RaVns Blog | Webmastering, xHTML, CSS, PHP, MySQL, SEO/SEM, Windows i inne


 Smartwatch LG G Watch R W110 - okrągła koperta - 570 zł !!!
 Wentylator biurkowy HB 25Wat DF2302BR "nowy" - 68 zł !!!

paź/11

13

Forbidden You don’t have permission to access on this server

Forbidden You don’t have permission to access on this server

Czy zdarzyło się nam zobaczyć niespodziewanie taki komunikat:

Forbidden
You don’t have permission to access /wp-admin/post.php on this server.

Lub brzmiący tak samo, ale odnoszący się do innych plików:

Forbidden
You don’t have permission to access

/wp-admin/options-permalink.php
/cms/wp-admin/page.php
/wp-admin/admin-ajax.php
/phpmyadmin
/administrator
moj-skrypt.php

on this server.

Przyczyny rozwiązania problemu mogą być następujące (głównie rozpatrywane na przykładzie katalogów WordPress):

1. Na wstępie sprawdźmy, czy mamy dostęp do Statystyk lub Logów serwisu, które powinny znajdować się w panelu administracyjnym naszego serwera.

  • Odszukujemy wówczas linię, w której występuje opis błędu (zawiera ona datę, IP, ścieżkę pliku i inne parametry).
    NP. Dla Panelu administracyjnego DirectAdmin: wybieramy nazwę domeny >> w sekcji Twoje konto klikamy Statystyki / Logi serwisu >> teraz w kolumnie Typ logu wyszukujemy Logi błędów Apache’a i w tym wierszu klikamy np. w link 10 linii, aby wyświetlić tylko 10 ostatnich linii logu, w których pojawiły się błędy.
  • Albo szukamy odpowiedni plik (np. w folderze logs naszej domeny, który zawiera pliki logów) na dysku naszego serwera np. łącząc się przez FTP.

2. Do danego katalogu, czy pliku możemy mieć dostęp zabroniony. Należałoby sprawdzić czy są jakieś dyrektywy blokujące dostęp w pliku .htaccess. Lub, czy nie zapętliły się tam jakieś reguły.

3. Należy sprawdzić czy pliki w katalogu, może sam katalog wp-admin mają prawa dostępu zamiast domyślnych 664 np. 755 lub nawet 777 – pełen dostęp.
Jeśli chcielibyśmy zmienić prawa dostępu (chmod), czy inaczej zwane atrybuty pliku lub katalogu otwieramy np. program Total Commander >> mając wcześniej skonfigurowane połączenie ze swoim serwerem, łączymy się >> kolejno wybieramy odpowiedni plik lub katalogklikamy na niego, aby zaznaczyć >> z menu wybieramy Pliki >> Zmień atrybuty… >> teraz wybieramy poprzez zaznaczenie odpowiednie prawa lub wpisujemy wartość liczbową w polu >> na koniec klikamy OK >> teraz następuje zmiana praw dostępu, co można zauważyć w kolumnie Atrybuty przy nazwie danego pliku.

4. Dodać linie kodu mod_security.c w pliku .htaccess w danym katalogu np. wp-admin:

<IfModule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>

lub

<IfModule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
SecFilterInheritance Off
</IfModule>

lub

<Files post.php>
SecFilterInheritance Off
</Files>

SecFilterEngine – mechanizm filtrujący jest domyślnie wyłączony (Off). Aby włączyć monitorowanie żądań dopisujemy jak powyżej: On – analizuje każde żądanie, Off – nic nie robi.

SecFilterScanPOST – dyrektywa domyślnie wyłączona (Off). Włączenie (On) powoduje uaktywnienie skanowania pola danych HTTP metody POST, jeżeli zostało ono zakodowane zgodnie z jednym z wymienionych typów MIME:
application/x-www-form-urlencoded – transfer danych formularza,
multipart/form-data – przesłanie pliku do serwera.

SecFilterInheritance – dyrektywa ta pozwala na włączenie (On) opcji analizowania danych wyjściowych, generowanych po przetworzeniu żądania klienckiego. Ze względu na budowę interfejsu API Apache funkcja ta jest dostępna tylko w gałęzi 2.0 oprogramowania serwera. Mimo iż jej zasada działania jest zbliżona do zadań opcji SecFilterScanPOST, definiowane przez administratora filtry danych różnią się od tych, które są stosowane w odniesieniu do informacji wejściowych.

5. Jeśli dodając/edytując post (WordPress) pojawia się 403 Forbidden sprawdzamy w pasku adresu przeglądarki id postu (np. post=258), kolejno logujemy się do bazy danych przez phpMyAdmin i próbujemy tam edytować dany rekord postu. Jeśli podczas edycji wystąpi błąd:

Forbidden
You don’t have permission to access /phpmyadmin/tbl_replace.php on this server.

Oznacz to, że powinniśmy napisać do administratorów serwera o sprawdzenie i ustawienie takich reguł, aby mod_security nie był tak restrykcyjny. Ogólnie przyczyną braku dostępu może być zawartość naszej strony lub postu, gdzie są np. fragmenty kodów PHP, MySQL, .htaccess i innych, które serwer uznaje za niebezpieczne.

6. Powodem może być ustawiony zbyt krótki czasz wykonywania skryptów na serwerze, domyślnie wynosi max. 30 sekund.

7. Sprawdzić, czy ostatnio zainstalowane wtyczki nie powodują problemów. Najlepiej je na chwilę wyłączyć może usunąć z serwera.
W bazie danych możemy sprawdzić aktywne pluginy:

SELECT * FROM wp_options WHERE option_name = 'active_plugins';

8. Dla autoryzacji WordPress należy zdefiniować AUTH_KEY i inne.
To zapewne nie ma wpływu na nasz błąd, ale warto. Dokonuje się tego w pliku wp-config.php. Wpisując poniższe kody lub wygenerowane na stronie https://api.wordpress.org/secret-key/1.1/salt/:

define('AUTH_KEY',         'NNynvQ-?wbItkM,*FN^G4Pe51$J6~0?H E-flN;q8]wD%8i~Qq~sO03}{=|BN}|]');
define('SECURE_AUTH_KEY',  'uD[)>$lt0Q4A>zoG#CTmL]7m5xUA|fr20-b|EfP`}t{Z5hHj#F&e+V=_+<ExbGaU');
define('LOGGED_IN_KEY',    '9eQ:G5h1Dt|sm~#!^hk-&~Y[*QIC3$$gw6>)k:[G$f.Csx[T)h1SY#aO!:%HM>=-');
define('NONCE_KEY',        '6Mx&eQ},Zn]NtW}_^Mphhysu<M<p(vZ3@@];z>xTVH9IYB=q +|q[y.3<rMc/@8)');

define('AUTH_SALT',        '<7 C?+,,y)hqLt.Z~gX? +M8Z:yRD5#<Bw!x!iD;l7r&*yv.PP9hl&r2|YM1G|bl');
define('SECURE_AUTH_SALT', ' }Yi+_1v>4GM]KjQ{~b^C%1Xat:EORw+Pu2]|H@]+IHJ,-}M}xX6UYE$A0-,b_w-');
define('LOGGED_IN_SALT',   '#XhH>NX5=NAlg(zq|Mz85F^66!|rCkk+F5Y`K |AMQDt1N<Rx>aWcylG8[dSC/X2');
define('NONCE_SALT',       'i8Gl%BW1(/=ocJph 8?JNlL)fRm6 b/k`QAxk8>I|D3wg$^:D0:831`sssXSk*!5');

———————-
Definicje dwóch dyrektyw mod_security pochodzą z książki Apache. Zabezpieczenia aplikacji i serwerów WWW.
Aktualizacja wpisu 30.11.2011

VN:F [1.9.22_1171]
Rating: 4.3/6 (3 votes cast)
VN:F [1.9.22_1171]
Rating: -1 (from 3 votes)
Forbidden You don't have permission to access on this server, 4.3 out of 6 based on 3 ratings
Podziel się wpisem na:
  • Facebook
  • Śledzik
  • Twitter
  • email
  • Google Bookmarks
  • Google Buzz
  • Flaker
  • MySpace
  • Blip
  • Wykop
  • Poleć
  • co-robie
  • Spis
  • Spinacz
  • Wahacz
  • LinkedIn
  • Mój biznes
ustaw opis GG

Tagi: · · · · · · · · · · · · · · · · · · ·

Podobne wpisy:

Instalacja Apache, PHP i MySQL w systemie Windows cz.2
Instalacja Apache, PHP i MySQL w&nbsp;systemie Windows cz.3
Instalacja Certyfikatu SSL dla domeny
Wysłanie e-maila przy użyciu funkcji mail() z localhost
Znasz najprostszą poprawną strukturę dokumentu HTML5?
Angular URL bez hashtag

Starszy post <<

>> Nowszy post




5 komentarzy

  • Bartek4175 · 22 grudnia 2014 z 13:19

    A jak ma wyglądać cały plik .htacces z tym ? bo go usunąłem przypadkowo

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)

    Odpowiedz

  • anteny satelitarne gorzów wielkopolski · 27 sierpnia 2014 z 00:36

    Schludny blog! Czy Twój motyw robiłeś na zamówienie lub można go pobrać gdzieś Motyw?

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)

    Odpowiedz

    • Komentarz Admina RaVns · 17 grudnia 2014 z 21:04

      Dziękuję :) Cieszę się. Niestety ostatnio trochę czasu mało :(
      Był to szablon przerobiony z podobnego :)

      VN:F [1.9.22_1171]
      Rating: 0.0/5 (0 votes cast)
      VN:F [1.9.22_1171]
      Rating: 0 (from 0 votes)

      Odpowiedz

  • LaoHost · 30 listopada 2011 z 14:32

    Nie warto wykonywać żadnej z tych czynności „na ślepo”. Jeśli mamy dostęp do logów serwera (w panelu dostawcy hostingu zazwyczaj taki dostęp jest, lub czasami na koncie FTP), warto odnaleźć linijkę z opisem błędu.

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)

    Odpowiedz

    • Komentarz Admina RaVns · 30 listopada 2011 z 19:04

      Oczywiście w zupełności przyznaję rację :) Postaram się uzupełnić poradę o tą istotną informację.
      W głównej mierze, powyższe objaśnienia, co do błędu miały dotyczyć użytkowników WordPress’a, więc różnie to z dostępem do logów czy innych konfiguracji serwera.
      Dziękuję za radę :)

      VN:F [1.9.22_1171]
      Rating: 0.0/5 (0 votes cast)
      VN:F [1.9.22_1171]
      Rating: +1 (from 1 vote)

      Odpowiedz

Skomentuj :-)

*

Powered by RaVns


Unikalnych: odwiedzających!
Dziękuję za zainteresowanie :)