• Es gibt nach dem Softwareupdate eine Reihe von Änderungen und Neuerungen in unserem Forum. Genaueres dazu findet Ihr in dieser Ankündigung. Hinweise, Kritik, Anregungen, Lob und Tadel bitte hier diskutieren.

Verzeichnis-Schutz mit .htaccess/.htpasswd

Thobie

Empire
Mitglied seit
22.01.09
Beiträge
88
Moin,

wenn dies nicht das richtige Forum ist, dann verschiebt mich bitte in das passende oder teilt mir mit, wo ich das Thema am besten veröffentlichen kann.

Ich verwalte vier eigene Websites/Blogs, die ich mit einem doppelten Passwort-Schutz versehen habe.

Einmal der Ordner, in dem das jeweilige Blog liegt, auf dem Webspace des Providers. Zum anderen das eigentliche Backend.

Dazu habe ich jeweils eine .htaccess und eine .htpassword erstellt und in den jweiligen Ordner mit dem Blog gelegt.

Das funkioniert bei meinem Provider Strato auch gut. Zugang zum Ordner auf dem Webspace mit Zugangsdaten. Dann Zugang zum Backend mit Zugangsdaten. Zugang zum Frontend natürlich frei und ohne Zugangsdaten. Soweit alles korrekt.

Nun richte ich gerade ein neues Blog für einen Kunden unter https://www.asp-hamburg.de ein. Der Kunde hat einen Tarif und Webspace bei 1&1.

Nun, auch hier, eine .htaccess und eine .htpasswd im Ordner, der das Blog enthält. Nur ist hier der folgende Fall: Zugang zum Ordner auf dem Webspace mit Zugangsdaten. Zugang zum Backend mit Zugangsdaten. Aber aufgrund des doppelten Passwort-Schutzes geht auch der Zugang für Besucher zum Frontend nur mit den Zugangsdaten für den Ordner. Das ist natürlich grober Unfug.

Laut Support bei 1&1 ist das nicht anders einrichtbar. .htaccess und .htpasswd im Ordner mit dem Blog bedingen Zugang mit Zugangsdaten für das Backend UND das Frontend.

Strato zeigt jedoch, dass es anders und eben auch korrekt geht.

Laut Support von 1&1 könnte ich nur den Verzeichnispfad in der .htaccess z.B. zum Ordner wp-admin mit dem Zugang zum Backend ändern. Dann wären beim Frontend keine Zugangsdaten notwendig. Es wären dann aber nur die Dateien im Ordner wp-admin geschützt, nicht die anderen Dateien und Ordner des Blogs. Völliger Unsinn.

1&1 propagiert dagegen sein eigenes Produkt SiteLock zum Schutz vor Hackern und möchte das verkaufen.

Ist das, was mir der Support von 1&1 sagt, korrekt oder kann ich das Problem beheben, um doppelten Passwort-Schutz für Ordner und Backend zu haben, jedoch freien Zugang zum Frontend?

Oder kann ich meinem Kunden nur empfehlen, den Provider zu wechseln? Ich will für die Daten meines Kunden unbedingt doppelten Passwort-Schutz haben. Denn das Blog eines anderen Kunden wurde vor einigen Monaten mit einfachem Passwort-Schutz gehackt und Weiterleitungs-Links zu Spam-Seiten in die Datenbank implementiert.

Ich wünsche einen schönen Feierabend.

Grüße aus Hamburg

Thobie
 

Wuchtbrumme

Kasseler Renette
Mitglied seit
03.05.10
Beiträge
12.081
ein passenderes Forum wäre was Einschlägiges zu Apache, Webserveradministration oder ggfls. auch Wordpress.

Wenn Du eine .htaccess auf Dein Rootverzeichnis legst, klar ist dann auch für public user das Frontend gesperrt. Natürlich kann man da allerhand einstellen, z.B. IP-Ranges whitelisten - schau doch mal, was Du das bisher in den funktionierenden Lösungen reingeschrieben hast. Meiner Vermutung nach müsste da was gewhitelistet sein oder der Schutz gilt eh nur für Unterverzeichnisse.
 

Thobie

Empire
Mitglied seit
22.01.09
Beiträge
88
Moin, Wuchtbrumme,

nein, bei Strato liegen die Dateien im Verzeichnis mit dem WordPress-Blog. Der Ordner auf dem Webspace ist gesichert. Will ich mich mit admin/wp-admin/wp-login einloggen, werde ich doppelt nach Zugangsdaten gefragt – einmal Ordner, einmal Backend. Das Frontend ist frei zugänglich.

Ich wünsche einen schönen Feierabend.

Grüße aus Hamburg

Thobie
 

FuAn

Englischer Kantapfel
Mitglied seit
18.07.12
Beiträge
1.073
Moin,

wenn dies nicht das richtige Forum ist, dann verschiebt mich bitte in das passende oder teilt mir mit, wo ich das Thema am besten veröffentlichen kann.

Ich verwalte vier eigene Websites/Blogs, die ich mit einem doppelten Passwort-Schutz versehen habe.

Einmal der Ordner, in dem das jeweilige Blog liegt, auf dem Webspace des Providers. Zum anderen das eigentliche Backend.

Dazu habe ich jeweils eine .htaccess und eine .htpassword erstellt und in den jweiligen Ordner mit dem Blog gelegt.

Das funkioniert bei meinem Provider Strato auch gut. Zugang zum Ordner auf dem Webspace mit Zugangsdaten. Dann Zugang zum Backend mit Zugangsdaten. Zugang zum Frontend natürlich frei und ohne Zugangsdaten. Soweit alles korrekt.

Nun richte ich gerade ein neues Blog für einen Kunden unter https://www.asp-hamburg.de ein. Der Kunde hat einen Tarif und Webspace bei 1&1.

Nun, auch hier, eine .htaccess und eine .htpasswd im Ordner, der das Blog enthält. Nur ist hier der folgende Fall: Zugang zum Ordner auf dem Webspace mit Zugangsdaten. Zugang zum Backend mit Zugangsdaten. Aber aufgrund des doppelten Passwort-Schutzes geht auch der Zugang für Besucher zum Frontend nur mit den Zugangsdaten für den Ordner. Das ist natürlich grober Unfug.

Laut Support bei 1&1 ist das nicht anders einrichtbar. .htaccess und .htpasswd im Ordner mit dem Blog bedingen Zugang mit Zugangsdaten für das Backend UND das Frontend.

Strato zeigt jedoch, dass es anders und eben auch korrekt geht.

Laut Support von 1&1 könnte ich nur den Verzeichnispfad in der .htaccess z.B. zum Ordner wp-admin mit dem Zugang zum Backend ändern. Dann wären beim Frontend keine Zugangsdaten notwendig. Es wären dann aber nur die Dateien im Ordner wp-admin geschützt, nicht die anderen Dateien und Ordner des Blogs. Völliger Unsinn.

1&1 propagiert dagegen sein eigenes Produkt SiteLock zum Schutz vor Hackern und möchte das verkaufen.

Ist das, was mir der Support von 1&1 sagt, korrekt oder kann ich das Problem beheben, um doppelten Passwort-Schutz für Ordner und Backend zu haben, jedoch freien Zugang zum Frontend?

Oder kann ich meinem Kunden nur empfehlen, den Provider zu wechseln? Ich will für die Daten meines Kunden unbedingt doppelten Passwort-Schutz haben. Denn das Blog eines anderen Kunden wurde vor einigen Monaten mit einfachem Passwort-Schutz gehackt und Weiterleitungs-Links zu Spam-Seiten in die Datenbank implementiert.

Ich wünsche einen schönen Feierabend.

Grüße aus Hamburg

Thobie

https://httpd.apache.org/docs/2.4/howto/htaccess.html

Man kann genau definieren welche Dateien oder Verzeichnisse mit welchem Passwort geschuezt werden sollen, aber Apache sagt selbst dass htaccess für User Authentifizierung vermieden werden soll...
 

Thobie

Empire
Mitglied seit
22.01.09
Beiträge
88
Moin, FuAn,

danke für den Hinweis. Dies ist jedoch ein Tutorial.

Kennst Du ein (deutschsprachiges) Forum zu genau diesem Thema, wo ich genau diese Frage nach Schutz des WordPress-Ordners, aber Freigabe des Frontend stellen kann?

Ich wünsche einen schönen Feierabend.

Grüße aus Hamburg

Thobie
 

FuAn

Englischer Kantapfel
Mitglied seit
18.07.12
Beiträge
1.073
Moin, FuAn,

danke für den Hinweis. Dies ist jedoch ein Tutorial.

Kennst Du ein (deutschsprachiges) Forum zu genau diesem Thema, wo ich genau diese Frage nach Schutz des WordPress-Ordners, aber Freigabe des Frontend stellen kann?

Ich wünsche einen schönen Feierabend.

Grüße aus Hamburg

Thobie
Puhh früher gabs mal das Root Server Forum wo man solche Fragen auf deutsch stellen konnte, hab’s aber auf die schnelle nicht gefunden.

Die htaccess Doku auf apache.org ist so umfassend, dass man schnell die passende Losung zu einem konkreten Problem finden sollte... sollte das nicht der Fall sein, sei mir nicht böse, ist mein ganz heißer tip, lass jemand dran der sich mit Webservern auskennt, deine kunden werden es dir danken...
 
  • Like
Wertungen: dg2rbf

Dx667

Welscher Taubenapfel
Mitglied seit
26.11.17
Beiträge
774
Auf Deutsch ist mal überhaupt kein Thema...sollte es nicht sein wenn man 5 Apaches betreut.

Du kannst es mal auf apachelounge.com probieren.
Ansonsten würde mir noch das Forum der verwendeten Distri einfallen. Damit komm ich meist am weitesten.

Apaches sind halt extrem komplex...
 

Thobie

Empire
Mitglied seit
22.01.09
Beiträge
88
Moin,

jetzt ist mir doch noch etwas Wichtiges eingefallen.

Meine vier Sites werden von Strato gehostet.

Eine Kunden-Site jedoch bei Domainfactory.

Bei allen funktioniert es: Backend zusätzlich geschützt, Frontend frei zugänglich.

Nur bei 1&1 funktioniert es nicht.

Ich weiß schon, warum ich vor einigen Jahren von 1€1 zu Strato gewechselt bin mit meinen Sites … :)

Ich wünsche einen schönen Feierabend.

Grüße aus Hamburg



Thobie