Skip to main content

“Invalid token” cercando di accedere al pannello amministratore di Joomla

Vi capita di ricevere un messaggio di errore “Invalid Token” quando cercate di accedere al pannello di amministrazione di Joomla?

La soluzione è molto semplice: basta aver pazienza.

Vediamo perchè.

Cos’è un token?

E’ un codice di sicurezza.

Qualsiasi form presente su qualsiasi sito potrebbe essere abusata da malintenzionati, che con appositi script la compilano e inviano in automatico.

Questo automatismo fa si, ad esempio, che possa essere inviata molte volte in rapida successione e ripetere molte volte le sue operazioni (ad esempio l’invio di una e-mail).

Per evitare questo, ogni volta che un componente Joomla (perlomeno. un componente ben fatto) genera una form aggiunge un codice casuale.

Alla sottomissione della form il server controlla che il token corrisponda con quello che ha rilasciato poco prima.

In ogni caso, dopo la verifica lo cancella per evitare che venga usato una seconda volta.

Quindi un token può essere usato una volta sola.

Facciamo gli hacker

Per simulare l’errore “Invalid Token”, fate cosi:

  • andate sulla pagina “/administrator” del vostro sito Joomla, dove vi viene richiesto username e password
  • inserite i vostri dati
  • cliccate sul pulsante di login e un istante dopo, prima che la form sia sparita, cliccate nuovamente
  • invariabilmente, otterrete l’errore “Invalid Token”

In altre parole, per evitare l’errore è sufficiente aspettare che la pagina si carichi.

Comunque può anche succedere che clicchiamo una seconda volta perchè convinti che il primo clic non sia stato recepito.

In qualsiasi caso, l’errore non è grave: basta ridigitare “/administrator” nell’indirizzo del browser e ci ritroveremo già collegati.

E gli altri componenti?

L’errore potrebbe succedere anche usando altri componenti, e non solo cercando di accedere al backend.

In tal caso, il comportamento corretto da tenere può variare da browser a browser, ma il nostro suggerimento è:

  • non aggiornare la pagina, dato che alcune informazioni vengono reinviate e rischiate di avviare nuovamente operazioni che sono già state svolte
  • cliccate invece sul pulsanti “Vai” del browser; solitamente a questo punto il redirect è già attivo e potete aprire la pagina di conclusione dell’operazione
  • nel dubbio, ripartite dalla home page del sito o del backend cancellando tutto quanto viene dopo “index.php”