htaccess - Безопасность сайтов на Joomla

Зачем вообще к индексному файлу админки обращаться?

А так можно конструкцию вида:

Код

AuthType Basic

AuthName "Welcome home"

AuthUserFile "path to .htpasswd file"

 

SetEnvIf Request_URI ^/administrator/index.php.* noauth=1

Order Deny,Allow

Satisfy any

Deny from all

Require valid-user

Allow from env=noauth

AuthType Basic
AuthName "Welcome home"
AuthUserFile "/var/www/administrator/.htpasswd"
SetEnvIf Request_URI ^/administrator/index.php.* noauth=1
Order Deny,Allow
Satisfy any
Deny from all
Require valid-user
Allow from env=noauth

Плагин в свой метод через com_ajax обращаться должен, в админку не должен.
Если версия J <3.2 все равно сам к себе, системный сделать.

Вопрос: существует ли правильный синтаксис htaccess, что бы разрешить отправку данных или плагин переписывать напрочь?

Могу выложить весь код плагина сюда. Может быть кто возьмется довести до ума?

переписывать напрочь. но не потому, что "правильного синтаксиса htaccess" не существует, а потому что проблема таким образом не решится. у обычного клиента (не админа) нет доступа в админку. т.е. плагин по сути не рабочий, он будет работать только если пользователь уже залогинен в админку.
имхо это должен быть его автор, не?

смены статуса заказа Покупателем на "Заказ получен"

А что, лицензия GNU не позволяет пере-допиливать и выкладывать?

Тем более, что работа была оплачена.

ну тут же речь немного о другом, насколько я понимаю. чтобы покупатель сам мог потом в дальнейшем поменять статус, когда получит товар. мог так сказать подтвердить получение товара и завершить заказ.

ну тут же речь немного о другом, насколько я понимаю. чтобы покупатель сам мог потом в дальнейшем поменять статус, когда получит товар. мог так сказать подтвердить получение товара и завершить заказ.

Плагин работает корявенько, а с защитой htacсess - не работает совсем, я об этом писал выше.

ну я тоже о чем-то писал выше, только вы почему-то читать не хотите плагин вообще не работает, независимо от того, есть у вас защита htacсess или нет. он работает только если вы - администратор, который имеет доступ в админ панель. а для обычных пользователей он не работает вообще. или вы это и подразумеваете под "корявенько"?

Как уже писали выше, плагин не должен обращаться в админку. Переписать нужно плагин, а не .htaccess. Тем более, если речь идет о кнопке для смены статуса, то тут скорее всего нужен не плагин, а элементарный доп.контроллер, поскольку функционал уже существует. И никакая AcyMailng тоже не нужна.

Тем не менее, после нажатия на кнопку, заказ переводится в статус получен.

AcyMailng - для последующих действий с Покупателем

переводим в постоянные клиенты и посылаем ему купон на следующий заказ

Если речь идет об этих, то все это можно делать автоматически в том же контроллере.
Но если вы считаете, что плагин работает, только немножко "корявенько", то не буду вам мешать .

та нет же залогиньтесь как обычный пользователь, а не как администратор, и увидите, что это не так. кнопка выводится для всех, это да. но статус будет меняться только если вы администратор и залогинены в данный момент в админку.

вы авторизовались как Покупатель под учеткой, которая не имеет доступа в админ панель?

Конечно.

В итоге получили скрипт, который обращается по адресу: return jQuery.post('/administrator/index.php'

либо ваша админка всех пускает

P.S. а, кажется понял. выйдите из админки.

ну или да, вариант 3 - в админку можно попасть вообще с любой авторизацией

P.S. а, кажется понял. выйдите из админки. наверное сессия активная висит в админку, поэтому доступ дает. разлогиньтесь из админки, останьтесь залогинены только покупателем на фронте.