicht gedacht, dass es daran liegt! Da hätte ich lange suchen können.

Herzlichen Dank!

Freundliche Grüße

Clemens

Hi!

Da hab ich mich zu früh gefreut! Das Ausloggen tritt immer noch auf, aber bis jetzt nicht mehr ganz so häufig.

Was könnte denn noch für eine Ursache in Frage kommen?

Hallo Christine!

Danke für deinen Tipp. Ich hab den Server kontrolliert. Auch bei mir steht die PHP-Sessionzeit auf 1440s, also rund 24 Minuten. Das unerwünschte Timeout erfolgte aber erheblich früher.

Immerhin tritt das Timeout jetzt erheblich seltener auf, sodass ich wieder halbwegs am Backend arbeiten kann. Als gelöst sehe ich das daher noch nicht an.

Den von dir zitierten Thread habe ich gelesen.

Freundliche Grüße

Clemens

Hallo Joomlawunder!

Ich werde jetzt, nach Umstellung auf PHP-Session zu unregelmäßigen Zeiten rausgeworfen, manchmal während der Texteingabe eines Beitrags im JCE-Editor. Am häufigsten geschieht es jetzt aber bei bestimmten Aktionen im Backend wie z.B. nach dem Speichern eines Beitrag und nachfolgendes Wechseln zum Hauptmenü, um dieses zu ändern.

Ich habe die PHP-Session-Time des Servers von 1440 auf andere und auch sehr kurze Werte z.B. 1 Minute geändert. Die 1 Minute greift auch. Aber z.B. bei eingestellten 5 Minuten flog ich wieder raus nach ca. 2 Minuten. Ich hab den Eindruck, es hängt durchaus von der jeweiligen Aktion im Backend an.

Ich habe jegliches Frontend-Editing deaktiviert, weil ich der einzige User und Admin bin. Die geschilderten Probleme beziehen sich alle auf das Backend.

Ich verwende durchaus eine angepasste htaccess:

# Video
 AddType video/ogg ogv
 AddType video/mp4 mp4, m4v
 AddType video/webm webm
 AddType video/x-ms-wmv wmv
 
# Audio
 AddType audio/x-wav wav
 AddType audio/mpeg mp3
 
# File Formats
 AddType application/pdf pdf
 
# File Formats
 AddType application/pdf pdf
 AddType application/vnd.ms-fontobject    .eot
 AddType application/x-font-opentype      .otf
 AddType image/svg+xml                    .svg
 AddType application/x-font-ttf           .ttf
 AddType application/font-woff            .woff
 AddType application/font-woff            .woff2

#####  HTTP-Header Security Settings 
<IfModule mod_env.c>
Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' https://analyse.meine-domain.de https://siwecos.de"
Header set X-Content-Type-Options "nosniff"
Header set X-XSS-Protection "1; mode=block"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-Robots-Tag "index, follow"
Header set X-Download-Options "noopen"
Header set X-Permitted-Cross-Domain-Policies "none"
Header always set Strict-Transport-Security "max-age=63072000; preload"
SetEnv modHeadersAvailable true
</IfModule>

######  www.meine-domain.de => meine-domain.de
RewriteCond %{HTTP_HOST} =www.meine-domain.de [NC]
RewriteRule ^(.*)$ http://meine-domain.de/$1 [R=301,L]

###### Umleitung von allen Zugriffen auf https
RewriteCond %{HTTPS} !=On [NC]
RewriteRule ^(.*)$ https://meine-domain.de/$1 [R=301,L]

###### meine-domain.de/pfad/zu/datei.html => meine-domain.de/pfad/zu/datei
###### (wenn datei.html nicht physisch existiert)
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.+)\.html$ $1 [NC,R=301,L]

###### Keep Alive 
# Enable keep-alive (funktioniert nur, wenn der Server diese Konfiguration zulässt,
# und wenn das Apache-Modul mod_headers geladen und aktiviert ist!
<ifModule mod_headers.c> 
 Header set Connection keep-alive 
</ifModule>

###### 06 Begin - Allow and Deny access to some files 

 <Files configuration.php>
 Order Deny,Allow
 Deny from all
 </Files>
 
 <Files robots.txt>
 Order Deny,Allow
 Allow from all
 </Files>

<Files sitemap.xml>
Order Deny,Allow
Allow from all
</Files>

<Files googlexxxxxxxxxxxx.html>
Order Deny,Allow
Allow from all
</Files>

<Files y_key_xxxxxxxxxxxxxxx.html>
Order Deny,Allow
Allow from all
</Files>

###### This will block all attempts to run scripts outside of joomla control
RewriteCond %{REQUEST_URI}  ^/images/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/media/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/logs/  [NC,OR]
RewriteCond %{REQUEST_URI}  ^/tmp/
RewriteRule .*\.(phps?|sh|pl|cgi|py)$ - [F]


###### ADDITIONAL CACHE FUNCTIONS 
###### 08 Do not activate during site construction and evaluation
 <IfModule mod_headers.c>
 <FilesMatch "\\.(ico|flv|jpg|jpeg|png|gif|swf|webm|mp4|ogv|wmv|eot|otf|svg|ttf|woff|woff2)$">
   Header set Cache-Control "max-age=33135480, public"
 </FilesMatch>
 <FilesMatch "\\.(css|js)$">
   Header set Cache-Control "max-age=604800, public"
 </FilesMatch>
 <FilesMatch "\\.(xml|txt)$">
   Header set Cache-Control "max-age=216000, public, must-revalidate"
 </FilesMatch>
 <FilesMatch "\\.(html|htm|php)$">
   Header set Cache-Control "max-age=33135480, public"
 </FilesMatch>
 </IfModule>

 
############### Begin - Joomla! core SEF Section
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
### If the requested path and file is not /index.php and the request
### has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php

### and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f

### and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d

...hier folgen nur noch redirects früherer html-Links

Das ist meine htaccess. Ich kann daran nichts Ungewöhnliches entdecken und schon gar nichts, was das Ausloggen verursachen könnte.

Die zusätzlichen Erweiterungen sind auf ein notwendiges Minimum reduziert und zudem alle aktuell gehalten. Es sind folgende:

Akeeba, BruteForceStop, JCE-Editor, JCH-Optimize, JYAML-Template, Marcos SQLI, OSM-Sitemap, RegularLabs mit Slider und CacheCleaner.

Datenbank-Überprüfung war auch OK und Joomla meldet keine Fehler in der Installation.

Was meinst du damit, dass „die Browserdaten gelöscht” werden? Wie könnte das denn erfolgen? Und wieso würde nach einem solchen Löschen dann die Anmeldemaske für das Backend geladen?

Übrigens: Öfter nach einem Rauswurf musste ich mich ein oder zwei mal im Backend anmelden, weil zunächst die Fehlermeldung kam, die Session wäre abgelaufen.

Gerade bin ich innerhalb von drei Minuten 2 mal rausgeflogen. Nach dem Wieder-Einloggen öandete ich merkwürdiger Weise auf der Seite, wo ich rausgeflogen bin, nämlich die Übersichtsseite der Module. Dazu erschien die Meldung, dass der "Zugriff auf diese Seite nicht gestattet sei -118" Dennoch konnte ich zugreifen.

Ich hatte zuvor gerade eines nach Änderung speichern wollen, als ich rausflog. Das Modul war dann mit dem Hängeschloss gekennzeichnet. Nach Öffnen des Moduls sah ich, dass die im Text vorgenommenen Änderungen nicht gespeichert worden waren.

Merkwürdig!

BruteForceStop ist ein PlugIn, mit dem BruteForce-Angriffe auf das Backend bzw. jede Einlogg-Maske verhindert wird. Nach drei Fehlversuchen wird die IP gesperrt usw.

Der CacheCleaner ist von RegularLabs und blendet einen Button im Backend ein, über den komfortabel der serverseitige Cache geleert werden kann. Angeblich sollen dabei auch nicht korrekt geschlossene Beiträge etc. geschlossen werden. Funzt aber nicht immer.

Joomla 3.9.1 ist drauf.

Betr. CacheCleaner

Bei Regular Labs steht:

With Cache Cleaner you can clean your cache fast and easily via a link in your Joomla! Administrator.

Not only that, it also gives you the possibility to purge expired cache, do a global check-in, empty the temp folder, empty user-defined folders and database tables … all with just 1 click!

Cache Cleaner can clean your cache automatically when you save an article or other item. And it can clean your cache at preset intervals too.

In der gegenüberstellung der bezahlten Version gegenüber der freien Version fand ich keinen Hinweis auf die Funktion des automatischen Löschen des Chache bei Speichern eines Beitrags. Ich habe die kostenlose Version. Das Plugin lässt sich nicht konfigurieren.

Ich gehe daher davon aus, dass bei nix automatisch "gecleant" wird.

Alle von mir genannten Erweiterungen sind auf allen meinen Sites installiert und arbeiteten bisher immer einwandfrei, ausgenommen BruteForceStop und Marco's Intercept, die beide Probleme mit PHP7 haben. Der Austausch einer Zeile hat diese Probleme behoben. Und bei Marco's Intercept darf man nicht die IP-Sperre aktivieren, weil dann unabhängig von der Joomla-Einstellung betr. Fehlermeldungen eine fette Fehlermeldung unterhalb des Seitenkopf erscheint, sobald das Tool eine Injection erkannt und eine IP gesperrt hat.

Die genannten Fehler werden von den Autoren der Erweiterungen offensichtlich nicht behoben. Alternativen zu diesen Erweiterungen gibt es nicht.

Das unerwünschte Ausloggen hat sicher nicht mit den Erweiterungen zu tun.

Auch habe ich die Datenbank per Joomla-Befehl überprüft. Alles OK.

Ich bin mir zeitlich nicht ganz sicher, ab ich glaube, es hat auf allen drei Sites gleichzeitig zu Anfang 2018 begonnen und ich beobachtete es erstmalig nach einem Joomla-Update.

Frage: Ist es denkbar, dass der ISP eine merkwürdige Einstellung in seinen Managed Hosting Paketen vorgenommen hat, wodurch dieses unerwünschte Ausloggen zustande kommt?

Es liegen alle drei Joomla-Sites in voneinander durch Quotas getrennten Verzeichnissen auf einem Managed Hosting Server. Jede Joomla-Installation hat daher ihre eigene htaccess, wobie diese alle inhaltlich identsch sind.

Das Backend wird zusätzlich abgesichert durch eine htaccess, die jeden Zugriff aufs Backend verhindert. Nur wenn ich mich ins Backend einloggen will und arbeiten will, benenne ich die htaccess einfach um, sodass nur das normale LogIn als Schutz am Backend wirksam ist.

Was bezeichnest du als "bestimmte Servereinstellungen"? Was bezeichnest du als "Auffälliges"? Und was hat der Hoster damit zu tun?

Sorry, aber derart vage Andeutungen empfinde ich nicht als hilfreich.