Verzeichnisschutz mittels
bplacedlive access

SVG-Bild (44 KB), Pettycon

Mit bplacedlive access ist der Verzeichnisschutz belieben Anspruch am Webspace zu nützen. Die Erstellung geschieht mit ein paar Klicks automatisch. Der 'Verzeichnisschutz' erfolgt durch eine Regel in der .htaccess-Datei und diese leitet in die .htpasswd-Datei zur Passwortabfrage.

  • Zur Einführung geht es mit Beispiels CMS um weiteren Schutz für das Backend. Mithin ist dies für Websites geeignet, welche keine Registrierung und damit auch kein Log-in für Nutzer anbietet.
  • Anschließend eine kurze Erläuterung im Zusammenhang 'Verzeichnisschutz' und der htaccess-Regeln zur Sicherheit des Webspace wie Backend.
  • Im Folgenden ist eine Beschreibung, wie welches mit bplacedlive access zu erstellen ist und worauf Acht zu geben ist.

Was ist der Verzeichnisschutz

Name WordPress zur analogen Doku.

Bspw. CMC WordPress, dort gibt es auf das Verzeichnis wp-admin viele Brute-Force-Angriffe. Freilich mit einem Plug-in, wie Limit-Login-Attemts, ist dessen Einhalt zu geben. Dennoch ist es effizienter, diese Anfragen mit dem 'Verzeichnisschutz' vorab zu blockieren und hiermit einzuschränken. Ohne fehlerhafte Log-ins sinken auch die Anfragen an den Server. Um zum WP-Log-in zu gelangen, erfolgt nämlich die Abfrage eines Passworts. Wie angemerkt, insoweit für Nutzer keine Registrierung möglich ist und damit auch kein weiteres Log-in für seine Nutzer angeboten ist. Also das Sperren des Ordners wp-admin macht hiermit, SinN.

Einige Plug-ins brauchen allerdings Zugriff auf den Ordner wp-admin, und dieser leitet automatisch zur Datei wp-login.php. Somit ist die wp-login.php auch mit einer .htpasswd-Datei abzusichern. Zufolge ist es dadurch auch sauberer. Denn ohne die wp-login.php miteinbeziehen, ist des Verzeichnisschutzes zwar selbe Anmeldemaske, doch im Hintergrund ist die WP-Log-in Seite ohne CSS sichtbar. Auf diese Anmeldeseite kommt man ohne des Passworts vom Verzeichnisschutz indes nicht.

Verzeichnisschutz  und
.htaccess-Regeln zur Sicherheit

Der Frage, wie ist das mit dem 'Verzeichnisschutz' und die üblichen Sicherheitsregeln für die .htaccess-Datei? – die Antwort ist hier kurz ausgeführt.

Mit dem 'Verzeichnisschutz' ist in erster Linie dort das Verzeichnis abgesichert, in dessen Verzeichnis der Schutz erstellt ist. Bspw. wenn der Verzeichnisschutz im ersten Verzeichnis ist, sind deren Dateien und die darunter liegenden Verzeichnisse geschützt. Somit können ohne korrekte Passworteingabe keine weiteren Aktivitäten stattfinden. Daher sind in deren Verzeichnisse die htaccess-Regeln zur Sicherheit hinfällig.

bplacedlive access Verzeichnisschutz

Anmeldung auf bplacedlive access und die Schaltfläche Verzeichnisschutz anklicken, somit erfolgt:

  1. Verzeichnisschutz: Name des Schutzes, individuell.
  2. Benutzer erstellen: Benutzername, individuell, und
    • Passwort, welches in Vorbereitung erstellt und kräftig sein sollte.
  3. Verzeichnisschutz erstellen anklicken.

Der Erstellung in dessen Order bzw. Verzeichnis befindet sich somit die Datei .htpasswd. Dazu eine neue .htaccess-Datei. Je nachdem von bereits bestehenden .htaccess ist die htaccess-Regel zur .htpasswd angefügt.

Anklicke Schutz entfernen erfolgt sofortige Löschung des Verzeichnisschutzes.

Des Weiteren im Detail:

Erstens der Verzeichnisschutz für Ordner wp-admin

Der Verzeichnisschutz für das Verzeichnis wp-admin ist in dessen Ordner zu erstellen. Mithin sind alle Dateien in diesem Ordner geschützt. Die Erteilung hierfür ergeht, wie oben beschrieben, über bplacedlive access automatisch.

Zweitens der Verzeichnisschutz für die Datei wp-login.php

Die Datei wp-login.php ist im Überverzeichnis von wp-admin. Daher ist hier im Ordner wordpress auch ein eigener Verzeichnisschutz anzulegen. Im selben Verzeichnis wordpress wird bereits eine .htaccess vorhanden sein. Mit bplacedlive access ergeht derselben .htaccess die automatische Erstellung der htaccess-Regel zur Erteilung des Verzeichnisschutzes:

AuthType Basic
require valid-user
AuthName "Nahme des Verzeichnisschutz"
AuthUserFile /users/deinusername/www/wordpress/.htpasswd

Im Verzeichnis wordpress sind hierdurch alle Dateien und Ordner integriert. Somit ist ohne Benutzername und Kennwort der Besuch der Website nicht möglich. Daher ist im Verzeichnis wordpress der .htaccess-Datei die htaccess-Regel mit FilesMatch*  <Files wp-login.php>…</Files> zu editieren. FilesMatch leitet die Regel nur auf die wp-login.php:

* Using FilesMatch and Files in htaccess

<Files wp-login.php>
AuthType Basic
require valid-user
AuthName "bspw.security"
AuthUserFile /users/deinusername/www/wordpress/.htpasswd
</Files>