Hallo Stefan,
ich habe bitte noch eine Verständnisfrage.
Was genau sperre ich hier eigentlich in der robots.txt? Dieses Verzeichnis gibt es im Root ja gar nicht:
Sollte es nicht zu diesem Pfad hin noch eine Adresse geben?
Bzw, wo befindet sich diese /comonent/virtuemart/?
Danke der Faro
Hallo Stefan,
nein, in meiner Sitemap habe ich nur die ordentlichen Links zu stehen, welche Dir auch beim normalen Seitenaufruf angezeigt werden.
Übrigens bin ich kein SEO-Experte, ich habe mich immer darum gedrückt, wenn ich konnte, deshalb glaub mir kein Wort, dass Du nicht selbst verifiziert hast.
Das glaube ich Dir gern, dieses Thema ist schon zu Haare raufen.
Naja, ich habe nun erst einmal die "Liebe Sperrvariante" über die robots.txt gewählt.
Ich werde es mal beobachten. Wie die Bot-Anbieter schreiben, wollen sie sich ja an die robots.txt halten!
Danke nochmal und beste Grüße
Faro
Ich habe bitte noch eine Frage Stefan,
ich habe gerade in meinen Server-Logs gesehen, dass auch Google die /component/virtuemart/ nutzt:
Kann ich mich da selber aussperren, wenn ich /component/virtuemart/ per htaccess sperre?
Falls Ja, bleibt mir dann nur noch die Hilfe von Max, die Fehlermeldungen im Log zu verhindern.
Danke der Faro
Danke für die Erklärung Stefan, Da ich da nicht so tief drinstecke wie Du, bin ich nun etwas schlauer geworden. 
Danke und beste Grüße
Faro
Hallo Stefan,
diese beiden genannten Templates gehören nicht zu Joomla. Diese beiden Templates wurden durch VirtueMart mitgeliefert und wie gesagt, bis März 2023 auch über VirtueMart aktualisiert.
Daher dachte ich, diese beiden Templates gehören noch zur VirtueMart-Installation.
Da ich für meine gesamte Seite lediglich das Merchant von VirtuePlanet nutze, werde ich diese beiden mal deinstallieren. Es sei, der Max sagt, "Nein, noch nicht"! 
Hallo HaeFB,
ich hatte vor ein paar Jahren auch dieses Problem. Damals hatte ich bei den Preisangaben "Punkt" mit "Komma" verwechselt, oder anders herum. Genau weiß ich das nicht mehr.
So auf die Schnelle.
Hallo Stefan,
ein Sicherheitsproblem eher nicht, aber die reizen evtl. Deine Server-Resourcen mächtig aus.
Ja, das tun sie, wie ich es ja in meinen Serverlogs sehe.
2. Ich nehme stark an, diese Crawler halten sich nicht an die robots.txt.
Hast Du Einträge in der robots.txt, die das verhindern sollten?
Ich habe erst heute eine Regel in meine robots.txt geschrieben.
Ich werde das mal beobachten, was nun passiert.
3. Im Log steht:
/component/virtuemart/featured.feed? 200 (200 = erfolgreiche Verbindung)Du könntest diese Pfade über die .htaccess blocken, wie schon den api-Pfad.
Ich denke, wenn ich diese Regel in der htaccess setze, könnten doch auch andere benötigten Dienste gesperrt werden?
PS. Vielleicht hat Max noch eine Idee, wie man zumindest die Fehlermeldungen im Log verhindert.
Das wäre Super!
Vielen Dank Stefan für deine schnelle Antwort und beste Grüße
Faro
Hallo in die Runde,
Durch meine Server-Logs sehe ich, dass oft nach alten VM-Templates gesucht wird. Nun denke ich, da ja auch ein Template eine Erweiterung ist, sollte diese aktualisiert werden. Ich habe gelesen, dass auch ein veraltetes Template im Ordner /templates ein Sicherheitsproblem darstellen "kann".
Zur Zeit habe ich bei mir noch das "horme_3" und das "vmbeez3" gefunden, welches jedoch noch bis März 2023 aktualisiert wurden.
Gibt es für diese in Zukunft noch updates, oder kann ich diese beiden deinstallieren?
Guten Morgen,
ich muss leider mein altbekanntes Thema noch einmal anfassen. Die zugriffe werden leider immer größer. Ich habe mittlerweile pro Tag ca. 300.000 Server-Logfile Einträge. Einige wenige habe ich hier mal eingefügt:
Mit immer der gleichen Antwort in der "com_virtuemart.log.php ":
Ich brauche nochmals Prof. Hilfe, wie ich diesem Problem beikommen kann.
Die wichtigste Frage für mich ist jedoch, ist dies ein Sicherheitsproblem?
Danke der Faro
Die Frage ist halt, ob man das Loginmodule von offline auch nutzen kann, wenn der shop online ist. oder anders gesagt. man kann jede xbeliebige Seite an einen server schicken, bzw halt die POST Daten eines Formulars. Und wenn der Kontroller offen bleibt, is halt Mist. Es wäre schön, wenn es in Joomla eine Option gäbe wie "FE Login verbieten".
Die Idee ist dem Angreifer die Lust einfach komplett zu vermiesen, anstatt das man ständig im Log login versuche sieht. Wenn man dann noch statt adminstrator irgendein komisches Verzeichnis angeben muß ist imho so ein Shop extrem sicher.
Genau das war meine Frage, und auch mein Problem. Bisher ist mir jedoch nichts darüber bekannt. Die angezeigte URL in diesem Fall ist lediglich die: "example.de"
Ich habe
die offline.phpvon htdocs/meins/templates/system/
nach htdocs/meins/templates/mein-template/
kopiert und dann die Zeilen 58-76 ( <form... bis </form> )
gelöscht.
Müsste man das meiner Meinung nach nicht als Template-Override machen? Da die Datei nach einem Template-Update wieder überschrieben wird?
Moin,
ich persönlich fände es nicht gut, die Produkt-URL ohne die jeweiligen Kategorien anzeigen zu lassen. Für SEO könnten neue Probleme mit Dublicate Content entstehen. Soetwas dann zu händeln wäre sehr komplex.
Hallo Milbo,
ich kann mich im Offline-Modus im Frontend ohne Probleme anmelden. Die htaccess greift in diesem Fall nicht, da hierbei die "example.com/index.php?option=com_users&view=login" nicht genutzt wird.
Hier greift wie es aussieht lediglich die offline.php
Ich nochmal in die Runde,
es ist ja kein generelles VirtueMart Problem. Daher habe ich mal etwas im Joomla-Forum rumgeschnüffelt. 
Verantwortlich soll für das Login-Form für den Wartungsmodus die "offline.php" sein. Diese wird wohl geladen aus dem template/system Ordner, sollte das Template keine eigene mitbringen. Genutzt wird jedoch immer das Layout des aktivierten Templates.
Möchte man nun die Felder für UN und PW entfernen, so geht das nur über ein Template-Override. Da ich jedoch nicht plane, meine Seite in den Wartungsmodus zu setzen, kann ich das Thema vernachlässigen, da diese php Datei mit dem Login-Form nicht direkt aufgerufen werden kann. (denke ich) 
.
Sollte es doch mal nötig sein, die gesamte Seite zu deaktivieren, bediene ich mich mit der guten alten "index.html" und einem Baustellenschild.
Beste Grüße und ein schönes Wochenende
der Faro
Hallo HaeF,
Hast Du in
System - Konfiguration - Site
Frontendbearbeitung "keine" eingegeben ?
Diesen Button hatte ich auch schon in Betracht gezogen. Leider ändert es nichts, das Login-Form bleibt sichtbar. Ich komme mir gerade vor wie in Anfangszeiten von Joomla.
Nun habe ich meine Seite bisher nie in den Wartungsmodus gesetzt. Ich wollte es auf meiner Spiegelung einfach mal testen.
Wobei es für mich auch keinen Sinn macht, dass sich User im Frontend anmelden, während sich die Seite im Wartungsmodus befindet. Wartungsmodus kann ja auch bedeuten, dass Komomenten deinstalliert oder neu installiert werden müssen. Da macht es meiner Meinung nach keinen Sinn, dass sich währenddessen User im Frontend anmelden.
Beste Grüße
Faro
Guten Abend,
eigentlich dachte ich, dass ich in dieser Sache erfahren bin, doch leider kämpfe ich gerade mit peinlichen alten Problemen. Ich habe:
1. Die Benutzerregistrierung deaktiviert
2. Den Admin mit mit einem htaccess-Passwort geschützt
3. Das Anmeldemodul für das Frontend deaktiviert
4. per htaccess das Aufrufen des Direktlinks unterbunden
Wenn ich nun testweise meine Seite in den Wartungsmode setze, wird mir wieder ein Login-Form angezeigt:
Wo kommt das nun wieder her, und wie bekomme ich das weg?
Danke der Faro
Hallo Gemeinde,
nach gut 7 Tagen Ruhe, wird seit heute Mittag meine "com.virtuemart.log.php" wieder im Sekundentakt gefüllt. Diesmal jedoch habe ich in Echtzeit meine Serverlogs kopiert und einige wenige Einträge hier aufgelistet:
Wie es aussieht geht es hier um die Übeltäter "Barkrowler" und "AhrefsBot".
Mir ist noch nicht genau klar, was hier genau aufgerufen wird. Schaut doch bitte dazu mal in den Spoiler.
Edit:
ich habe gerade gelesen, dass der IP-Block vom "Barkrowler" oder "babbar.eu" bereits unter "reported as spam" registriert wurde. Tatsächlich habe ich sehr, sehr viele Zugriffe vom AhrefsBot und vom Barkrowler. Aber soll ich diese wirklich aussperren? Generell sind sie ja nicht Böse, oder?
Danke und Gruß der Faro
Hallo HaeF,
ich warte mit dem sperren der "api" noch ab. Wie es scheint, hat sich nach dem Update auf J 5.2.0 irgend etwas getan, Die besagten Einträge blieben seit der Aktualisierung auf diese Version, aus.
Ich bin mir auch nicht sicher, ob das Sperren dieses Ordners andere Joomla Funktionen beeinflusst. Wie zum Beispiel den Zugriff auf diesen bei einem Joomla-Update. In den weiten des Netzes ist man sich darüber auch nicht einig.
Danke und beste Grüße
Faro
Hallo Stefan,
vielen Dank für den ausführlichen Content. Da werde ich mich in Ruhe durcharbeiten.
Beste Grüße und einen schönen Sonntag
Faro
Hallo Haef,
ich habe den Code in meine .htaccess eingefügt, und er funktioniert bestens.
Besten Dank und ein schönes Wochenende
Faro
