verzeichnis

Verzeichnisschutz mittels
bplacedlive access

SVG-Bild (44 KB), Pettycon

bplacedlive access ist der Verzeichnisschutz für alles was auf dem Server ist. Das ist also direkt vom Webspace aus zu nützen. Die Erstellung geschieht dort mit ein paar Klicks automatisch. Der 'Verzeichnisschutz' erfolgt durch eine Regel in der .htaccess-Datei und diese leitet in die .htpasswd-Datei zur Passwortabfrage.

  • Zur Einführung geht es um den Schutz für das CMS (Backend). Mithin ist das für Websites geeignet, welche keine Registrierung und damit auch kein Log-in für Nutzer anbietet.
  • Anschließend ist eine kurze Erläuterung im Zusammenhang 'Verzeichnisschutz' und der .htaccess-Regeln. Diese welche sind zur Sicherheit des Webspace wie Backend.
  • Im Folgenden wie das mit bplacedlive access zu erstellen ist und worauf acht zu geben ist.

Was ist der Verzeichnisschutz

Der Name WordPress ist als bspw. zur analogen Doku.

Bspw. ist hier das CMS WordPress. Dort gibt es auf das Verzeichnis wp-admin viele Brute-Force-Angriffe. Freilich mit einem Plug-in, wie Limit-Login-Attemts, ist dessen Einhalt zu geben. Dennoch ist es effizienter, diese Anfragen mit dem 'Verzeichnisschutz' vorab zu blockieren und hiermit einzuschränken. Ohne fehlerhafte Log-ins sinken auch die Anfragen an den Server. Es erfolgt nämlich die Abfrage eines Passworts, um zum WP-Log-in zu gelangen. Wie schon angemerkt, insoweit für die Nutzer der Website keine Registrierung angeboten ist. Somit ist auch kein weiteres Log-in für Nutzer da. … Also das Sperren des Ordners wp-admin macht hiermit, SinN.

Allerdings brauchen einige Plug-ins den Zugriff auf den Ordner wp-admin; und dieser leitet dann automatisch zur Datei wp-login.php. Darum ist die wp-login.php auch mit einer .htpasswd-Datei abzusichern. Zufolge ist es dadurch auch sauberer. Denn ohne die wp-login.php miteinbeziehen, ist des Verzeichnisschutzes zwar die selbe Anmeldemaske, doch im Hintergrund ist die WP-Log-in Seite ohne CSS sichtbar. Der Zugang von hier aus zur Anmeldeseite ist aber ohne des Passworts vom Verzeichnisschutz nicht möglich.

Verzeichnisschutz  und
.htaccess-Regeln zur Sicherheit

Der Frage, wie ist das mit dem 'Verzeichnisschutz' und die üblichen Sicherheitsregeln für die .htaccess-Datei? – die Antwort ist hier kurz ausgeführt.

Mit dem 'Verzeichnisschutz' ist in erster Linie dort das Verzeichnis abgesichert, in dessen Verzeichnis der Schutz ist. Wenn also der Verzeichnisschutz im ersten Verzeichnis ist, sind auch deren Dateien und die darunter liegenden Verzeichnisse geschützt. Somit können ohne korrekte Passworteingabe keine weiteren Aktivitäten stattfinden. Etwaige Regeln zur Sicherheit in der .htaccess sind somit auch in deren Verzeichnisse hinfällig.

Auf geht’s!

bplacedlive access Verzeichnisschutz

Anmeldung auf bplacedlive access und die Schaltfläche Verzeichnisschutz anklicken, somit erfolgt:

  1. Verzeichnisschutz: Name des Schutzes, individuell.
  2. Benutzer erstellen: Benutzername, individuell, und
    • Passwort, welches in Vorbereitung erstellt und kräftig sein sollte.
  3. Verzeichnisschutz erstellen anklicken.

Der Erstellung in dessen Order bzw. Verzeichnis befindet sich somit die Datei .htpasswd. Dazu eine neue .htaccess-Datei. Je nachdem von bereits bestehenden .htaccess ist die htaccess-Regel zur .htpasswd angefügt.

Hinweis: Mit anklicke Schutz entfernen würde die sofortige Löschung des Verzeichnisschutzes erfolgen.

Des Weiteren im Detail:

Erstens der Verzeichnisschutz für Ordner wp-admin

Der Verzeichnisschutz für das Verzeichnis wp-admin ist in dessen Ordner zu erstellen. Mithin sind alle Dateien in diesem Ordner geschützt. Die Erteilung hierfür ergeht, wie oben beschrieben, über bplacedlive access automatisch.

Zweitens der Verzeichnisschutz für die Datei wp-login.php

Die Datei wp-login.php ist im Überverzeichnis von wp-admin. Daher ist hier im Ordner wordpress auch ein eigener Verzeichnisschutz anzulegen. Im selben Verzeichnis wordpress wird bereits eine .htaccess vorhanden sein. Mit bplacedlive access ergeht derselben .htaccess die automatische Erstellung der htaccess-Regel zur Erteilung des Verzeichnisschutzes:

AuthType Basic
require valid-user
AuthName "Nahme des Verzeichnisschutz"
AuthUserFile /users/deinusername/www/wordpress/.htpasswd

Im Verzeichnis wordpress sind hierdurch alle Dateien und Ordner integriert. Somit ist ohne Benutzername und Kennwort alleinig der Besuch der Website nicht möglich. Daher ist im Verzeichnis wordpress der .htaccess-Datei die htaccess-Regel mit FilesMatch*  <Files wp-login.php>…</Files> zu editieren. FilesMatch leitet die Regel nur auf die wp-login.php:

* Using FilesMatch and Files in htaccess

<Files wp-login.php>
AuthType Basic
require valid-user
AuthName "bspw.security"
AuthUserFile /users/deinusername/www/wordpress/.htpasswd
</Files>