Welcome to the CMSimple_XH–Community!
https://cmsimpleforum.com/
In Deinem Verzeichnis /cmsimple/ liegt eine Datei, die da nicht hingehört.Limanier wrote:So, nach einem Hinweis eines Lima-City-Nutzers habe ich mal ...
Würde mich wundern. Ich habe allerdings wenig Vertreuen in die deutsche Wikipedia. Zumindest der Artikel über CMSimple enthält einige sehr fragliche Inhalte, aber eingereichte Korrekturen wurden abgelehnt.Limanier wrote:Und Filezilla – darin habe ich kein Vertrauen. Soll (laut Wikipedia) malwareversäucht sein – […]
Nein, bei CMSimple(_XH) läuft normalerweise alles über die index.php, die direkt cmsimple/cms.php lädt, die wiederum als eine Art Front-Controller fungiert, und je nach Query-String der URL entsprechend das HTML-Dokument generiert.Limanier wrote:Wie meinst du das, dass alles über index.php läuft? Ich hielt das bis jetzt für die Startseite, die Besucher aufrufen und im Verzeichnis /cmsimple befindet sich die Benutzeroberfläche für die Admins.
Ah, danke! Nun konnte ich mir auch die Startseite ansehen, und das sieht so aus, als ob /plugins/index.php statt /index.php hoch geladen wurde. (Und ja, plugins/index.php sollte entweder verschwinden, oder einen 404 auslösen.)meltemi wrote:Deine XHdebug.txt zeigt 6 an. Hättest Du selbst mitteilen können.
Nein, hätte ich nicht, weil ich praktisch keine Ahnung habe, welche Dateien wo sein müssen und was darin zu sein hat. Soll ich diese jetzt einfach löschen?meltemi wrote:Deine XHdebug.txt zeigt 6 an. Hättest Du selbst mitteilen können.
Bedeutet das dann, dass auch die Besucher sehen würden, welches CMS verwendet wird bzw. mit wenigen Klicks in den Admin-Bereich kommen würden, wenn es nicht passwortgeschützt wäre?cmb wrote:Nein, bei CMSimple(_XH) läuft normalerweise alles über die index.php, die direkt cmsimple/cms.php lädt, die wiederum als eine Art Front-Controller fungiert, und je nach Query-String der URL entsprechend das HTML-Dokument generiert.Limanier wrote:Wie meinst du das, dass alles über index.php läuft? Ich hielt das bis jetzt für die Startseite, die Besucher aufrufen und im Verzeichnis /cmsimple befindet sich die Benutzeroberfläche für die Admins.
In index.php und /plugins/index.php steht aber beides dasselbe. Soll ich die bei /plugins jetzt einfach löschen? Drinstehen tut übr. Folgendes:cmb wrote: Ah, danke! Nun konnte ich mir auch die Startseite ansehen, und das sieht so aus, als ob /plugins/index.php statt /index.php hoch geladen wurde. (Und ja, plugins/index.php sollte entweder verschwinden, oder einen 404 auslösen.)
Code: Select all
<?php
die('access denied');
?>
Nein, die Datei kannst du ruhig dort belassen. Sie dient als einfache Möglichkeit, den Debug-Modus zu aktivieren (indem man sie in _XHdebug.txt umbenennt), falls das nötig werden sollte.Limanier wrote:Nein, hätte ich nicht, weil ich praktisch keine Ahnung habe, welche Dateien wo sein müssen und was darin zu sein hat. Soll ich diese jetzt einfach löschen?meltemi wrote:Deine XHdebug.txt zeigt 6 an. Hättest Du selbst mitteilen können.
Wer sich etwas auskennt, kann schon recht leicht erkennen, ob es sich um eine CMSimple_XH-Installation handelt. Und ja, auch ein Besucher kann schnell zum Login-Bildschirm kommen. Das ist aber bei anderen CMSen auch nicht anders.Limanier wrote:Bedeutet das dann, dass auch die Besucher sehen würden, welches CMS verwendet wird bzw. mit wenigen Klicks in den Admin-Bereich kommen würden, wenn es nicht passwortgeschützt wäre?
Und genau das ist das Problem, denn /index.php sollte so aussehen. /plugins/index.php würde ich lassen, da anscheinend bei Lima-City die Verzeichnisauflistung aktiviert ist. Ohne /plugins/index.php könnte man https://cmb69.lima-city.de/plugins/ aufrufen, und würde dann statt "access denied" eben alle installierten Plugins sehen.Limanier wrote:In index.php und /plugins/index.php steht aber beides dasselbe. Soll ich die bei /plugins jetzt einfach löschen?
Aber eigentlich sollte doch die Weboberfläche für den Besucher selbst vom Admin-Bereich „abgeschirmt“ sein, sodass ihm nur das Ergebnis präsentiert wird. Das irgendwelche Insider geheime Methoden kennen, das CMS zu ermitteln, mag ja noch normal sein, aber direkt auf der Seite ein Link, sodass das jedem Besucher gleich vor die Nase gesetzt wird, finde ich, naja, etwas unprofessionell. Ich kenne eigentlich auch keine Seite, bei der es so praktiziert wird.cmb wrote:Wer sich etwas auskennt, kann schon recht leicht erkennen, ob es sich um eine CMSimple_XH-Installation handelt. Und ja, auch ein Besucher kann schnell zum Login-Bildschirm kommen. Das ist aber bei anderen CMSen auch nicht anders.Limanier wrote:Bedeutet das dann, dass auch die Besucher sehen würden, welches CMS verwendet wird bzw. mit wenigen Klicks in den Admin-Bereich kommen würden, wenn es nicht passwortgeschützt wäre?
Ja, wurde mir gerade schon gesagt, dass da was nicht richtig ist. Aber wie kann das sein? Ich meine, ich habe doch nur die Original-Dateien von der CMSimple_XH-Website gedownloadet.cmb wrote:Und genau das ist das Problem, denn /index.php sollte so aussehen. /plugins/index.php würde ich lassen, da anscheinend bei Lima-City die Verzeichnisauflistung aktiviert ist. Ohne /plugins/index.php könnte man https://cmb69.lima-city.de/plugins/ aufrufen, und würde dann statt "access denied" eben alle installierten Plugins sehen.Limanier wrote:In index.php und /plugins/index.php steht aber beides dasselbe. Soll ich die bei /plugins jetzt einfach löschen?
Der Link kann ja im Template leicht entfernt werden (suche loginlink()), wenn man nicht ohnehin ein Template verwendet, das diesen Link nicht enthält. Und ansonsten ist es doch egal, ob man http://example.com/admin/ oder http://example.com/?login aufruft.Limanier wrote:Aber eigentlich sollte doch die Weboberfläche für den Besucher selbst vom Admin-Bereich „abgeschirmt“ sein, sodass ihm nur das Ergebnis präsentiert wird. Das irgendwelche Insider geheime Methoden kennen, das CMS zu ermitteln, mag ja noch normal sein, aber direkt auf der Seite ein Link, sodass das jedem Besucher gleich vor die Nase gesetzt wird, finde ich, naja, etwas unprofessionell. Ich kenne eigentlich auch keine Seite, bei der es so praktiziert wird.
Wenn du selbst keine Dateien ausgetauscht hast, dann ist vielleicht beim FTP-Transfer (oder beim Entpacken?) etwas schief gelaufen.Limanier wrote:Ja, wurde mir gerade schon gesagt, dass da was nicht richtig ist. Aber wie kann das sein? Ich meine, ich habe doch nur die Original-Dateien von der CMSimple_XH-Website gedownloadet.
Geht man über /2lang auf die Seite läuft es.cmb wrote:Und genau das ist das Problem, denn /index.php sollte so aussehen. /plugins/index.php würde ich lassen, da anscheinend bei Lima-City die Verzeichnisauflistung aktiviert ist. Ohne /plugins/index.php könnte man https://cmb69.lima-city.de/plugins/ aufrufen, und würde dann statt "access denied" eben alle installierten Plugins sehen.Limanier wrote:In index.php und /plugins/index.php steht aber beides dasselbe. Soll ich die bei /plugins jetzt einfach löschen?
Oh, das kannte ich noch gar nicht.Limanier wrote:Okay, habe jetzt CMSimple_XH komplett neu herunter- und hochgeladen, diesmal per Windows-Explorer.
Für mehrere Autoren ist CMSimple_XH eher ungeeignet, auch wenn es ein paar Workarounds wie Keymaster_XH und Extedit_XH gibt.Limanier wrote:Ob das System jetzt auch für die speziellen Anforderungen unter Verwendung mehrerer Autoren geeignet ist, wird sich zeigen.