Ihr Warenkorb ist leer

Anleitung Passwortschutz über .htaccess

In dieser Anleitung wird erklärt, wie Sie ein Verzeichnis auf einem Apache-Webserver sperren und über einen Passwortschutz nur für bestimmte Benutzer freigeben können. Dies kann in mehreren Fällen sinnvoll sein:

  • Sie können Ihre gesamte Webseite vor dem Zugriff von Suchmaschinen-Bots schützen, um eine Indexierung zu verhindern. Das sollten Sie machen, solange Sie eine neue Webseite online erstellen oder solange Sie größere Änderungen an einer Webseite vornehmen.
  • Empfehlenswert ist solch ein Passwortschutz aber auch als permanenter vorgeschalteter Schutz für das administrator-Verzeichnis von Joomla (Backend). Hierdurch wird es potentiellen Angreifern deutlich erschwert, eine Webseite zu hacken. Bei einer Falscheingabe der Zugangsdaten blockiert bereits der Server die Anzeige der Login-Maske des Joomla-Backends.
  • Sie können aber auch einfach nur Verzeichnisse schützen, welche Daten beinhalten, auf die nicht jeder zugreifen soll. Das können beispielsweise Download-Verzeichnisse oder Verzeichnisse mit schützenswerten Daten sein.

 

Einrichtung des Passwortschutzes


Für die Einrichtung werden 2 Dateien benötigt: .htpasswd und .htaccess

Wichtig:
1. Vor den Dateinamen muss zwingend ein Punkt stehen und die Dateien dürfen keine Dateiendung haben!
2. Da mit diesen Dateien die Server-Konfiguration beeinflusst wird, ist deren Einsatz nicht unbedingt erlaubt. Fragen Sie am besten Ihren Hoster, ob Sie diese Dateien einsetzen dürfen! 

Während die .htaccess in das zu schützende Verzeichnis gelegt wird und die eigentliche Aufgabe des Passwortschutzes übernimmt, enthält die .htpasswd eine Liste der möglichen Benutzer, die auf das Verzeichnis zugreifen dürfen. In der .htaccess muss zwingend der Pfad zur .htpasswd enthalten sein.

Zum Erstellen und Bearbeiten der beiden Dateien verwenden Sie am besten einen Texteditor wie Notepad++ , PSPad oder ähnliche.

Erstellung der .htpasswd

In der .htpasswd werden alle Benutzer- und Passwortdaten hinterlegt. Pro Zeile stehen jeweils 1 Benutzer und sein Passwort in verschlüsselter Fom. Es können mehrere Benutzer angelegt werden. Führen Sie folgende Schritte aus:

  • Erstellen Sie zunächst die .htpasswd!
  • Zur Generierung der verschlüsselten Daten empfiehlt sich die Anwendung eines Online-Generators. Beispielsweise:
    Online-Generator
    Als Verschlüsselungsmethode wählen Sie "md5"!
    Verwenden Sie niemals die gleichen Zugangsdaten wie die zum Joomla-Backend!
  • Tragen Sie die generierten Benutzer- und Passwortdaten in die .htpasswd ein (1 Zeile je Benutzer)!
    testuser1:$1$Ztmml~QL$lq6xQ1jBmxda3/rH0mJNM.
    testuser2:$1$faiNPDdJ$zNKFTy/lVbtWVZVLpKayl1
    testuser3:$1$Pm{[`LYF$AxAnh3pN668TzPKq7Cnnb/
  • Die .htpasswd muss nun auf den Webserver hochgeladen werden!

Wichtig:
Im Gegensatz zur .htaccess sollte die .htpasswd mit den Zugangsdaten aus Gründen der Sicherheit nicht in das zu schützende Verzeichnis oder eines seiner Unterverzeichnisse gelegt werden!

Erstellung der .htaccess

Die eigentliche Aufgabe des Passwortschutzes wird von der .htaccess übernommen. Sie schützt nicht nur das Verzeichnis, in welchem sie liegt, sondern auch dessen Unterverzeichnisse. Führen Sie folgende Schritte aus:

  • Erstellen Sie die .htaccess!
    Hinweis: Möchten Sie die gesamte Joomla-Webseite schützen, dann können Sie auf die Erstellung möglicherweise verzichten! Denn meist existiert im Joomla-Root bereits eine .htaccess. In diesem Fall müssen Sie diese einfach nur ergänzen, indem Sie den folgenden Code ganz oben eintragen!
  • Als nächstes tragen Sie folgenden Code in die erstellte oder bereits vorhandene .htaccess ein:
    AuthType Basic
    AuthName "Passwortgeschützter Bereich"
    AuthUserFile /pfad/zur/datei/.htpasswd
    Require valid-user

    Wichtig: Im Code muss der absolute Pfad zur .htpasswd angegeben werden, damit die Benutzerdaten auch gefunden werden. Ansonsten ist der Zugriff auf die Webseite oder das Verzeichnis nicht mehr möglich. Bei der Pfadangabe werden die meisten Fehler gemacht.
  • Die .htaccess muss nun in das zu schützende Verzeichnis hochgeladen werden, sofern Sie nicht schon vorhanden ist!


Beim Aufrufen Ihrer Webseite bzw. des Verzeichnisses im Browser erscheint nun die Abfrage seitens des Webservers für einen Benutzernamen und ein Passwort. Geben Sie diese Zugangsdaten korrekt ein, so wird die Webseite angezeigt bzw. der Zugriff auf das Verzeichnis erlaubt. Bei falschen Zugangsdaten erscheint die Abfrage erneut.

Bitte beachten Sie!
Es macht einen Unterschied, ob Sie eine Webseite bzw. ein Verzeichnis über http oder https aufrufen. Rufen Sie beispielsweise Ihr abgesichertes Backend über http auf, dann erscheint zunächst die Abfrage. Anschließend leitet der Server von http auf https weiter und es erscheint erneut die Abfrage. Nach erneuter korrekter Eingabe wird die Login-Maske für das Backend angezeigt.
Rufen Sie hingegen das Backend direkt über https auf, dann erscheint die Abfrage nur ein einziges Mal.

 

Deaktivierung / Entfernung des Passwortschutzes


Kurzzeitige Deaktivierung

Möchten Sie den Passwortschutz kurzzeitig aufheben, so brauchen Sie lediglich die .htaccess in htaccess.txt umbenennen. Haben Sie jedoch eine bereits vorhandene .htaccess im Joomla-Root um die nötigen Zeilen ergänzt, dürfen Sie die .htaccess nicht umbenennen, da ansonsten auch die anderen Anweisungen nicht mehr vom Server abgearbeitet werden können. In diesem Fall setzen Sie die für den Passwortschutz ergänzten Zeilen einfach als Kommentar, indem Sie an den Zeilenanfang jeweils eine # setzen!

Permanente Entfernung des Passwortschutzes

Um den Schutz gänzlich zu entfernen, löschen Sie einfach die erzeugten Dateien .htaccess und .htpasswd vom Server. Hatten Sie jedoch eine schon vorher existierende .htaccess lediglich um die nötigen Zeilen ergänzt, dann löschen Sie einfach die ergänzten Zeilen wieder aus der Datei. In diesem Fall dürfen Sie die .htaccess nicht löschen, da ansonsten auch die anderen Anweisungen nicht mehr vom Server abgearbeitet werden können.

Anmerkungen

Alle angegebenen Preise sind in Euro und enthalten die gesetzliche deutsche MwSt. von derzeit 19%. Die Angebote richten sich an Kunden in Deutschland. Der Endpreis kann sich nach Eingabe der Rechnungsinformationen ändern, beispielsweise wenn die Bestellung als Unternehmen erfolgt. Die Preise beziehen sich auf das Erstellen der Quickstart-Pakete.
Mehr

Siwecos

Joominator.de gehört nicht zu The Joomla! Project ™ und wird auch nicht durch dieses unterstützt. Die Verwendung des Joomla!® -Namens, -Symbols, -Logos und der zugehörigen Marken ist im Rahmen einer von Open Source Matters, Inc. gewährten beschränkten Lizenz gestattet.
Joominator.de is not affiliated with or endorsed by The Joomla! Project™. Use of the Joomla!® name, symbol, logo and related trademarks is permitted under a limited license granted by Open Source Matters, Inc.

Joomla Logo