Tag 9 - Debug-Mode und Errorlog nur für deine Augen
- Niko Winckel
Auf die Sicherheit zu achten ist, nicht nur im Havariefall wichtig. Aber erst im Havariefall auf die Sicherheit zu achten, könnte zu spät sein!
Ganz ehrlich: manchmal klappt auch in Joomla was nicht. Dann sieht man nur eine weiße Seite oder irgendwas anderes ist zerschossen. Hier ist guter Rat nicht teuer, denn Joomla hat ein Debug-Modus um Fehler zur Laufzeit anzeigen zu lassen. In der Beschreibung des Debug-Plugins steht:
Dieses Plugin bietet eine Vielzahl von Systeminformationen, sowie eine Unterstützung bei der Erstellung von Übersetzungsdateien an.
Nur für deine Augen!
Ja, das klingt jetzt nicht richtig nach Fehlerbehebung zur Laufzeit. Wer es aber mal aktiviert hat und die Debug-Ausgabe im Frontend sieht, erkennt, dass hier viele wichtige Systeminformationen ausgegeben werden. Diese sind ggf. auch dafür nutzbar das Joomla anzugreifen. Um die Ausgabe zu aktivieren muss das Plugin „System – Debug“ aktiv sein und in der globalen Konfiguration im Reiter „Server“ die Option „System debuggen“ angeschaltet werden. Standardmäßig ist die Ausgabe für die Öffentlichkeit (Public) sichtbar. Es ist daher ratsam, in den Einstellungen des Plugins die Ausgabe der Debug-Informationen auf Super User (bzw. Super Benutzer) zu beschränken. Dazu geht man einfach über das Dashboard zu den Plugins, wählt dort „System – Debug“ aus und setzt die Zugriffsebene auf „Super Users“ bzw. „Super Benutzer“.
Schon kann niemand aus der Öffentlichkeit mehr darin herumwühlen und sieht im Zweifelsfall verwirrende Ausgaben in Frontend.
Fehler berichten? Ja, aber...
Eigentlich möchten wir ja, dass uns Fehler angezeigt werden, aber natürlich nur, wenn wir sie auch lesen. Joomla kann die PHP-Fehler im Frontend ausgeben, aber leider nicht für eine besondere Gruppe. Daher würden die PHP-Fehler von Joomla für alle angezeigt werden. Das ist nicht sinnvoll und sieht im einfachsten Fall auch einfach nur hässlich aus. Im schlimmsten Fall werden auch hier sicherheitsrelevante Informationen verraten. Daher ist es ratsam, diese auch abzustellen, wenn man auf einer Live-Seite arbeitet.
Die Einstellung dazu ist auch in der Konfiguration des Joomla zu finden. In der Konfiguration unter dem Reiter „Server“ wähle bitte bei „Fehler berichten“ den Punkt „Keine“ aus.
Jetzt schnurrt dein Joomla wieder etwas sicher vor sich hin.