afbeelding van ftechniek

Access to update.php Not protected na upgrade 9.1.5

hallo,
Sinds een paar dagen heb ik volgende foutmelding op mijn website.

Access to update.php Not protected The update.php script is accessible to everyone without authentication check, which is a security risk. You must change the $settings['update_free_access'] value in your settings.php back to FALSE.

Stukje code van mijn file setings.php
/**
* Access control for update.php script.
*
* If you are updating your Drupal installation using the update.php script but
* are not logged in using either an account with the "Administer software
* updates" permission or the site maintenance account (the account that was
* created during installation), you will need to modify the access check
* statement below. Change the FALSE to a TRUE to disable the access check.
* After finishing the upgrade, be sure to open this file again and change the
* TRUE back to a FALSE!
*/
$settings['update_free_access'] = FALSE;

/**

Op de site van drupal vind ik niet echt een oplossing, vb
https://www.drupal.org/forum/support/post-installation/2019-07-24/settingsupdate_free_access-false

Dank bij voorbaat,
Groetjes
Ivo

Drupalversie: 
9.x
Auteur: 
ftechniek
afbeelding van Niek Kloots
Door Niek Kloots op 18 maart, 2021 - 16:51

Log uit en probeer dan update.php uit.
Lukt het nog steeds dan rest je alleen om update.php van naam te veranderen tot je het weer nodig hebt.
Of de vorige (=9.1.4) Drupal versie terugzetten.

Het is een oud probleem wat af en toe weer opduikt en waar niemand nog een oplossing voor heeft.
Meestal verdwijnt het probleem weer bij de volgende core update.
Ik heb het zelf 1x bij D7 meegemaakt en na een volgende update was het weer weg.

afbeelding van ftechniek
Door ftechniek op 18 maart, 2021 - 19:39

Beste, dank voor de reactie.
Bij mijn provider heb ik drupal geinstalleerd via third party software (Installatron).
Zomaar een nieuwe upgrade uitvoeren lukt niet denk ik.
Ik ga update.php hernoemen tot er een nieuwe versie van drupal beschikbaar is.
In de toekomst ga ik uitzoeken hoe ik drupal manueel zelf kan instaleren.
Thuis werk ik met Ubuntu en heb al eens zelf LAMP op een virtual machine geinstaleerd, en daarna drupal.
Ik had toen problemen om drush en composer aan de praat te krijgen op de virtual machine.
Ben daarom nog wat bang om een manuele installatie te doen, en hoe ik alles moet blijven updaten/upgraden.
Alles zal via scripts moeten gebeuren denk ik, via een terminal zal ik geen toegang hebben tot de server denk ik.
Maar dit is toekomst muziek, ik zal eerst update.php hernoemen.
dcisite.be een site over vintage racefietsen.
Vriendelijke groet,
Ivo

Ivo De Coninck owner dcisite.be

afbeelding van Niek Kloots
Door Niek Kloots op 18 maart, 2021 - 22:17

Ik zelf download een zip bestand van de update van Drupal.org en pak het uit in een map op mijn Pc.
Daarna upload ik de uitgepakte bestanden met ftp naar de juiste map(pen) op de server.
(even goed kijken waar alles staat. Misschien onder /web/ of onder /httpdocs/ )

Gebruik een goed gratis ftp programma als Filezilla of een betaald als CuteFTP (deze gebruik ik zelf).

Daarna voer ik update.php uit.

Sommige nieuwe Drupal installaties heb ik ook door de hoster laten doen, maar daarna onderhoud ik die zonder problemen zelf.
Ik doe dit alles al >15 jaar zonder Composer of Drush en het gaat probleemloos.
Modulen zijn prima te upgraden of zelfs nieuw toe te voegen via de website (dit was vroeger niet mogelijk) en Drupal core moet toch al via ftp. (of Drush e.d.)

Dus gewoon uitproberen op een sub-website zou ik zeggen.
Liefst met een eigen database als dat mag/kan, maar anders met het voorvoegsel 1_ in de bestaande.

afbeelding van ftechniek
Door ftechniek op 19 maart, 2021 - 20:14

beste,
Bedankt voor de reactie, ik ga het zo zeker eens uit proberen.
Drupal downloaden, en uploaden met een ftp programma is helemaal geen probleem.
Update.php uitvoeren is iets anders, moet ik dit via een script starten? Hier heb ik tot nu toe geen ervaring mee.
Ik heb drupal een tijdje geleden eens in een virtual machine geinstalleerd (LAMP manueel geinstalleerd) en via een terminal programma en SSH, wget,.. enz, kon ik dan alles installeren en configureren op de server (VBOX).

Als ik update.php wil runnen moet ik dan in mijn browser
http://mijnsite.xx/path/update.php
uitvoeren?
Of een php file maken met als naam bv: mijn_update.php
met als code:
<?php
update();
?>
En dit openen in mijn browser?
Dank bij voorbaat.
Groetjes,
Ivo

Ivo De Coninck owner dcisite.be

afbeelding van Niek Kloots
Door Niek Kloots op 19 maart, 2021 - 21:03

Kijk eens goed in de map waarin Drupal geïnstalleerd is en dan zie je daar update.php al staan.
Niet zelf een aanmaken.
Dus gewoon update.php achter je domeinnaam tikken en enter indrukken. http://mijnsite.be/update.php

Als je een taal gebruikt als in http://mijnsite.be/nl/node/1 dan update.php zonder die /nl/ uitvoeren.
Dus niet http://mijnsite.be/nl/update.php , want dat werkt niet.

afbeelding van ftechniek
Door ftechniek op 20 maart, 2021 - 20:48

Ik ga in de nabije toekomst terug eens een test sitte opzetten en met de opgedane info zal het zeker lukken.
Had er nog niet bij stil gestaan om het op te zoeken, maar je vind er wel informatie over.
En het lijkt me best doenbaar.
Bedankt al in ieder geval!
ivo

Ivo De Coninck owner dcisite.be

afbeelding van ftechniek
Door ftechniek op 21 maart, 2021 - 14:06

Momenteel is het al gelukt van een nieuwe DB te maken en drupal te installeren.
Viel goed mee, nu nog wachten op een nieuwe upgrade en dit ook eens testen, en daarna mijn huige website overzetten naar een installatie zonder derden (Installatron).
Het resultaat hoor je nog wel.
Ivo

Ivo De Coninck owner dcisite.be

afbeelding van Niek Kloots
Door Niek Kloots op 21 maart, 2021 - 14:54

Als je toch aan het spelen bent, dan kan je ook beginnen met een oudere versie van D8 en die daarna updaten. Gewoon de database leeg maken en opnieuw beginnen na de inhoud op de server (behalve settings.php) te vervangen met een oude versie.
Hoef je niet te wachten op een nieuwe versie.
Hetzelfde geldt voor extra modulen.

Interessanter voor de rest van ons is of je de mededeling uit de eerste post ook bij een verse installatie van D9 krijgt.

afbeelding van ftechniek
Door ftechniek op 21 maart, 2021 - 14:58

Inderdaad, ik heb een installatie gedaan van 9.1.5 en de foutmelding blijft dezelfde:

Errors found
Trusted Host Settings
Not enabled
The trusted_host_patterns setting is not configured in settings.php. This can lead to security vulnerabilities. It is highly recommended that you configure this. See Protecting against HTTP HOST Header attacks for more information.

mvg
ivo

Ivo De Coninck owner dcisite.be

afbeelding van Niek Kloots
Door Niek Kloots op 21 maart, 2021 - 15:00

Dat is een ander soort fout.
Deze gaat over https i.p.v. http en niet over update.php true or false

afbeelding van ftechniek
Door ftechniek op 21 maart, 2021 - 14:59

Ja nog vergeten, ik heb update.php een heel andere naam momenteel gegeven, tot er een nieuwe upgrade is.
mvg

Ivo De Coninck owner dcisite.be

afbeelding van ftechniek
Door ftechniek op 21 maart, 2021 - 15:05

sorry, snel geknipt en geplakt en niet opgelet, is inderdaad een andere fout.
Is dit een probleem voor de testversie, ik heb deze fout in het verleden ook al moeten oplossen geloof ik een van de php bestanden.
De oude fout is verdwenen.

Ivo De Coninck owner dcisite.be

afbeelding van ftechniek
Door ftechniek op 21 maart, 2021 - 15:48

Foutmelding over Trusted Host Settings, Not enabled, is opgelost.
mvg

Ivo De Coninck owner dcisite.be

afbeelding van Niek Kloots
Door Niek Kloots op 21 maart, 2021 - 16:35

Voor https moet je zelf een paar handelingen uitvoeren.
Ten eerste moet je een SSL-certificaat hebben. Gratis van Let's Encrypt of een al dan niet betaalde via je hoster.
Daarna moet je in .htaccess op regels 72 tm 77 voor D8 het verkeer naar https i.p.v. http leiden.
Wil je alles naar mijnsite.be i.p.v. www.mijnsite.be geleid hebben dan moet je het een en ander op regels 98 tm 113 aanpassen in .htaccess

Hierbij dus meteen een waarschuwing: Nooit je .htaccess updaten, want dan kan je alle wijzigingen weer gaan doen.
Drupal zegt dat zelf ook. Heb in al die 15 jaren slechts 1x door Drupal verplicht .htaccess moeten wijzigen.

afbeelding van belba
Door belba op 24 maart, 2021 - 04:35

Voor alle duidelijkheid over dit bericht.

"Access to update.php Not protected The update.php script is accessible to everyone without authentication check, which is a security risk. You must change the $settings['update_free_access'] value in your settings.php back to FALSE."

Dit is een instelling in je settings.php die vind je onder sites/default/settings.php
Op lijn 308 vind je $settings['update_free_access'] = TRUE;

Dat is een instelling die je op TRUE zet tijdens ontwikkeling. Dit laat je toe om je update pagina te bezoeken en een database update te doen zonder dat je bent ingelogd. Handing bij problemen tijdens ontwikkeling. Je tikt dan naast je website url /update.php en je hebt toegang tot de update pagina.

Een instelling die je natuurlijk niet wil tijdens een life website. Verander de TRUE gewoon in FALSE en die mededeling is weg. Kan zijn dat je de rechten van de file moet aanpassen om deze verandering aan te passen.

2de melding Errors found

"Trusted Host Settings Not enabled The trusted_host_patterns setting is not configured in settings.php."

Is een instelling in de zelfde settings.php die voor een grotere veiligheid zorgt tegen HTTP inbreuken.
Het is een array, dwz dat je meerdere patterns kan invoegen. Voor als je bijvoorbeeld lokaal werkt. Rond lijn 682 in de file vind je duidelijke instructies van Drupal hoe dit in te stellen.

Vb instelling ; $settings['trusted_host_patterns'] = [
'^www\.example\.com$',
];

Succes, Jan

afbeelding van ftechniek
Door ftechniek op 24 maart, 2021 - 08:19

Ja , even alles op een rij zetten.
1 'Access to update.php Not protected' melding op mijn website, deze fout verscheen na update naar 9.1.5.
Voorlopig geen oplossing, settings.php staat op $settings['update_free_access'] = FALSE;, zou goed moeten zijn.
Voorlopig heeft update.php een totaal andere naam en zal ik wachten tot volgende update of de fout dan verdwijnt.

2 Had tijdelijk even manueel een drupal-site bijgemaakt om te zien of dezelfde fout ook voorkwam.
Op de nieuwe site was deze fout er NIET.
Ik kreeg aanvankelijk wel een foutmelding:
"Trusted Host Settings Not enabled The trusted_host_patterns setting is not configured in settings.php."
Dit is normaal op een nieuwe site omdat dit nog niet geconfigureerd is op dat ogenblik, en werd aangepast.

3 Ik ga nu dus wachten tot er een nieuw update is voor drupal en bekijken hoe het afloopt.
Indien alles in orde is laat ik het weten.
Indien de foutmelding blijft probeer ik eens een downgrade naar een vroegere versie en als dit ook niet lukt ga ik misschien best een nieuwe topic starten?
Bedankt voor de reacties!
Ivo

Ivo De Coninck owner dcisite.be

afbeelding van Jurgen M
Door Jurgen M op 7 april, 2021 - 20:44

Om vele problemen zoals hierboven beschreven te vermijden installeer je Drupal 9 beter met composer.
Eveneens alle modules installeren en updaten met composer.
Ook de core updaten via composer.
Het is één simpele commando: composer update en alles gaat vanzelf.
Modules aan en uit zetten alsook database updaten doe je dan best met drush of Drupal console.

Als je dit doet zal je heel wat minder problemen ondervinden dan wanneer je Drupal via installatron of softaculous installeert.
Modules updaten via de Drupal interface en de core via ftp zijn eigenlijk not done in Drupal 9.

afbeelding van ftechniek
Door ftechniek op 8 april, 2021 - 09:59

Beste,
Uw uitleg zal wel de juiste zijn denk ik.
Thuis werk ik met ubuntu en kan wel overweg met de terminal.
Met SSH (public/private key genereren ) zou ik dan mijn site kunnen onderhouden.
Ga vandaag een aanvraag doen of ik hiervoor de mogelijkheid heb, en of ik nog een en ander moet configureren.
Normaal zou ik moeten kunnen inloggen met shh op volgende manier denk ik:

sudo ssh username@www.mijnsite.be

Nog een vraagje:
Kan ik op een geinstalleerde versie met isntallatron zomaar overschakelen door gebruik te maken van composer en drush?
Of moet ik eerst een manueel een installatie doen? Mijn website telt meer dan 500 pagina's momenteel zou ik niet weten hoe hier aan te beginnen.

Eerst nu uitzoeken hoe ik via ssh mijn site kan bereiken.
Alle info welkom
mvg,
Ivo

Ivo De Coninck owner dcisite.be

afbeelding van ftechniek
Door ftechniek op 8 april, 2021 - 10:00

Hallo,
Kan ik op een geinstalleerde versie met isntallatron zomaar overschakelen door gebruik te maken van composer en drush?
Of moet ik eerst een manueel een installatie doen? Mijn website telt meer dan 500 pagina's momenteel zou ik niet weten hoe hier aan te beginnen.
Alle info welkom
mvg,
Ivo

Ivo De Coninck owner dcisite.be

Bookmark and Share

Drupal is een geregistreerd merk van Dries Buytaert. | Powered by Pantheon.

Drupal.be/Drupal.nl is de website van de Nederlandstalige Drupalgemeenschap.