Beiträge von JoomlaWunder

Zitat von DerMueller

Oder wie sehe ich, ob ich von http auf https weiterleite?

Rufe die Webseite mit http auf! Der Browser zeigt dann eine unsichere Seite an, es sei denn, es findet eine Weiterleitung zu https statt.
Das siehst du oben an den Symbolen in der Browserzeile.
Man kann solch eine Weiterleitung statt in der configuration.php auch über in der .hatccess machen. Man muss sich halt entscheiden, beides gleichzeitig geht nicht.

Woran es liegt, da kann ich leider nur raten. Kann ja auch nicht selber testen, da ich die Domain nicht kenne. Muss mich jetzt bis morgen verabschieden.

Zitat von DerMueller

ich habe den folgenden Eintrag gefunden:

$force_ssl = 2;

Sollte ich eine Änderung ausprobieren?

Ja, setze mal auf 0!

Beachte noch #6!

Ansonsten: Kannst du die robots.txt aufrufen?
kickstart.php ist etwas unglücklich zum Testen, weil sich da einiges geändert hat. Müsste ich jetzt weiter ausholen. Z.B. darf die 9er-Version gar nicht mehr kickstart.php heissen, sondern muss umbenannt werden.

Nebenbei: Hast du Joomla ev. in ein Unterverzeichnis eines anderen Projekts installiert? Dann könnten sich oberhalb weitere .htaccess-Dateien befinden, die sich auf dein Joomla auswirken.

Schau dir auch mal die configuration.php an! Hast du eventuell $force_ssl aktiviert?
Möglicherweise wird bereits von http zu https weitergeleitet, so dass das in der configuration.php deaktiviert sein muss.
Es gibt ja meist mehrere Wege, das zu verwirklichen.

Du hast bei Frontend und Backend einen MIME-Type-Conflict. Da musst du wohl den untersten Block in der .htaccess, wo es um die Komprimierung der css- und js-Dateien geht, als Kommentar setzen! Dann werden diese wieder geladen.

Zitat von DerMueller

Kann ich denn im filezilla Cokies löschen?

Gemeint ist der Browser. Oder nutze mal ein anderes Gerät!

Typischerweise kommen solche Meldungen durch Schleifen, die über die .htaccess entstehen. Diese daraufhin mal untersuchen, eventuell einfach nur mal deaktivieren durch Umbenennen. Dann sollte sich schon mal was ändern. Wenn das so sein sollte, dann halt die .htaccess korrigieren.
Auch Startseiten-Einstellungen könnten dazu führen. Dann solltest du aber zumindest das Backend aufrufen können.

Mal anders angefangen:
Wenn ich von untypischen Problemen lese und dann feststelle, dass Admin Tools installiert ist, dann gibt es für mich nur 1 ersten Schritt. Deinstalliere Admin Tools (deaktivieren reicht nicht!) und entferne auch die Einträge, die Admin Tools möglicherweise in der .htaccess vorgenommen hat.
Bei Erweiterungen wie Admin Tools und JCH Optimize muss man sehr genau wissen, wie diese arbeiten und dann ganz gezielt einsetzen. Ich behaupte mal, dass der überwiegende Teil der User damit echt Probleme hat. Dann ergeben sich schnell Probleme, deren Ursache man nicht immer sofort erkennt.

Zitat von O.D. Bavaria

Aber wenn es darum geht, das Modul auf Sicherheit zu prüfen stehen wir auf dem Schlauch! Wie können wir feststellen, dass wir uns mit unserem Modul Marke Eigenbau keine Schwachstelle einbauen, die ausgenutzt werden kann, um in das System einzudringen?

Wenn die KI das Modul erstellt hat, dann sollte diese im Idealfall dann auch die Sicherheit beachtet haben. Oder man muss halt selbst die nötigen Kenntnisse haben. Auf der anderen Seite ist natürlich nichts 100% sicher.

Nebenbei:
Deine Webseite lässt sich mit-www und ohne-www aufrufen und auch mit http und https, also 4 Varianten. Da solltest du mal 301-Weiterleitungen nutzen.
Wenn du dich dann z.B. für die mit-www-Variante als bevorzugte Domain entscheidest, dann musst du dein Backend auch mit www aufrufen. Dann erscheint die zusätzliche Passwortabfrage 1x. Rufst du das Backend ohne www auf, dann kommt diese Abfrage 2x, also 1x für die ohne-www-Version und nach der Weiterleitung zu www dann noch 1x für die www-Version.
Das hat aber mit deinem momentanen Problem noch nichts zu tun.

Habe meinen letzten Beitrag ergänzt. Bei einigen meiner Kunden wird ein anderer Pfad verwendet, Möglicherweise ist deiner veraltet.
Vergleiche einfach mal mit den Pfaden in deiner configuration.php!

Ist bei dir zwischen AuthUserFile und dem Pfad auch wirklich ein Leerzeichen?
Was auch oft passiert ist, dass man beim Kopieren des generierten Passwortes zu viel kopiert und hintendran noch Leerzeichen stehen hat.

Bzgl. Pfad: Habe gerade mal nachgeschaut. Versuche mal den Pfad /home/www/heyne-werbung.de/schutz/.htpasswd .

Dann solltest du den Pfad in der .htaccess auch anpassen, also am Ende
.../htdocs/administrator/.htpasswd

Tipp: Grundsätzlich empfiehlt es sich, die .htpasswd außerhalb von Joomla zu hinterlegen, meist oberhalb. Das geht bei dir nicht mehr, weil Joomla bereits ganz oben liegt. Erstelle eventuell ein paralleles Verzeichnis und lege sie dort hinein.

Ansonsten könnte es auch an der Verschlüsselung des Passworts liegen. Da gibt es verschiedene Möglichkeiten. In der Regel sind die einiges länger. Da probiere ich auch immer rum, weil ich es mir einfach nicht merken kann.

Ersteres ist falsch. Die Akeeba-Sicherung beinhaltet bereits das komplette Joomla inkl. DB-Tabellen.
Einfach kickstart.php und Sicherung in ein leeres Verzeichnis legen. Die (Sub)Domain sollte darauf verweisen.
Dann kickstart.php umbenennen und starten,z.B. start.php. Wenn start.php nicht startet (z.B. 500er Fehler), dann beachte den FTP-Übertragungmodus "binär" für das aktuelle kickstart.php. Nur so nebenbei, weil es sich noch nicht so herumgesprochen hat, dass es ab kickstart-Version 9 halt jetzt anders ist.
Dein altes Joomla am besten vorher löschen. Dann kannst du auch das gleiche Verzeichnis nutzen. Ansonsten das alte Verzeichnis umbenennen und mittels .htaccess und .htpasswd aus Sicherheitsgründen vor dem Zugriff schützen. Nicht dass dein eingespieltes Joomla sofort wieder Probleme bekommt.

Auf keinen Fall darfst du die Sicherung in ein vorhandenes Joomla einspielen! Ganz wichtig!

Und bei mehreren Projekten, achte darauf, dass alle parallel zueinander liegen, also z.b.
/joomla1
/joomla2
usw.
Lege ein Joomla nicht in ein Unterverzeichnis eines anderen Projekts. Die .htaccess des oberen Verzeichnisses wirkt sich nämlich auf Unterverzeichnisse aus. Das auch nur so nebenbei.

Und ja, eine Datenbank sollte vor dem Einspielen existieren, da du dessen Zugangsdaten während des Einspielens angeben musst.

Wenn du eine Sicherung vom Januar 2026 hast, dann ist diese sehr wahrscheinlich "sauber". Dann könntest du diese neu einspielen. Anschließend alles aktualisieren. Den administrator-Passwortschutz in jedem Fall sofort nach dem Einspielen einrichten. Dieser hat schon immer äusserst effektiven Schutz gegenüber Hackangriffen geboten.
Der gehackte Webspace sollte vorher geleert werden, ebenso die Datenbank(en). Ich hoffe, da liegen keine weiteren Projekte auf dem Webspace, die dann auch betroffen sein können.

Tipp: Die Sicherung vor dem Löschen des Webspace auf Funktionsfähigkeit testen! Nicht dass auf einmal nichts mehr vorhanden ist und du deine Joomla-Webseite wirklich komplett neu erstellen musst.

Die angegebenen Änderungen, die die .htaccess betrifft, solltest du auf jeden Fall vornehmen. Diese sind schon lange für Joomla vorgesehen.
Wahrscheinlich hast du die genannten Änderungen oder zumindest eine Teil davon bereits vorgenommen. Einige Hinweise sind ja bereits zu Joomla3-Zeiten erschienen.
Die web.config braucht dich nicht zu interessieren, da du bei deinem Hoster einen Apache-Server hast.
Das andere sind alles Hinweise, die kein Handeln erforderlich machen.

Wenn nur was fehlt ohne Fehlermeldung, dann tippe ich darauf, dass etwas nicht auf "veröffentlicht" steht (reine Vermutung). -> siehe #2.

"Willkommen bei Joomla", "Statistikerhebung", "Automatische Updates"..... sind so allgemeine Infos. Kann man aktivieren/deaktivieren, so wie man es halt möchte.
Wenn eine Änderung an der .htaccess vorzunehmen ist, dann sollte man diese durchführen, sofern man überhaupt eine .htaccess verwendet (meist ist dies ja der Fall). Bei Joomla-Updates wird nämlich immer nur die htaccess.txt aktualisiert und nicht die .htaccess, weil diese nicht von Joomla selber angelegt wird, sondern manuell durch den User.
Welche Hinweise hast du sonst noch?

Zitat von Gralios69

Habe die Sachen schon alle Probiert, aber irgendwie drehe ich mich immer im Kreis.

In #2 wurde nach der Fehlermeldung gefragt, welche du uns noch immer nicht mitgeteilt hast, außer dass es sie geben soll.
Wie lautet diese? Wäre gut zu wissen, wenn man helfen soll.

Zitat von wolfmen25

gleiches problem, mit kickstart 9.0.4 gab es 500 - internal server error, mit kickstart 8.04 ging es problemlos.

w

Man bekommt eigentlich immer eine Fehlermeldung, wenn z.B. kickstart.php nicht umbenannt wurde und einen Lösungsweg angezeigt.
Bei Serverfehler 500 ist es dann in der Regel der falsche Übertragungsmodus (FTP) für die kickstart.php. Hat sich ab Version 9 halt geändert. kickstart.php ist jetzt ein phar-Archiv. Mit welchem Modus hast du sie hochgeladen?
Korrigiere das! "Binär" sollte es sein, wenn ich mich richtig erinnere.

Steht übrigens auch hier mittendrin: https://www.akeeba.com/documentation/…on/ch02s04.html