verzeichnis

Verzeichnisschutz mittels
bplacedlive access

SVG-Bild (44 KB), Pettycon

Mit bplacedlive access ist der Verzeichnisschutz belieben Anspruch am Webspace zu nĂŒtzen. Die Erstellung geschieht mit ein paar Klicks automatisch. Der 'Verzeichnisschutz' erfolgt durch eine Regel in der .htaccess-Datei und diese leitet in die .htpasswd-Datei zur Passwortabfrage.

  • Zur EinfĂŒhrung geht es mit Beispiels CMS um weiteren Schutz fĂŒr das Backend. Mithin ist dies fĂŒr Websites geeignet, welche keine Registrierung und damit auch kein Log-in fĂŒr Nutzer anbietet.
  • Anschließend eine kurze ErlĂ€uterung im Zusammenhang 'Verzeichnisschutz' und der htaccess-Regeln zur Sicherheit des Webspace wie Backend.
  • Im Folgenden ist eine Beschreibung, wie welches mit bplacedlive access zu erstellen ist und worauf Acht zu geben ist.

Was ist der Verzeichnisschutz

Name WordPress zur analogen Doku.

Bspw. CMC WordPress, dort gibt es auf das Verzeichnis wp-admin viele Brute-Force-Angriffe. Freilich mit einem Plug-in, wie Limit-Login-Attemts, ist dessen Einhalt zu geben. Dennoch ist es effizienter, diese Anfragen mit dem 'Verzeichnisschutz' vorab zu blockieren und hiermit einzuschrĂ€nken. Ohne fehlerhafte Log-ins sinken auch die Anfragen an den Server. Um zum WP-Log-in zu gelangen, erfolgt nĂ€mlich die Abfrage eines Passworts. Wie angemerkt, insoweit fĂŒr Nutzer keine Registrierung möglich ist und damit auch kein weiteres Log-in fĂŒr seine Nutzer angeboten ist. Also das Sperren des Ordners wp-admin macht hiermit, SinN.

Einige Plug-ins brauchen allerdings Zugriff auf den Ordner wp-admin, und dieser leitet automatisch zur Datei wp-login.php. Somit ist die wp-login.php auch mit einer .htpasswd-Datei abzusichern. Zufolge ist es dadurch auch sauberer. Denn ohne die wp-login.php miteinbeziehen, ist des Verzeichnisschutzes zwar selbe Anmeldemaske, doch im Hintergrund ist die WP-Log-in Seite ohne CSS sichtbar. Auf diese Anmeldeseite kommt man ohne des Passworts vom Verzeichnisschutz indes nicht.

Verzeichnisschutz  und
.htaccess-Regeln zur Sicherheit

Der Frage, wie ist das mit dem 'Verzeichnisschutz' und die ĂŒblichen Sicherheitsregeln fĂŒr die .htaccess-Datei? – die Antwort ist hier kurz ausgefĂŒhrt.

Mit dem 'Verzeichnisschutz' ist in erster Linie dort das Verzeichnis abgesichert, in dessen Verzeichnis der Schutz erstellt ist. Bspw. wenn der Verzeichnisschutz im ersten Verzeichnis ist, sind deren Dateien und die darunter liegenden Verzeichnisse geschĂŒtzt. Somit können ohne korrekte Passworteingabe keine weiteren AktivitĂ€ten stattfinden. Daher sind in deren Verzeichnisse die htaccess-Regeln zur Sicherheit hinfĂ€llig.

bplacedlive access Verzeichnisschutz

Anmeldung auf bplacedlive access und die SchaltflÀche Verzeichnisschutz anklicken, somit erfolgt:

  1. Verzeichnisschutz: Name des Schutzes, individuell.
  2. Benutzer erstellen: Benutzername, individuell, und
    • Passwort, welches in Vorbereitung erstellt und krĂ€ftig sein sollte.
  3. Verzeichnisschutz erstellen anklicken.

Der Erstellung in dessen Order bzw. Verzeichnis befindet sich somit die Datei .htpasswd. Dazu eine neue .htaccess-Datei. Je nachdem von bereits bestehenden .htaccess ist die htaccess-Regel zur .htpasswd angefĂŒgt.

Anklicke Schutz entfernen erfolgt sofortige Löschung des Verzeichnisschutzes.

Des Weiteren im Detail:

Erstens der Verzeichnisschutz fĂŒr Ordner wp-admin

Der Verzeichnisschutz fĂŒr das Verzeichnis wp-admin ist in dessen Ordner zu erstellen. Mithin sind alle Dateien in diesem Ordner geschĂŒtzt. Die Erteilung hierfĂŒr ergeht, wie oben beschrieben, ĂŒber bplacedlive access automatisch.

Zweitens der Verzeichnisschutz fĂŒr die Datei wp-login.php

Die Datei wp-login.php ist im Überverzeichnis von wp-admin. Daher ist hier im Ordner wordpress auch ein eigener Verzeichnisschutz anzulegen. Im selben Verzeichnis wordpress wird bereits eine .htaccess vorhanden sein. Mit bplacedlive access ergeht derselben .htaccess die automatische Erstellung der htaccess-Regel zur Erteilung des Verzeichnisschutzes:

AuthType Basic
require valid-user
AuthName "Nahme des Verzeichnisschutz"
AuthUserFile /users/deinusername/www/wordpress/.htpasswd

Im Verzeichnis wordpress sind hierdurch alle Dateien und Ordner integriert. Somit ist ohne Benutzername und Kennwort alleinig der Besuch der Website nicht möglich. Daher ist im Verzeichnis wordpress der .htaccess-Datei die htaccess-Regel mit FilesMatch*  <Files wp-login.php>
</Files> zu editieren. FilesMatch leitet die Regel nur auf die wp-login.php:

* Using FilesMatch and Files in htaccess

<Files wp-login.php>
AuthType Basic
require valid-user
AuthName "bspw.security"
AuthUserFile /users/deinusername/www/wordpress/.htpasswd
</Files>

Feedback zum Beitrag