Host Europe Blog

.htaccess-Passwortschutz einrichten – So geht’s: Kurzanleitung & Erklärung

Titelmotiv - htaccess-Passwortschutz einrichten - So geht's: Kurzanleitung & Erklärung

Schützen Sie Verzeichnisse oder ausgewählte Dateien auf dem Server mit einem Passwort, zum Beispiel: den Login-Bereich für WordPress. Auf diese Weise haben Suchmaschinen-Bots und Besucher keinen Zugriff, auch Brute-Force-Attacken können Sie so vorbeugen. Per htaccess-Passwortschutz sind Ihre Inhalte in wenigen Minuten abgesichert.

Notwendige Dateien: .htaccess, .htpasswd und gegebenenfalls .htgroup

Mit der .htaccess-Datei lassen sich verschiedene Server-Konfigurationen einstellen. Neben dem Passwortschutz richten Sie damit zum Beispiel 301 Weiterleitungen einzelner Seiten oder der gesamten Website ein.

Per .htpasswd schützen Sie Dateien oder ganze Verzeichnisse mit einer Passwortabfrage vor unbefugtem Zugriff. Dafür legen Sie die Datei in das zu schützende Verzeichnis ab. Das Passwort liegt in codierter Form vor. Versucht jemand auf das Verzeichnis zuzugreifen, erfolgt die Weiterleitung erst nach korrekter Eingabe von Benutzername und Passwort.

.htaccess-Passwortschutz einrichten

Erstellen Sie in Windows mit Notepad die Datei htaccess.txt wie in Abbildung 1 dargestellt.

Abbildung 1: Code-Zeilen für die .htaccess-Datei

 

Tipp zum Herausfinden des Realnames: Um den vollen Pfad zum gewünschten Verzeichnis herauszufinden, können Sie eine Datei „showpath.php“ mit folgendem Code erstellen, per FTP in das Verzeichnis hochladen und die Datei anschließend im Browser aufrufen:

<?php
$dir = dirname(__FILE__);
echo "<p>Der Pfad ist: " . $dir . "</p>";
echo "<p>Der Pfad zur  .htpasswd Datei ist daher: " . $dir . "/.htpasswd" . "</p>";
?>

Der Browser zeigt die Pfadangabe an, die Sie in der .htaccess-Datei für AuthUserFile eintragen. Gleiches gilt für die optionale .htgroup-Datei.

Benutzernamen und Passwörter in .htpasswd speichern

Jetzt erstellen Sie die Datei htpasswd.txt und tragen dort die gewünschten Benutzernamen ein, gefolgt von einem „:“ und dem verschlüsselten Passwort. Zum Beispiel:

Benutzername1:Y9LvirXcslyOC0d5OgOoyasd

Benutzername2:GFEWwvirs39dswicdisd33ssd

Der Benutzername darf nicht länger als 255 Bytes sein und keinen Punkt oder Doppelpunkt enthalten. Vermeiden Sie das #-Zeichen, denn dieses wird als Einleitung einer Kommentarzeile verwendet.

Tipp: Das Passwort wird in verschlüsselter Form hinterlegt. Verwenden Sie zur Verschlüsselung den MD5-Algorithmus (Message-Digest Algorithm 5), der mit Windows und Linux funktioniert. htaccesstools ist ein Online-Tool zur Erstellung eines verschlüsselten Passworts, alternativ können Sie crypt() auf dem Server ausführen oder zum Beispiel functions-online nutzen.

Gruppen mit .htgroup bilden

Möchten Sie die Rechte weiter differenzieren und Nutzer in unterschiedliche Gruppen einteilen? Dafür erstellen Sie die Datei htgroup.txt und tragen die Gruppennamen, gefolgt von einem Doppelpunkt und den zugehörigen Nutzern ein.

Beispiel:

nutzer: Benutzername1 Benutzername2

Dateien mit Filezilla in das zu schützende Verzeichnis laden

Jetzt laden Sie die Dateien mit einem FTP-Programm wie Filezilla in das zu schützende Verzeichnis. Dafür benötigen Sie die FTP-Zugangsdaten für Ihr Webhosting-Paket. Auf dem Server nennen Sie die Dateien um:

Tipp für WordPress: Schützen Sie den Login für den Adminbereich (/wp-admin) mit dem htaccess-Passwortschutz zum Unterbinden von Brute-Force-Attacken.

Häufige Fehler: Stellen Sie sicher, dass die Dateien „.htaccess“, „.htpasswd“ und gegebenenfalls „.htgroup“ heißen und nicht etwa „.htaccess.txt“. Filezilla zeigt die tatsächlichen Dateinamen an und ermöglicht das schnelle Ändern.

Den htaccess-Passwortschutz deaktivieren

Möchten Sie den Zugriffsschutz deaktivieren, löschen Sie einfach die .htaccess-Datei, .htpasswd-Datei und gegebenenfalls die .htgroup-Datei.


Bild von 
Pete Linforth auf Pixabay 

Die mobile Version verlassen