Schützen Sie Verzeichnisse oder ausgewählte Dateien auf dem Server mit einem Passwort, zum Beispiel: den Login-Bereich für WordPress. Auf diese Weise haben Suchmaschinen-Bots und Besucher keinen Zugriff, auch Brute-Force-Attacken können Sie so vorbeugen. Per htaccess-Passwortschutz sind Ihre Inhalte in wenigen Minuten abgesichert.
Notwendige Dateien: .htaccess, .htpasswd und gegebenenfalls .htgroup
Mit der .htaccess-Datei lassen sich verschiedene Server-Konfigurationen einstellen. Neben dem Passwortschutz richten Sie damit zum Beispiel 301 Weiterleitungen einzelner Seiten oder der gesamten Website ein.
Per .htpasswd schützen Sie Dateien oder ganze Verzeichnisse mit einer Passwortabfrage vor unbefugtem Zugriff. Dafür legen Sie die Datei in das zu schützende Verzeichnis ab. Das Passwort liegt in codierter Form vor. Versucht jemand auf das Verzeichnis zuzugreifen, erfolgt die Weiterleitung erst nach korrekter Eingabe von Benutzername und Passwort.
.htaccess-Passwortschutz einrichten
Erstellen Sie in Windows mit Notepad die Datei htaccess.txt wie in Abbildung 1 dargestellt.
- AuthType Basic: für die Basis-Authentifizierung
- AuthName „Zugriff auf geschützten Bereich“: Dieser Titel wird dem Besucher angezeigt.
- AuthUserFile /Pfad-zum-Verzeichnis-Realname/.htpasswd: Das Verzeichnis entspricht dem realen Unix-Pfad und unterscheidet sich normalerweise von der Internetadresse.
- AuthGroupFile /Pfad-zum-Verzeichnis-Realname/.htgroup: Die Gruppendatei ermöglicht die Genehmigung verschiedener Zugänge, für den Zugang eines einzelnen Nutzers ist sie nicht notwendig.
- require user Benutername1 Benutzername 2: Mit dem require-Parameter geben Sie den Zugriff für eine oder mehrere Personen und/oder eine Personengruppe frei, dann bitte per require group xy. Die Benutzernamen sind in der .htpasswd-Datei gespeichert.
Tipp zum Herausfinden des Realnames: Um den vollen Pfad zum gewünschten Verzeichnis herauszufinden, können Sie eine Datei „showpath.php“ mit folgendem Code erstellen, per FTP in das Verzeichnis hochladen und die Datei anschließend im Browser aufrufen:
<?php
$dir = dirname(__FILE__);
echo "<p>Der Pfad ist: " . $dir . "</p>";
echo "<p>Der Pfad zur .htpasswd Datei ist daher: " . $dir . "/.htpasswd" . "</p>";
?>
Der Browser zeigt die Pfadangabe an, die Sie in der .htaccess-Datei für AuthUserFile eintragen. Gleiches gilt für die optionale .htgroup-Datei.
Benutzernamen und Passwörter in .htpasswd speichern
Jetzt erstellen Sie die Datei htpasswd.txt und tragen dort die gewünschten Benutzernamen ein, gefolgt von einem „:“ und dem verschlüsselten Passwort. Zum Beispiel:
Benutzername1:Y9LvirXcslyOC0d5OgOoyasd
Benutzername2:GFEWwvirs39dswicdisd33ssd
Der Benutzername darf nicht länger als 255 Bytes sein und keinen Punkt oder Doppelpunkt enthalten. Vermeiden Sie das #-Zeichen, denn dieses wird als Einleitung einer Kommentarzeile verwendet.
Tipp: Das Passwort wird in verschlüsselter Form hinterlegt. Verwenden Sie zur Verschlüsselung den MD5-Algorithmus (Message-Digest Algorithm 5), der mit Windows und Linux funktioniert. htaccesstools ist ein Online-Tool zur Erstellung eines verschlüsselten Passworts, alternativ können Sie crypt() auf dem Server ausführen oder zum Beispiel functions-online nutzen.
Gruppen mit .htgroup bilden
Möchten Sie die Rechte weiter differenzieren und Nutzer in unterschiedliche Gruppen einteilen? Dafür erstellen Sie die Datei htgroup.txt und tragen die Gruppennamen, gefolgt von einem Doppelpunkt und den zugehörigen Nutzern ein.
Beispiel:
nutzer: Benutzername1 Benutzername2
Dateien mit Filezilla in das zu schützende Verzeichnis laden
Jetzt laden Sie die Dateien mit einem FTP-Programm wie Filezilla in das zu schützende Verzeichnis. Dafür benötigen Sie die FTP-Zugangsdaten für Ihr Webhosting-Paket. Auf dem Server nennen Sie die Dateien um:
- Aus htaccess.txt wird .htacess
- Aus htpasswd.txt wird .htpasswd
- Aus htgroup.txt wird .htgroup
Tipp für WordPress: Schützen Sie den Login für den Adminbereich (/wp-admin) mit dem htaccess-Passwortschutz zum Unterbinden von Brute-Force-Attacken.
Häufige Fehler: Stellen Sie sicher, dass die Dateien „.htaccess“, „.htpasswd“ und gegebenenfalls „.htgroup“ heißen und nicht etwa „.htaccess.txt“. Filezilla zeigt die tatsächlichen Dateinamen an und ermöglicht das schnelle Ändern.
Den htaccess-Passwortschutz deaktivieren
Möchten Sie den Zugriffsschutz deaktivieren, löschen Sie einfach die .htaccess-Datei, .htpasswd-Datei und gegebenenfalls die .htgroup-Datei.
Bild von Pete Linforth auf Pixabay