Frontend-Anmeldung generell deaktivieren!

  • Hallo Gemeinde,


    Da es in meinem Shop nur den Gastcheckout gibt, benötige ich keine Registrierung und auch keine Anmeldung im Frontend. (Vielleicht ändert sich das ja später mal:)). Dazu habe ich die Benutzerregistrierung, sowie das Login-Modul deaktiviert. Soweit so gut.


    Nun ist es aber immernoch möglich, das Anmeldeformular über: "example.com/index.php?option=com_users&view=login" aufzurufen. Aus meinen Srverlogs sehe ich, dass diesen Link einige Bots auch nutzen. Es ist zwar über ECC+ abgesichert, aber ich möchte, dass dieser Aufruf überhaupt nicht mehr möglich ist.


    Welche Möglichkeiten gibt es da eventuell über die .htaccess oder über ein Template-Override?


    Danke der Faro

  • Ich weiß was:
    in der htacess einfügen:


    RewriteCond %{QUERY_STRING} ^option=com_users&view=login$ [NC]

    RewriteRule ^index\.php$ - [F,L]


    Dann kommt:
    ZUGRIFF NICHT ERLAUBT

    Die angeforderte Seite darf nicht angezeigt werden.

    Wenn man unanständig sein wollte könnte man auch auf eine Juxseite oder eine Schleife umleiten.
    Tut man aber nicht. ;)
    Grüßle
    HaeF

  • Hallo HaeF,


    danke für deine Antwort. Ich werde es gleich mal ausprobieren. Eine Frage habe ich noch.

    Diese Regelung behindert aber nicht den normalen Bestellablauf in VirtueMart?


    Beste Grüße der Faro

  • Guten Abend,


    eigentlich dachte ich, dass ich in dieser Sache erfahren bin, doch leider kämpfe ich gerade mit peinlichen alten Problemen. Ich habe:


    1. Die Benutzerregistrierung deaktiviert

    2. Den Admin mit mit einem htaccess-Passwort geschützt

    3. Das Anmeldemodul für das Frontend deaktiviert

    4. per htaccess das Aufrufen des Direktlinks unterbunden


    Wenn ich nun testweise meine Seite in den Wartungsmode setze, wird mir wieder ein Login-Form angezeigt:



    Wo kommt das nun wieder her, und wie bekomme ich das weg?


    Danke der Faro

  • Hast Du in
    System - Konfiguration - Site
    Frontendbearbeitung "keine" eingegeben ?
    Das bezieht sich eindeutig auf die Frontendbearbeitung durch Berechtigte.
    Logge ich mich ein, komme ich auf das Frontend mit Button "Seite bearbeiten".
    Die Erlaubnis dazu muss ja irgendwo gegeben werden, in Joomla oder dem Template.
    Ich wühle bei Gelegenheit noch ein wenig.
    ?(

  • Hallo HaeF,

    Hast Du in
    System - Konfiguration - Site
    Frontendbearbeitung "keine" eingegeben ?

    Diesen Button hatte ich auch schon in Betracht gezogen. Leider ändert es nichts, das Login-Form bleibt sichtbar. Ich komme mir gerade vor wie in Anfangszeiten von Joomla. :D


    Nun habe ich meine Seite bisher nie in den Wartungsmodus gesetzt. Ich wollte es auf meiner Spiegelung einfach mal testen.


    Wobei es für mich auch keinen Sinn macht, dass sich User im Frontend anmelden, während sich die Seite im Wartungsmodus befindet. Wartungsmodus kann ja auch bedeuten, dass Komomenten deinstalliert oder neu installiert werden müssen. Da macht es meiner Meinung nach keinen Sinn, dass sich währenddessen User im Frontend anmelden.


    Beste Grüße

    Faro

  • Ich nochmal in die Runde,


    es ist ja kein generelles VirtueMart Problem. Daher habe ich mal etwas im Joomla-Forum rumgeschnüffelt. 8)

    Verantwortlich soll für das Login-Form für den Wartungsmodus die "offline.php" sein. Diese wird wohl geladen aus dem template/system Ordner, sollte das Template keine eigene mitbringen. Genutzt wird jedoch immer das Layout des aktivierten Templates.


    Möchte man nun die Felder für UN und PW entfernen, so geht das nur über ein Template-Override. Da ich jedoch nicht plane, meine Seite in den Wartungsmodus zu setzen, kann ich das Thema vernachlässigen, da diese php Datei mit dem Login-Form nicht direkt aufgerufen werden kann. (denke ich) ?(.


    Sollte es doch mal nötig sein, die gesamte Seite zu deaktivieren, bediene ich mich mit der guten alten "index.html" und einem Baustellenschild.:D


    Beste Grüße und ein schönes Wochenende

    der Faro

  • faro

    Hat das Label Gelöst: hinzugefügt
  • Ich hab da fürs letzte Release einiges getan bzgl der Registrierung, aber ja diese Idee hat auch was. Allerdings müßte das eigentlich in Joomla selbst gelöst sein und zwar in den Controllern des Frontends, welche das einloggen ermöglichen. Oder im Plugin. Was passiert wenn du dich im offline modus anmelden willst?


    Greift dann die htaccess?

  • Hallo Milbo,


    ich kann mich im Offline-Modus im Frontend ohne Probleme anmelden. Die htaccess greift in diesem Fall nicht, da hierbei die "example.com/index.php?option=com_users&view=login" nicht genutzt wird.


    Hier greift wie es aussieht lediglich die offline.php

  • Ich habe
    die offline.php

    von htdocs/meins/templates/system/
    nach htdocs/meins/templates/mein-template/
    kopiert und dann die Zeilen 58-76 ( <form... bis </form> )
    gelöscht.

    Müsste man das meiner Meinung nach nicht als Template-Override machen? Da die Datei nach einem Template-Update wieder überschrieben wird?

  • Zur Erklärung:
    Es gibt in Joomla eine Berechtigung "Offlinezugang". Wenn die Benutzergruppe diese Berechtigung hat, kann sie sich einloggen. Manchmal will man im Offlinemodus ja trotzdem etwas testen, dann kann man sich z.B. als Super User trotzdem einloggen.


    Wir verwenden das auch, wenn eine Website noch nicht fertig und noch nicht veröffentlich ist, damit sich Kunden trotzdem einloggen können. Dann kann ich der Gruppe "registriert" auch "offlinezugang" geben.


    Also wenn Dein User die Berechtigung "Offlinezugang" hat, kann er sich einloggen.

    Die Login-Felder sind natürlich trotzdem da, aber das wäre mir jetzt egal.


  • Ja schon klar. Aber im Fall von Faro war die Idee, daß es unmöglich ist, sich über das FE einzuloggen und das BE mit htaccess extra zu schützen. Die Frage ist halt, ob man das Loginmodule von offline auch nutzen kann, wenn der shop online ist. oder anders gesagt. man kann jede xbeliebige Seite an einen server schicken, bzw halt die POST Daten eines Formulars. Und wenn der Kontroller offen bleibt, is halt Mist. Es wäre schön, wenn es in Joomla eine Option gäbe wie "FE Login verbieten".

    Die Idee ist dem Angreifer die Lust einfach komplett zu vermiesen, anstatt das man ständig im Log login versuche sieht. Wenn man dann noch statt adminstrator irgendein komisches Verzeichnis angeben muß ist imho so ein Shop extrem sicher. Das ist imho praktisch unmöglich zu hacken. Da muß man schon Power wie Google oder ein Geheimdienst haben, normale Hacker haben in so einem System ein extrem verringerte Chance. Klar kann eine Komponente selber wieder was öffnen, aber selbst wenn einer durch sql injection ein admin pw bekommt, so kann er damit nichts anfangen.

  • Die Frage ist halt, ob man das Loginmodule von offline auch nutzen kann, wenn der shop online ist. oder anders gesagt. man kann jede xbeliebige Seite an einen server schicken, bzw halt die POST Daten eines Formulars. Und wenn der Kontroller offen bleibt, is halt Mist. Es wäre schön, wenn es in Joomla eine Option gäbe wie "FE Login verbieten".

    Die Idee ist dem Angreifer die Lust einfach komplett zu vermiesen, anstatt das man ständig im Log login versuche sieht. Wenn man dann noch statt adminstrator irgendein komisches Verzeichnis angeben muß ist imho so ein Shop extrem sicher.

    Genau das war meine Frage, und auch mein Problem. Bisher ist mir jedoch nichts darüber bekannt. Die angezeigte URL in diesem Fall ist lediglich die: "example.de"