Beiträge von JohannesK

    Warum das ganze?
    Nun, ich schütze den Admin-Zugang mit dem tollen Plugin von Viktor Vogel mit einem Token.


    Mein Gedanke ist hier, den "Frontend Login" genauso nur über einen geheimen Link erreichbar zu machen.


    Einmal, um nur Person X den Login anzuzeigen und um eventuelle Login-Angriffe abzuwehren, die wohl auch über den Standardaufruf erfolgen könnten, wie ich auf Joomla-Security.de gelesen habe.

    Nutzt du denn den Frontend Login? Sonst könntest ihn ja auch deaktivieren. Nur darauf wollte ich hinaus.

    Vielleicht kurz noch als Ergänzung: Das weiße ist kein Element sondern der Hintergrund deiner Seite, den du dort siehst. Deshalb glaubst du wahrscheinlich auch du kannst ihn nicht selektieren im Inspektor. Und du siehst den Hintergrund, weil dort ein Abstand vom Menü eingestellt ist. Die Lösung von Elwood wird greifen :)


    //EDIT:
    Und btw. noch besser als Elwoods Lösung fällt mir gerade auf einfach die Zeil 1130 "margin-bottom: 10px;" löschen, denn in Zeile 6 deiner user.css steht bereits "margin-bottom: 0px". Du überschreibst es nur durch den konkurrierenden Befehl darunter.

    Man kann das natürlich auch umständlich machen. Zudem Windows lokal mit dem Schadcode im Backup Probleme machen kann.

    Für einen Profi, wie dich erscheint dieser Weg so. Ich glaube aber für einen Laien ist der andere Weg der bessere bzw. auch einfach sicherere! Außerdem ist es mit der reinen Migration von 2.5. auf 3.9 ja noch lange nicht getan. Der Schadhafte PHP Code muss ja auch noch gefunden werden und komplett gelöscht werden. Außerdem meist braucht man auch noch ein neues Template oder muss das alte Anpassen, da die meisten 2.5 Versionen noch aus der Zeit vor der responsiv Welle stammen.

    Ich würde parallel (in einer Subdomain zB) eine leere (!) 2.5.8 in dieselbe DB wie die alte installieren, diese mit der alten DB verknüpfen (Präfix in der configuration.php), und dann sofort auf 2.5.28 aktualisieren. Dann auf 3.2.1 springen gefolgt von 3.4.8, 3.6.5, und letztendlich 3.9.3. Fertig. Überflüssige Tabellen von Erweiterungen händisch löschen.


    Es ist sehr, sehr selten, dass sich Schadcode in einer DB versteckt, eine Prüfung auf merkwürdigen Code in den Inhalten schadet aber nicht.


    Edit: auch alle Bilder lassen sich mitnehmen, ins Verzeichnis /images gehören keine .php Dateien. Ggf löschen, und in die neue Installation kopieren.

    Das würde ich in dem Fall nicht mehr machen. Gerade wenn man sich nicht auskennt und wie der TE schon schreibt mehrfach backups installiert hat ohne die Lücken zu schließen. Außerdem schreibt er ja schon er will aus der alten nur die Beiträge übernehmen und den Rest neu machen.

    Da würde ich, wie von Eumel/Marco vorgeschlagen die alte Seite lokal installieren und mit J2XML die Beiträge in die neue installation kopieren.

    Moin Markus,


    irgendwie habe ich den Anwendungsfall noch nicht ganz verstanden. Aber könnte man das nicht mit dem Feldtyp repeatable machen? Hatte ich letztens hier gesehen:


    Oder ist das auch nicht das was du suchst? Dann müsstest du sie nicht wieder trennen.

    Vielleicht erstmal mit einem Link zur Seite, wie es in den Forenregeln steht damit wir uns einen Überblick über die Seite machen können und um welches Thema es geht. Weil durch die Glaskugel wird es schwer.


    Eigentlich sind solche Massenblacklinks aber mittlerweile schlecht, weil Suchmaschinen das erkennen und sogar abstrafen.

    Du machst einen ganz kleinen aber völlig fatalen Fehler. In Programmiersprachen wird die Gleicheit nicht mit einem einzelnen Gleichzeichen geprüft sondern mit einem doppelten. (In vielen nicht allen)


    Was da steht macht setzt in jeder if Anweisung die Variable auf den Wert und daher erhälst du unten den der letzten if Anweisung. Die werden auch immer ausgeführt, da die Variablenzuweisung geht und true ist. Du müsstest aber if($SelStatusHS == "irgendwas){ machen um auf Gleichheit zu prüfen! Zwei Gleichzeichen! :)

    Btw. Variablen bennent man gemäß Konvention vorne klein!

    Moin, moin,


    wer verwaltet denn die Joomla.org Seite. Ich weiß, dass man auf Google nur bedingt Einfluss hat aber das ist wirklich ärgerlich:

    Wenn man bei Google einfach nach Joomla Download sucht erhält man folgendes Ergebnis:



    Jeder der oben auf den Link klickt kommt auf die richtige Seite. Aber jeder der auf eines der "Subergebnisse" (oder wie sie heißen) kommt auf 3.8.10 oder 3.812 runterladen oder wie auch immer. Dabei ist auf den Seiten kein Verweis, dass eine neuere Version vorhanden ist. Das würde ich für laien als ungünstig bezeichnen. Vielleicht kann man das ja irgendwie anpassen.

    Also ich möchte keine Werbung für Hoster machen aber mein Hoster bietet 3 Monate kostenloses Webhosting an und erst im Anschluss eine Gebühr von 5€/Monat ohne Mindesverlaufzeit (bei Laufzeitverträgen günstiger). Das sollte man schon aus Gründen der fairness bereit sein zu bezahlen. Du kannst natürlich auch ganz kostenlose Sachen nehmen aber da ist dann auch die Performance bei weitem nicht so wie bei dem späteren Hoster und daher Jommla auch nicht unbedingt richtig zu testen...

    Wo aber die Doku auch falsch informiert, ist:


    Darüber hinaus gibt die API auch zurück, wie oft das angegebene Kennwort in der Datenbank vorhanden ist. Dies kann auch verwendet werden, um die Sicherheit (oder deren Fehlen) eines bestimmten Passworts festzulegen. Wenn es viele Male in der Datenbank vorhanden ist, handelt es sich eindeutig um ein häufig verwendetes Kennwort, das angreifbar ist, selbst wenn es die herkömmlichen Komplexitätstests erfolgreich bestanden hat.

    Diese Information "wie oft" wurde mir nicht verraten.


    Ich denke, dass das ein Übersetzungsfehler ist. Im Frontend darf ja nicht stehen das PW ist schon 10 mal in der DB vorhanden. Das wäre ja eine krasse Sicherheitslücke. Ich denke eher, dass der Fall geprüft wird und ggf. das PW als unsicher eingestuft wird.

    Ich ziehe mich aber auch mal hier zurück :) Nutze das Plugin nicht. Fand die Informationen bezüglich der PW Sicherheit aber sehr interessant und hatte daher meinen Senf (oder Schrott) dazu gegeben und habe keine Ahnung vom Plugin...

    Ich kenne mich ja selbst und meine Ungeduld: Wenn ich irgendein Online-Formular ausfülle, schon fast fertig bin und dann aus irgendeinem Grund das Formular plötzlich wieder komplett leer ist, dann macht mich das so sauer ("...mal wieder kostbare Lebenszeit vergeudet...":cursing:), dass ich in solchen Fällen des öfteren schon ganz auf die weitere Nutzung der entsprechenden Webseite verzichtet und mich nicht registriert habe. Da kann ich mir gut vorstellen, dass es anderen ganz ähnlich geht.

    Teste es einfach einige male. Es steht doch dort reagiert im allgemeinen recht schnell. Ausnahmen bestätigen die Regel :)