eigene Error-Page

**ronja-needs-help** · 02.01.2011 16:04

Hallo Ihr Lieben,

ich bin zur Zeit dabei, die Sicherheit meiner - derzeit noch offline- Website zu erhöhen, so dass ich bald den Schritt wagen kann, diese online zu stellen. Hierzu hangel mich zur Zeit gerade durchs Netz, um mich so schlau wie möglich zu lesen.

Hierzu habe ich auf folgender Seite (http://www.joomla-security.de/themen...lerseiten.html) gelesen, dass es auch wichtig sei, die error.php optisch zu verändern, so dass man anhand des Designs nicht erkennen kann, dass es sich um die Joomla-error.php handelt. Nun habe ich noch Fragen hierzu, in der Hoffnung, dass mir jemand weiterhelfen kann:

1. Auf der o.g. Seite wird davon gesprochen, dass man beim Fehlercode "403" besser eine 404-Seite ausliefern sollte. Ich hab recht lange hier im Forum gesucht, aber nicht finden können. Weiß jemand, wie man das macht?

2. In der Joomla-Dokumentation (http://docs.joomla.org/Custom_error_pages) steht eine Anleitung, wie man die Fehlermeldung im eigenen Template-Design ausgeben kann. Das habe ich, wie unter obigen Link stehend, umgesetzt. Seltsamerweise wird die Fehlermeldung jetzt einmal in meinem Design ausgegeben und direkt darunter noch mal im Joomla-Standard-Design (mit eigenem HTML-Head u. Body). Woran kann das liegen?

Würd mich freuen, wenn jemand hilfreiche Tipps hätte! Schon mal vielen Dank im Voraus!

**JoomlaWunder** · 02.01.2011 16:14

Hallo,

am einfachsten wäre, du tauscht die systemeigene error-Seite gegen deine eigene Seite aus, ebenso die offline-Seite:

/templates/system/error.php
/templates/system/offline.php

Das enthaltene Bild ist unter /images gespeichert.

p.s. Die Fehlerseiten müssen ja nicht zwangsläufig dem sonst genutzten Template entsprechen, hauptsache man erkennt nicht sofort, dass es sich um Joomla handelt!

Gruß!
JoomlaWunder

**ronja-needs-help** · 02.01.2011 17:16

Hallo JoomlaWunder,

vielen Dank für Deine Antwort!

Ist die offline.php die Seite, die angezeigt wird, wenn man im Wartungsmodus ist?

Ich habe an anderer Stelle gelesen, dass man die Dateien im System-Verzeichnis nicht austauschen soll, sondern im eigenen Template-Ordner per Override überschreiben soll!

Welches Bild meinst Du? Das "joomla_logo_black.jpg"? Wieso erwähnst Du das Bild? Was soll ich damit machen?

Mittlerweile bin ich sowieso total verwirrt! In einem Thread leist man, man soll keine Fehlerseiten verwenden, sondern einen Redirect auf die homepage setzen, in einem anderen Thread liest man, dass man auf jeden Fall eine Fehlerseite anzeigen lassen soll! Was ist denn nun richtig bzw. macht mehr Sinn?

Hast Du denn eine Lösung zu den zwei Problemen, die ich oben gepostet habe?

**keraM** · 02.01.2011 17:29

Du solltest Dir erstmal die Frage stellen, warum Du alle Hinweise auf Joomla tilgen willst? Aus Sicherheitsgründen ist das nämlich nicht notwendig.

Wenn es um die Optik geht, da gebe ich Dir Recht. Die 404-Error-Page von Joomla ist nicht wirklich schön und auch nicht zweckmäßig. Besser geht es bspw. so http://www.time4joomla.de/tipps-a-tr...lerseiten.html oder so http://www.nik-o-mat.de/joomlafan/jo...oomla-1.5.html

Weitere Hinweise liefert Google auf Anfrage joomla+eigene+fehlerseiten.

**ronja-needs-help** · 02.01.2011 18:18

Zitat von keraM

Du solltest Dir erstmal die Frage stellen, warum Du alle Hinweise auf Joomla tilgen willst? Aus Sicherheitsgründen ist das nämlich nicht notwendig.

Wie kommt es dann, dass auf einer Joomla-Security-Website dazu geraten wird?

Zitat von keraM

Wenn es um die Optik geht, da gebe ich Dir Recht. Die 404-Error-Page von Joomla ist nicht wirklich schön und auch nicht zweckmäßig. Besser geht es bspw. so http://www.time4joomla.de/tipps-a-tr...lerseiten.html oder so http://www.nik-o-mat.de/joomlafan/jo...oomla-1.5.html

Ich bin Dir wirklich (!) dankbar, dass Du versuchst, mir zu helfen. Nur nützen mir diese Links insofern nichts, weil es komplett andere Lösungsansätze sind (BTW: Ich kannte die Links schon!) . Bei meinem o.g. Link aus der Joomla-Dokumentation (http://docs.joomla.org/Custom_error_pages) wird ein Override für die error.php erstellt, der jedoch nicht ganz so funktioniert, wie er soll! Hättest Du hierfür einen Tipp, wo die Ursache für mein o.g. Problem liegen könnte?

Zitat von keraM

Weitere Hinweise liefert Google auf Anfrage joomla+eigene+fehlerseiten.

Wie habe ich das bitte zu verstehen?

**blackice2999** · 02.01.2011 18:51

Zitat von ronja-needs-help

Wie kommt es dann, dass auf einer Joomla-Security-Website dazu geraten wird?

Solche Sicherheitstipps sind einfach nutzlos. Das CMS zu verschleiern bringt rein gar nichts, denn

1.) kann jeder mit einem geübten Auge sofort erkennen ob es sich um ein Joomla handelt oder nicht.

2.) Die Hackangriffe die zu 90% (wenn nicht sogar noch mehr) ausgeführt werden, machen heutzutage automatische Scripts um entsprechende SPAM Möglichkeiten zu verteilen. Die Scripte schauen nicht ob es ein Joomla ist oder nicht, sondern sie fahren einfach ihre Attacken wenn es geklappt hat ist schön. Wenn nicht dann gehts weiter...

Sicherheit kannst Du dir nur dadurch erschaffen, das Du regelmäßig deinen eigenen Rechner auf Viren & Trojaner schützt. Dein Joomla (und auch ALLE Erweiterungen) immer auf den neusten Stand hälst. Und das allerwichtigste!!! Regelmäßige Backups von Code und Datenbank!

Gruß Dennis

**JoomlaWunder** · 02.01.2011 18:52

Zitat von ronja-needs-help

Ist die offline.php die Seite, die angezeigt wird, wenn man im Wartungsmodus ist?

Ich habe an anderer Stelle gelesen, dass man die Dateien im System-Verzeichnis nicht austauschen soll, sondern im eigenen Template-Ordner per Override überschreiben soll!

Welches Bild meinst Du? Das "joomla_logo_black.jpg"? Wieso erwähnst Du das Bild? Was soll ich damit machen?

- Ja, die offline-Seite ist die Seite, die im Wartungsmodus angezeigt wird.
- Das Bild hatte ich nur erwähnt, damit du weist, wo du es findest, falls du es auch ändern möchtest.
- Der Hintergrund bzgl. Security ist lediglich der, dass ein Hacker leichteres Spiel hat, wenn er weis, dass er es mit Joomla zu tun hat. Würde aber für einen "echten" Hacker keine Hürde darstellen.
- Ein Template-Override ist natürlich auch möglich. Richtig und falsch gibt es hier nicht. Macht halt jeder so, wie er meint.

Der Hauptgrund für eigene error-Seiten kann eigentlich nur das einheitliche Design sein.

Gruß!
JoomlaWunder

**keraM** · 02.01.2011 19:08

Zitat von ronja-needs-help

Wie kommt es dann, dass auf einer Joomla-Security-Website dazu geraten wird?

Weil die Macher dieser Seite der Meinung sind, daß es nötig ist.

Im Ernst: 99% aller Angriffe auf Webseiten (nicht nur Joomlasysteme) werden mit automatisiert ablaufenden Scripten durchgeführt. Diese prüfen nicht, ob Joomla oder eine bestimmte Version einer Komponente installiert sind, sondern sie führen stumpf das Angriffsmuster aus. Wenn es klappt, dann haben die Angreifer ihr Ziel erreicht, ansonsten gehts automatisch weiter zu nächsten Domain.

Angriffe, wo jemand prüft, ob und welche Joomlaversion installiert und welche Erweiterung in welcher Version sind sehr selten. Meistens sind das manuelle Angriffe mit einem entsprechenden (persönlichen?) Hintergrund.

Wenn Du die Basics der Sicherheit einhältst und der Hoster sein Übriges dazu beiträgt, kann Dir eigentlich nichts passieren. Wenn doch etwas passiert, hätten es die Tips dieser Security-Seite auch nicht verhindert.

Hättest Du hierfür einen Tipp, wo die Ursache für mein o.g. Problem liegen könnte?

Nein, so aus dem Hut nicht. ich habe nur Google mit dem Suchmuster joomla+eigene+fehlerseiten gefüttert und die zwei Fundstellen, die mir aus früheren Versuchen bekannt waren, gepostet.

**ronja-needs-help** · 03.01.2011 10:48

Vielen Dank für Eure Infos. Dann werde ich es bei der Standard-Error-Page belassen. Spart Arbeit! Zudem ist mir ein "Corporate Design" bei der error-page nicht wichtig.

Hat denn jemand noch eine Lösung für mein Problem unter Punkt 1? Denn hier habe ich gelesen, dass man bei einem 403-Fehler besser den 404-Fehlercode zurückliefern soll, weil der 403-Fehlercode verrät, dass es das Ziel tatsächlich gibt!

**keraM** · 03.01.2011 16:37

Ich finde es fatal, Fehlermeldungen zu fälschen, nur um einen gefühlten Sicherheitsgewinn zu erzielen.
Wenn es mal ein Problem geben sollte, wo ein 403 korrekt wäre und Admin/Helfer anhand der Meldung das Problem lösen könnten, würden sie durch eine gefakte 404 Meldung in die Irre geschickt. Und Du erinnerst Dich mit Sicherheit in diesem Streßmoment nicht daran, daß Du vor vielen Monden da mal so eine Umleitung eingebaut hast.

Thema: eigene Error-Page

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

eigene Error-Page

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen