The Joomla! Forum ™

I suggest that by default, joomla should not allow the user to change the template. This should be an option to turn on.

2 key reasons:

1) Many people choose to implement features in their template based on if ( $my->id )  etc

If a visitor simply accesses the site with e.g. index.php?jos_change_template=rhuk_solarflare_ii in the url

They will bypass the security implemented in the template.

Mostly people use it for simple things like hiding / showing a welcome message etc. but some may have implemented more significant access control via the template.

2) A malicious user could leave links around the net to someone's joomla site with e.g. jos_change_template=madeyourweb etc

They could do this deliberately to create google links to a person's site with the layout completely messed up, giving the impression of a poor site / unusable site  ( the intended site may use completely different module positions to those in the other templates )


I know that the joomla admin can delete all other templates but I do not think that most joomla admins would think to do this.

I have seen hoards of posts suggesting the use of  if ( $my->id )  etc but never once seen anyone warning that you can overide any such measure a simply as jos_change_template=rhuk_solarflare_ii in the url

_________________
Do you want the answer to be as vague as your question?

I guess this is the same issue as unpublished components that could be accessed if you knew the url. I hadnt considered the security aspects of this with templates but you do make valid points

_________________
"Exploited yesterday... Hacked tomorrow"
Blog http://brian.teeman.net/
Joomla Hidden Secrets http://hiddenjoomlasecrets.com/

Looks good though..

I agree, it's the same as passing mosmsg via url.. can spoof sites and show things not inteded to be shown..

_________________
Sometimes one pays most for the things one gets for nothing.
The important thing is not to stop questioning. Curiosity has its own reason for existing. AE
http://joomla15.blog spot.com for J! 1.5 screenshots
http://www.eyezberg.com

A couple of key security measures to note are:

Never put logic into templates (this is a real no-no)
Uninstall unused templates, modules, mambots and components

These are really quite important in maintaining a tight ship and would solve the points you mention.

This should be a stickied post as it highlights the key part of security - conception. Simply not conceiving of a bad possibility!

I wouldn't doubt that a bad Google link could lead to Google cache poisoning where Google replaces its internal links to garbage, especially if the other site is popular.




very good
point!


The sneaky thing is its SO EASY to forget about something as trivial as a template!

I tend to run through the security post to make sure my new sites are nailed down before I unleash them on the unsuspecting public 

I got that tip from there.

On that note, it seems that the 1.0.11 to 1.0.12 update adds some files for the madeyourweb template.

If you've removed that template in the past you'll have to go manually remove those files.

They're just some images files and index.html files though, so nothing to worry about much.

Hi there,

I have tested out my site with the following link http://www.mysite.com/index.php?jos_cha ... arflare_ii

And to my big surprise the whole template was changed. :o

I have read in earlier posts that joomla should not allow the user to change the template.
I also read that there were feature implemented in their template based on if ( $my->id )  etc.
It was also mentioned that you should never put logic into templates (this is a real no-no).

What can I do to solve my problem? I gues :os that I have to change something in my template html so I searched in my template html for ‘if ( $my- >id )’ and I couldn’t find it back.

I’m using the template designed by Dylan Mouratsing, called Bassnote. It is downloadable from
http://www.mamboportal.com/index.php?se ... ch&Itemid=

I hope someone can tell me what to do in order to prevent anyone from changing my template using index.php?jos_change_template=rhuk_solarflare_ii

Thanks in advance,

You can try inserting this line below into your HTACCESS redirect rules
*

Note that this will prevent you from changing your template in the front end!

You should still be able to set it as DEFAULT in the admin backend


or, perhaps more simply, just delete all other templates other than the one you are actually using.

Hi Niemothk,

Thanx for responding my post.

I'm planning to do the first option which is inserting the line.
My question: Is the htaccess redirect rules the same as the .htaccess folder in my root.
If yes, should I insert it like this:
#RewriteCond %{QUERY_STRING} jos_change_template [OR]#

If not, where can I find this htaccess redirect rules folder or file?

no.

Since Joomla 1.011, there have been certain rules added to the HTACCESS file that deflects many or most of the hacking attempts.

The following is a snippet of the actual file:

Board index » Joomla! Older Version Support » Joomla! 1.0 » Security - 1.0.x

Who is online

Users browsing this forum: No registered users and 5 guests

You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot post attachments in this forum

Jump to:  Select a forum ------------------ Joomla! Announcements    Announcements       Announcements Discussions Joomla! 2.5 / Joomla! 1.7 - Ask Support Questions Here    General Questions/New to Joomla! 2.5 / Joomla! 1.7    Installation Joomla! 2.5 / Joomla! 1.7       Joomla! 2.5 / Joomla! 1.7 on IIS webserver    Administration Joomla! 2.5 / Joomla! 1.7       Access Control List (ACL) in Joomla! 2.5 / Joomla! 1.7    Migrating and Upgrading to Joomla! 2.5    Security in Joomla! 2.5 / Joomla! 1.7    Extensions for Joomla! 2.5 / Joomla! 1.7       Components - Joomla! 2.5 / Joomla! 1.7       Modules - Joomla! 2.5 / Joomla! 1.7       Plugins - Joomla! 2.5 / Joomla! 1.7    Templates for Joomla! 2.5 / Joomla! 1.7       Template overrides in Joomla! 2.5 / Joomla! 1.7       Default template: Atomic in Joomla! 2.5 / Joomla! 1.7       Default template: Beez 5 in Joomla! 2.5 / Joomla! 1.7       Default template: Beez 20 in Joomla! 2.5 / Joomla! 1.7       Default template: Rhuk Milkyway in Joomla! 2.5 / Joomla! 1.7       Default Admin templates in Joomla! 2.5 / Joomla! 1.7       Templates for Mobile Devices in Joomla! 2.5 / Joomla! 1.7    Search Engine Optimization (Joomla! SEO) in Joomla! 2.5 / Joomla! 1.7    Language - Joomla! 2.5 / Joomla! 1.7    Performance - Joomla! 2.5 / Joomla! 1.7 Joomla! 1.5 - Ask Support Questions Here    General Questions/New to Joomla! 1.5    Installation 1.5       Joomla! 1.5 on IIS webserver    Administration 1.5    Migrating and Upgrading to Joomla! 1.5    Security in Joomla! 1.5    Extensions for Joomla! 1.5       Components for Joomla! 1.5       Modules for Joomla! 1.5       Plugins for Joomla! 1.5       WYSIWYG Editors for Joomla! 1.5    Templates for Joomla! 1.5       Template overrides for Joomla! 1.5       Default template: BEEZ in Joomla! 1.5       Default template: Milky Way in Joomla! 1.5       Default Template: JA Purity in Joomla! 1.5    Search Engine Optimization (Joomla! SEO) in Joomla! 1.5    Language - Joomla! 1.5    Performance - Joomla! 1.5 Joomla! Older Version Support    Joomla! 1.0       Installation - 1.0.x       Upgrading - 1.0.x       Security - 1.0.x          3rd Party/Non Joomla! Security Issues       Administration - 1.0.x       Extensions - 1.0.x          Components          Modules          Plugins/Mambots          WYSIWYG Editors - 1.0.x          Integration & Bridges - 1.0.x             phpbb - Joomla! Integration       Templates & CSS - 1.0.x       Language - 1.0.x          Joom!Fish and Multilingual Sites       Performance - 1.0.x       General Questions - 1.0.x Joomla! International Language Support    International Zone       Albanian Forum       Arabic Forum          تنبيهات هامة          الدروس          جوملا! 1.6/1.7             الأسئلة الشائعة             التثبيت و الترقية             الحماية - و تحسين السرعة والأداء             لوحة التحكم             الإضافات البرمجية             تعريب جوملا! و الإضافات البرمجية             القوالب و التصميم             صداقة محركات البحث             القسم العام          1.5 !جوملا             الأسئلة الشائعة             التثبيت و الترقية             الحماية - و تحسين السرعة والأداء             لوحة التحكم             الإضافات البرمجية             تعريب جوملا! و الإضافات البرمجية             القوالب و التصميم             صداقة محركات البحث             القسم العام          جوملا! 1.0             الأسئلة الشائـعة             التثبيت             لوحة التحكم             الإضافات البرمجية             الإضافات المعرّبة             القوالب و التصميم             الحماية - تحسين السرعة والأداء - صداقة محركات البحث             القسم العام          القسم العام          !عرض موقعك بجوملا          الأرشيف       Azeri Forum       Basque Forum          Itzulpenaren inguruan          Laguntza teknikoa       Bengali Forum       Bosnian Forum          Joomla! 1.5             Instalacija i prvi koraci             Ekstenzije             Templejti             Moduli             Prevodi i dokumentacija          Joomla! 1.7 / Joomla! 1.6       Catalan Forum          Notícies          Temes sobre l'administració          Temes sobre la traducció          Components, mòduls i joombots          Temes de disseny          Webs realitzades amb Joomla!          Offtopics       Chinese Forum       Croatian Forum       Danish Forum          Meddelelser          Joomla! 2.5 / Joomla! 1.7             Installation, backup, opdatering og flytning - Godt igang             Administration - Generel brug             Komponenter, Moduler og Plugins             Template, CSS og Design             Nethandel, betaling m.m.          Joomla! 1.5             Installation, backup, opdatering og flytning - Godt igang             Administration - Generel brug             Komponenter, Moduler og Plugins             Template, CSS og Design             Nethandel, betaling m.m.          Oversættelser (lokalisering)          Joomla brugergrupper i Danmark             JUG Kolding             JUG København             JUG Odense             JUG Århus             JUG Ringsted          Kommerciel (betalt) hjælp ønskes          SEO          FAQ - Dokumentation og vejledninger          Vis dit websted             Afviste 'Vis dit websted' indlæg          Diverse (Off topic)             Joomla! 1.0                Installation, backup, opdatering og flytning - Godt igang                Administration - Generel brug                Komponenter, Moduler og Mambots                Template, CSS og Design                Nethandel, betaling m.m.       Dutch Forum          Aankondigingen          Algemene vragen          Joomla! 1.7 / Joomla! 1.6             Installatie 1.7             Componenten 1.7/1.6             Modules 1.7/1.6             Plugins 1.7/1.6             Templates 1.7/1.6          Joomla! 1.5             Installatie             Componenten             Modules             Plugins             Templates          Joomla! 1.0             Installatie 1.0.x             Componenten 1.0.x             Modules 1.0.x             Mambots 1.0.x             Templates 1.0.x          Vertalingen          Offtopic          Show jouw website       Filipino Forum          International Support Center          Pinoy General Discussion & Archives             Site Showcase             Events             Design Tips and Tricks             Tsismis Zone             Pinoy Translation Zone             Pinoy Forum Archives          Joomla! Philippines Local Forum www.joomla.org.ph       Finnish Forum       French Forum          Les annonces!          Le bistrot!          L'expo!          J! 1.5.x - L'atelier!             1.5 - Questions générales             1.5 - Installation, migration et mise à jour             1.5 - Sécurité et performances             1.5 - Extensions tierce partie             1.5 - Templates et design             1.5 - Développement             1.5 - Ressources          J! 1.7.x / J! 1.6.x - L'atelier!             1.7/1.6 - Questions générales             1.7/1.6 - Installation, migration et mise à jour             1.7/1.6 - Sécurité et performances             1.7/1.6 - Extensions tierce partie             1.7/1.6 - Templates et design             1.7/1.6 - Développement             1.7/1.6 - Ressources          J! 1.0.x - L'atelier!             1.0 - Questions générales             1.0 - Installation et mise à jour             1.0 - Sécurité             1.0 - Extensions tierce partie             1.0 - Templates et design             1.0 - Développement             1.0 - Ressources          Besoin d'un professionel ?          Extensions Open Source pour Joomla!       German Forum          Ankündigungen          Joomla! 1.5             Allgemeine Fragen             Installation und erste Schritte             Komponenten, Module, Plugins             Template, CSS und Designfragen             Entwicklerforum             Zeige Deine Webseite          Joomla! 1.7 / Joomla! 1.6             Allgemeine Fragen             Installation und erste Schritte             Komponenten, Module, Plugins             Template, CSS und Designfragen             Entwicklerforum             Zeige Deine Webseite          Joomla! 1.0             Allgemeine Fragen 1.0.x             Installation und erste Schritte 1.0.x             Komponenten, Module, Mambots 1.0.x             Template, CSS und Designfragen 1.0.x             Entwicklerforum 1.0.x             Zeige Deine Webseite 1.0.x          Professioneller Service          Sonstiges (Offtopic)       Greek Forum          Joomla! 1.0.x          Joomla! 1.5.x       Hebrew Forum       Hungarian Forum       Indic Languages Forum       Indonesian Forum          FAQ          Bantuan          Komponen          Modul          Template          Diskusi       Italian Forum          Guide          Traduzioni          Componenti - Moduli - mambots          Template - Grafica          Notizie          Prodotti Open Source per Joomla!          Richieste professionali          Joomla! 1.5          Joomla! 1.7 / Joomla! 1.6       Japanese Forum       Khmer Forum          ពិពណ៌​ស្ថាន​បណ្ដាញ​ជុំឡា          ជុំឡា​ខ្មែរ​មូលដ្ឋានីយកម្ម       Latvian Forum       Lithuanian Forum          Joomla! 1.5          Joomla! 1.7 / Joomla! 1.6          Joomla! 1.0          Vertimai ir Kalba       Malaysian Forum          Solved       Maltese Forum       Norwegian Forum          Informasjon og annonseringer          FAQ - Ofte spurte spørsmål          Joomla! 2.5 / Joomla! 1.7             Administrasjon/installasjon             Migrering/Oppdatering             Template, CSS og design             Komponenter/moduler/programutvidelser             Sikkerhet             Generelt          Joomla! 1.5             Administrasjon/installasjon             Migrering/Oppdatering             Template, CSS og design             Komponenter/moduler/programutvidelser             Sikkerhet             Generelt          Netthandel, betaling m.m.             VirtueMart             redSHOP             Andre nettbutikkløsninger             Generelt          Oversettelser          Fremvisning av sider (Show off)             Avviste fremvisninger          Diverse (off topic)          Kommersiell hjelp ønskes          Eldre versjoner av Joomla!             Joomla! 1.0                Administrasjon/installasjon                Template, CSS og design                Komponenter/moduler/mambots                Sikkerhet                Generelt       Persian Forum          قالب ها          مدیریت          سوالهای عمومی          نصب          مامبوت ها          ماژولها          کامپوننت ها       Polish Forum          Instalacja i upgrade          Administracja          Komponenty, moduły, boty          Templatki             Paczta i Podziwiajta          Modyfikacje i własne rozwiązania          Tłumaczenia          FAQ          Tips&Tricks          Humor          Dokumentacja          Profesjonalne usługi       Portuguese Forum          Componentes, módulos e mambots          Programação e desenvolvimento          Segurança          Sites dos usuários          Off-topic          Tradução          Templates       Romanian Forum          Traduceri       Russian Forum       Serbian/Montenegrin Forum          Tehnička pitanja          Instalacija i početnička pitanja          Šabloni          Prevod i dokumentacija          Ćaskanje          Bezbednost          Joomla! dodaci          Pravna pitanja          Arhiva          Joomla! Događaji i Zajednica          Izlog (spisak) sajtova radjenih u Joomla! CMS-u          Profesionalne usluge       Slovak Forum       Slovenian Forum       Spanish Forum          Preguntas generales/Novato en Joomla          Administración          Extensiones          Instalación, actualización y migración          Plantillas (templates) y diseño          Idioma y traducciones          Salón de la Joomlaesfera hispanohablante          Productos de Código Abierto para Joomla!          Seguridad y rendimiento          Servicios profesionales          SEO para Joomla!          Joomla! 1.7 / Joomla! 1.6       Swedish Forum          Meddelanden          Forum för Joomla! med långtidssupport             Forum Joomla! 2.5                Allmänna frågor                Användning och administration                Installation, backup och säkerhet                Komponenter, moduler och plugin                Mallar (templates) och design             Forum Joomla! 1.5                Allmänna frågor                Användning och administration                Installation, backup och säkerhet                Komponenter, moduler och plugin                Mallar (templates) och design          Forum för Joomla! med standardsupport             Forum Joomla! 1.7 / Joomla! 1.6                Allmänna frågor                Användning och administration                Installation, backup och säkerhet                Komponenter, moduler och plugin                Mallar (templates) och design          Äldre versioner             Forum Joomla! 1.0                Allmänna frågor                Användning och administration                Installation, backup och säkerhet                Komponenter, moduler och Mambots                Mallar (templates) och design          Översättning          Webbplatser gjorda i Joomla             Webbplatser J! 2.5             Webbplatser Joomla! 1.7 / Joomla! 1.6             Webbplatser J! 1.5             Webbplatser J! 1.0          Kommersiell hjälp önskas          Diverse (off topic)       Tamil Forum       Thai Forum          โชว์เว็บไซต์ของคุณที่สร้างด้วยจูมล่า          เคล็ดลับการใช้งานส่วนต่างๆ เกี่ยวกับจ&#          คอมโพเน้นท์ โมดูล ปลักอิน ต่างๆ ที่ติดตั          อับเดดข่าวสารเกี่ยวกับจูมล่าลายไทย       Turkish Forum          Duyurular          Dersler          Genel Sorular          Bileşen, Modül, Bot          Eklenti Haberleri          Temalar       Urdu Forum       Vietnamese Forum          Gặp gỡ và giao lưu          Joomla Tiếng Việt          Cài đặt và cấu hình          Component, Module, Bot          Thiết kế Template          Hỗ trợ kỹ thuật          Joomla! 1.5       Welsh Forum Other Forums    Open Source Products for Joomla!    Joomla! Events    Site Showcase    The Lounge    Registered Joomla! User Groups    Trending Topics    Joomla! Ideas Forum    Help wanted in the community Joomla! Development Forums    Joomla! Development       Joomla! 1.7 / 1.6 Coding       Joomla! 1.5 Coding       Joomla! 1.7 / 1.6.x Bug Reporting       Joomla! 1.5 Bug Reporting       Joomla! 2.5 Beta Support Joomla! Official Sites & Infrastructure    Extensions.Joomla.org - Feedback/Information    Resources.joomla.org - Feedback/Information    People.joomla.org - Feedback/Information    Documentation - Feedback/Information/Suggestions    Sites & Infrastructure - Feedback/Information       JoomlaCode.org       Archived Boards - All boards closed          Design and Accessibility - Archived          Quality and Testing - Locked and Archived             Joomla! 1.0.x_Q&T                Q&T 1.0.x Resolved                Known Issues                Superseded Issues                Archive                   Q&T 1.0.x Resolved - Archived                   Known Issues - Archive                   Superseded Issues - Archive             Third Party Testing for Joomla! 1.5             Q&T 1.5.x Resolved          Joomla! 1.5 BETA          Joomla! 1.5 BETA 2          Reaction to the 'Letter to the community'          Reaction to New Project Name          Logo Competition          Humor, Fun and Games          Libraries             patTemplate          com_connector - Multi Joomla Bridge          CiviCRM Support             CiviCRM Installation Issues          FAQ Archive             FAQ Discussion Board             3rd Party Extensions FAQ             FAQs not moved             3rd Party/Non Joomla! Security FAQ          Joomla! Coding 101             Joombie Tools of the Trade             Joombie Coding Q/A             Joombie Think Tank             Joombie Developer Lab          Joomla Forge - Archived          Non-Profit Organizations and Joomla!             Schools and Universities          Bangsamoro Forum          Joomla! 1.5 Template Contest          SMF - Simplemachines.org Forum          GPL Discussion          Security Announcements - Old          Tips & Tricks - Moving             Submit Your Suggested Tips & Tricks to Docs.joomla.org now please.          Google Summer of Code and GHOP             Google Summer of Code 2008                Proposed projects                Student area                Past Google Summer of Code Editions             Google's Highly Open Participation Contest          Documentation             Suggestions, Modifications, and Corrections             Archive             1.5 Archive                Suggestions, Modifications & Corrections             Submit             Feedback and Suggestions          Applications for participation in the Development Workgroup          Development          1.5 Site Showcase - Archived          1.0 x Site Showcase - Archived.          Feature Requests - White Papers - Archived             Under Review - Archived             Accepted - Archived             Not Accepted - Archived             Wishlists and Feature Requests - Archive                Wishlist Archives - Archived          Spanish Forum - Archive             Papelera             Tutoriales             General          Danish Forum - Archive             Diskussion af Meddelelser + Sikkerhedsmeddelelser + FAQ          Shop.Joomla.org          Joomla! 1.6 RC Support [closed]          Joomla! 1.0 Coding          Core Hacks and Patches    Joomla! Community Magazine       Joomla! Community Magazine Editors    Joomla! Working Groups       Translations       OpenSourceMatters.org