Melding in backend: escapeshellcmd() has been disabled

Kan iemand hier wat meer licht op werpen?

Sinds de laatste Joomla update (3.9.15) zie ik in verschillende sites in de backend de volgende php waarschuwing verschijnen (waarin xxx staat voor het domein van de site):

Warning: escapeshellcmd() has been disabled for security reasons in /home/xxx/domains/xxx/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php on line 1447

Deze waarschuwing verschijnt direct na het inloggen, als de pagina ververst wordt of je gaat naar een andere pagina, dan verdwijnt hij.

Afgaande op wat ik aan online informatie vind is er een goede reden waarom hosting providers escapeshellcmd() niet ingeschakeld willen hebben. Ook lees ik berichten waaruit in begrijp dat mailen vanuit een website beter via smtp kan gebeuren. En er zouden in het verleden problemen geweest zijn met de phpmailer library die met Joomla wordt meegeleverd maar dat zou opgelost moeten zijn omdat we intussen via de Joomla updates een nieuwe library hebben gekregen.

Op de sites die het betreft, werkt mailen via phpmailer gewoon goed (bijv. e-mail notificaties van webformulieren). Ik kan er dan ook na het lezen van deze info geen peil meer op trekken:

• Duidt deze waarschuwing nu op een probleem of kunnen we dit negeren?
• Is het beter om in Joomla het sturen van mails altijd in te stellen op de smtp methode (in het algemeen en omwille van deze waarschuwing)?
• Zijn er anderen die deze melding onlangs hebben gehad en wat hebben zij gedaan?

Ik kwam uit op de Github repo van phpmailer en daar werd gezegd dat het beter is om SMTP te gebruiken.

Ha Hans,

Bedankt voor je reactie. Goed om dit te weten - en tegelijkertijd geen fijn nieuws om dit te moeten aanpassen op een aantal sites

Frits

Hoi Hans,

Ik kwam uit op de Github repo van phpmailer en daar werd gezegd dat het beter is om SMTP te gebruiken.

Ik wil graag weten waarom SMTP beter is. Heb je misschien een link?

NB. Volgens mijn host maakt het geen verschil. Maar mis een goede onderbouwing.

Gr. Jan G.

Heel misschien: Check ook de php versie.

Om even terug te komen op de melding waarmee ik dit topic begon; op dit moment denk ik dat het zo zit:

escapeshellcmd() is een php functie die niet veilig (meer) is en daarom door de meeste hosters is uitgezet, ook op mijn server. In de Joomla installatie is één plek waar deze functie wordt aangeroepen en dat is niet in Joomla zelf maar in de phpmailer library die bij Joomla wordt meegeleverd, in het bestand class.phpmailer.php.

Als phpmailer de escapeshellcmd() probeert te gebruiken roept dat een php warning op, maar het is niet zo ernstig dat de werking (het verzenden van de mail) verstoord wordt.

We zien de melding vrijwel nooit, omdat:

• Het type mails dat via phpmailer verstuurd wordt komt meestal van een formulier of van een extensie die een notificatie afgeeft; processen waar we niet zelf met de neus bovenop staan;
• Meestal staat het tonen van php waarschuwingen uit.

Op de sites waarop ik de melding opmerkte was de situatie echter als volgt:

• De betreffende mails werden afgegeven door AdminTools, bijvoorbeeld bij inloggen in de backend of bij het wijzigen van instellingen; dat zijn handelingen waar we wel met de neus bovenop staan;
• De Error reporting stond op Simple, niet op None.

Door deze combinatie gebeurde het dat we de warning te zien kregen. Terwijl ik intussen vermoed dat deze melding je op elke Joomla site om de oren zal vliegen maar dan ziet niemand het.

Ik heb nog geen tijd genomen om te testen of het mailen via smtp nog verschill zal maken voor het wel of niet oproepen van deze warning.

Hoi Frits, in Joomla 3.9.17 zojuist uitgebracht is de PHPMailer geüpgraded naar de nieuwste versie. joomla.org nieuwste joomla update Zal dat een oplossing zijn?

Inmiddels 3.9.18

Ha Wim,

Eerlijk gezegd zie ik de melding net zo vrolijk weer terugkomen op een 3.9.18 site...

Frits

Ik wil graag weten waarom SMTP beter is. Heb je misschien een link?

NB. Volgens mijn host maakt het geen verschil. Maar mis een goede onderbouwing.

Gr. Jan G.

Mail verzonden met de PHPmailer wordt vaker gezien als spam en is dus onbetrouwbaarder (is mij verteld)