Sidebar
ein-/ausblenden

WK - .htaccess Passwortschutz

Plugin für WordPress SEO

Anzeige

Passwortgeschützer ZugriffMit .htaccess kan der Zugriff auf Ordner bzw. Websiten relativ sicher beschränkt werden. Die notwendigen Dateien sind schnell und einfach erstellt. Ich empfehle diesen Schutz für den beschriebenen Webmailer.

Voraussetzung für einen Passwortschutz mit .htaccess ist ein Webspace, der die Verwendung von .htaccess erlaubt. Bei den meisten kostenpflichtigen Anbietern ist das jedoch der Fall.
Um einen Ordner auf dem Webspace mit einem passwortgeschützten Zugriff zu versorgen, müssen zwei Dateien angelegt werden und in den Ordner kopiert werden, der geschützt werden soll.

  1. Dateiname (auf den Punkt vor dem Namen achten): .htaccess
  2. Dateiname (auf den Punkt vor dem Namen achten): .htpasswd

Inhaltlich sehen diese beiden Dateien so aus, wobei man mit .htaccess natürlich noch mehr machen kann und dies hier nur ein Beispiel ist:

  1. .htaccess 
    
# Kommentar
AuthUserFile /www/htdocs/12345/ordner/Adresse zur Passwortdatei/.htpasswd
AuthGroupFile /www/htdocs/12345/ordner/Adresse zur Passwortdatei/.htgroups
AuthName "Password Protected Area"
AuthType Basic
require user Frank Peter Heinz
require group Admin User

<limit GET POST>
require valid-user
</limit>
    • Mit Raute # lassen sich Kommentare in der Datei hinterlegen.
    • AuthUserFile gibt den Verweis zum Passwort-File an. Hier muss der absolute Pfad vom Server angegeben werden. Mit einer URL ist hier nichts zu erreichen. Den absoluten Pfad kann man mit Hilfe von php recht einfach heraus bekommen: 
      
<?php echo $_SERVER['DOCUMENT_ROOT']; ?>

      Tragt diese Zeile in eine php-Datei und ladet sie in den entsprechenden Ordner auf dem gewünschten Webspace. In der Ausgabe der Seite steht dann die absolute Adresse.

    • AuthGroupFile ist nicht nötig, kann aber verwendet werden, wenn viele Usergruppen auf den geschützten Webspace zugreifen sollen und man nicht jeden einzelnen User einarbeiten will.
    • AuthName beinhaltet den Text, der dann im Eingabefenster erscheint. Hier bietet sich eine Beschreibung an, die den geschützten Bereich näher erläutert.
    • AuthType sollte unverändert bleiben und beschreibt die Authentifizierung, das Ident, der Passwortdatei.
    • Mit require user werden die User bestimmt, die einen Zugang haben. Diese Zeile ist nicht unbedingt notwendig. Die Usernamen und die zugehörigen Passwörter stehen in der .htpasswd.
    • Bei der Verwendung von Usergruppen und AuthGroupFile (.htgroups) ist 
      require user notwendig und enthält die berechtigten User.
    • <limit GET POST> ist die Zugriffsberechtigung. In diesem Fall wird nur Post für zugelassene User erlaubt. Dies kann erweitert werden, beispielsweise für GET oder DELETE.
  2. .htpasswd 
    
Benutzername:Passwort(codiert)

    3. In der Passwortdatei stehen die Usernamen und ihre zugehörigen Passwörter, welches verschlüsselt ist. Der Doppelpunkt fungiert als Trennungszeichen. Alle User werden untereinander geschrieben. Die verschlüsselten Passwörter lassen sich mit Hilfe von Online-Tools sehr schnell erstellen.

Online-Tools und weiterführende Links:

Artikel #116, 9. Januar 2006 · Webküche · 15 Kommentare · Kommentar schreiben
Tags: , ,
read: 19631 · today: 6 · last: 18. März 2010
Kommentar-Feed zum Artikel · TrackBack URL

«
»

13 Kommentare und 2 Trackbacks zu „WK - .htaccess Passwortschutz“

  1. 1
    Kommentar von Tobias
    12. Januar 2007 um 02:37

    Hier empfehle ich ein simples Tool - das diese Arbeit abnimmt:

    HTGen 1.0
    -> http://svera-tools.de/download.php?id=16

    In der Verzeichnis, die der der Schutz rein soll, eine info.php mit kopieren; aufrufen; Webserver-Pfad heraussuchen und in HTGen einfügen - Dateien erzeugen, auf Webserver spielen und fertig ;)

  2. 2
    Kommentar von Volker
    25. März 2007 um 10:57

    Hallo Frank,
    mir ist aufgefallen,dass viele user - auch du - ihre Verzeichnisse (z.B. Plugins; also http://bueltge.de/wp-content/plugins/ ) schützen. Dann kommt die Meldung: "Forbidden

    You don't have permission to access /wp-content/plugins/ on this server."

    Ich bekomme das aber nicht hin. Wenn ich das Verzeichnis schützen will, kann ich die Plugins gar nicht mehr benutzen. Sie funktionieren dann nicht mehr.
    Kannst du mir da weiterhelfen? Ich mache da wohl einiges falsch.

    Vielen Dank
    Volker

  3. 3
    Kommentar von Frank Bültge
    26. März 2007 um 07:08

    Hallo Volker,
    den einzigen "Schutz", denn ich hinzerlege, ist eine robots.txt - die im Root liegt und die Suchmaschinen aussprerrt.

  4. 4
    Kommentar von Volker
    26. März 2007 um 19:59

    Hallo noch einmal,
    aber wie kommt es dann, dass man auf mein PLUGIN Verzeichnis dann zugreifen kann und bei dir eine Meldung kommt? (Forbidden

    You don't have permission to access /wp-content/plugins/ on this server.)
    Das verstehe ich jetzt überhaupt nicht?

  5. 5
    Kommentar von Frank Bültge
    26. März 2007 um 22:37

    Ich denke mal, dass mein Webhoster alle Verzeichnisse, die nicht über eine index.* verfügen als "Forbidden" ausgibt.

  6. 6
    Kommentar von Volker
    27. März 2007 um 06:54

    Guten Morgen,
    ahh..das macht Sinn. Ich kann mich ja mal mit meinem Webhoster in Verbindung setzen. Habe es jetzt vorher so gelöst, dass nur eine weiße index- Seite erscheint.
    Klappt auch ..
    Vielen Dank für die Infos. Da hätte ich ja noch lange Suchen können :roll:

  7. 7
    Pingback von WK - Schlanker Webmailer, crackerMail (de) (Freeware) | bueltge.de [by:ltge.de]
    3. Juli 2007 um 09:05
  8. 8
    Pingback von Sicherheit / WordPress absichern
    19. Mai 2008 um 16:20
  9. 9
    Kommentar von Rene`
    22. September 2009 um 03:56

    Vielleicht kannst Du mir helfen. Wenn ich mich ins wp-admin einloggen möchte kommt natürlich die htaccess Abfrage. Wenn ich jedoch 2x mal auf abbrechen klicke - komm ich trotzdem auf die Login Seite.

    Das Phänomen tritt aber nur auf bei dem Schutz des Ordners wp-admin. Bei meinen anderen htaccess geschützten Orden ist das Problem nicht.

    Bräuchte einen Ratschlag - Bitte.

  10. 10
    Kommentar von Arnold
    15. Oktober 2009 um 23:35

    Hallo Frank
    Kann ich mit diesen beiden Dateien eine einzelne Seite in Wordpress schützen und wo kommen diese hin?
    # .htaccess
    # .htpasswd
    Danke für eine Hinweis

  11. 11
    Kommentar von Frank Bültge
    16. Oktober 2009 um 11:59

    @Arnold: ja, das geht. Dazu muss aber explizit diese URl der einen Seite geschützt werden, die Files gehören in das Root der Install, dort wo die wp-config.php ist. Allerdings kann WordPress auch Passwörter für Seiten vergeben, eventuell ist das die bessere Lösung für dich.

  12. 12
    Kommentar von Arnold
    16. Oktober 2009 um 12:13

    Frank. Das wäre eigentlich mein Ziel. Verschiedene Passwörter für eine Seite zu vergeben, ohne Benutzerverwaltung d.h. ohne Login im Frontend. Leider lässt WP nur ein Passwort zu (Sichtbarkeit: passwortgeschützt).

  13. 13
    Kommentar von Frank Bültge
    16. Oktober 2009 um 13:53

    @Arnold: nochmal; "ohne Login im Frontend" - wie meinst du das, ich dachte die User sollen nur Zugriff bekommen, wenn sie ein Login im Frontend nutzen.

  14. 14
    Kommentar von Arnold
    16. Oktober 2009 um 14:56

    Ich möchte es vermeiden, Benutzer mit div. Rechten einzurichten. Am liebsten wäre mir eine Erweiterung der einfachen Passwort-Eingabe, wie WP das bereits für Beiträge/Seiten anbietet (sichtbarkeit: öffentlich - passwortgeschützt - privat). Leider lässt sich hier nur ein Passwort einrichten. Ich würde gerne eine Liste von verschiedenen PW eingeben, die ich dann einzelnen Besuchern zuteilen würde und dann wieder aus der Liste löschen, wenn der jeweilige Besucher den Inhalt der Seite nicht mehr sehen darf. Ich hoffe, es ist jetzt etwas klarer. Gruss Arnold. PS: ich benütze WP als Website, nicht als Blog. Auf meinem Web ist unter "Login" rechts oben eine geschützte Seite eingerichtet.

  15. 15
    Kommentar von Frank Bültge
    28. Oktober 2009 um 17:01

    @Arnold: ja, ist nun klar. Eventuell kann man die Funktion aufbohren, habe ich aber noch nie gemacht und daher keine Lösung parat.

Überlastung, Kommentare sind vorübergehend geschlossen

Ich bin urlaubsreif, ersticke in Arbeit und damit auch für die Leser des Weblogs nicht zu erreichen. Bitte geduldet euch ein wenig mit Supportanfragen.
Leider muss ich die Kommentarfunktion deaktivieren, ansonsten würde ich weiter in Arbeit ersticken oder die Anfragen nicht nach bestem Gewissen beantworten.

Vielen Dank für das Verständnis!