(Update) Nicht jeder Bereich einer Webseite sollte öffentlich zugängig sein. Sicher, es gibt Passwörter, aber bestimmte Bereiche einer Webseite, wie z.B. den Zugang zum Backend, sollte man wirksamer absichern. Wir empfehlen Ihnen dafür die Verwendung eines Sicherheits-Tools wie Sucuri Website Security von Host Europe.
Sucuri bietet Ihnen eine Reihe von Möglichkeiten, um sensible Seiten besonders abzusichern. Im Standard beschränkt die Sucuri Firewall den Zugriff auf Administrator-Bereiche wie /wp-admin in WordPress oder /administrator in Joomla auf autorisierte IP-Adressen, die Sie auf Ihre Allowlist gesetzt haben. So sichern Sie Ihre Website-Verwaltung, falls ein Benutzerkonto erfolgreich gehackt wurde. Sie können diese Option in den Firewall-Einstellungen deaktivieren („Einstellungen“ –> „Sicherheit“ –> „Erweiterte Sicherheits-Optionen“).
Darüber hinaus stehen Ihnen weitere Optionen zur Verfügung, um individuelle Seiten Ihren Anforderungen gemäß abzusichern. So können Sie den Zugriff auf beliebige Seiten flexibel beschränken oder einzelne Bereiche explizit freigeben, um unerwünschte Nebenwirkungen der Firewall-Regeln zu verhindern.
Protected Page – Den Zugriff auf individuelle Seiten einschränken
Das “Protected Page”-Feature soll als zusätzliche Schutzschicht sensitive Webseiten noch sicherer machen. Sie können damit den Zugriff auf bestimmte Seiten einschränken, aber auch eine sekundäre Authentifizierung für Admin-Bereiche realisieren. Sie können eine der folgenden Authentifizierungsmethoden wählen:
- Passwortschutz – Diese Option erzeugt ein zufälliges Passwort, das ein Benutzer bei seinem ersten Zugriff auf die geschützte Seite eingeben muss.
- IP-Adressen-Beschränkung mittels Allowlisting – Nur explizit zugelassene IP-Adressen erhalten Zugriff, alle anderen Zugriffe werden geblockt.
- Zwei-Faktor-Authentifizierung (2FA) mit Google Authenticator – Diese Option fordert jeden Besucher der Seite auf, einen Code einzugeben, den die Smartphone-App Google Authenticator für kurze Zeit anzeigt. Der physische Zugriff auf das Smartphone ist damit Voraussetzung für den Zugriff auf die Seite. So kann zusätzlich zu einem normalen Passwortschutz (Faktor Wissen) ein zweiter, davon unabhängiger Schutzfaktor (Faktor Besitz) implementiert werden.
- Captcha Challenge – Captchas stellen dem Besucher Aufgaben (z. B. das Erkennen von Bildinhalten), und werten die Antwort aus (Challenge-Response-Test). Damit soll sichergestellt werden, dass der Zugriff auf die Seite durch einen Menschen erfolgt und nicht durch einen Bot.
Zugriffssteuerung durch Block- und Allowlisting
Die Sucuri Firewall bietet Ihnen sehr detaillierte Möglichkeiten, bestimmte Zugriffe zu sperren (Blocklisting) oder alternativ Ausnahmen zu definieren, die nicht blockiert werden (Allowlisting).
- Zugriffe blockieren – Sie können festgelegte IP-Adressen vom Zugriff auf Ihre Seiten ausschließen. Darüber hinaus ist es möglich, spezifische Länder entweder vom Lesezugriff oder von der Interaktion mit Ihrer Seite auszuschließen, Zugriffe bestimmter HTTP-Referer oder User-Agents zu blockieren sowie spezifische Cookies zu verbieten.
- Zugriffe zulassen – Wenn IP-Restriktionen für den Zugriff auf geschützte Seiten (z.B. Admin-Bereiche) aktiviert sind, können Sie per Allowlisting definieren, für welche IP-Adressen, URL-Pfade, Verzeichnisse oder Dateien die Firewall-Regeln nicht angewendet werden sollen. Das kann sinnvoll sein, wenn die Firewall-Regeln dazu führen, dass der Zugriff auf bestimmte Seiten unerwünscht blockiert wird.
So schützen Sie eine wichtige Seite
Option 1: Protected Page
- Klicken Sie im Firewall-Bereich des Dashboards auf „Zugriffssteuerung“ –> „Protected Page“.
- Geben Sie die URL der zu schützenden Seite ein (z. B. /wp-login.php). Wählen Sie eine Authentifizierungsmethode aus und klicken Sie „Seite schützen“.
Option 2: Einen URL-Pfad blocklisten
- Klicken Sie im Firewall-Bereich des Dashboards auf
„URL-Pfade auf Blocklist setzen“. - Geben Sie die URL der zu schützenden Seite ein (z. B. /wp-login.php) und klicken Sie „Blocklist“. Nur URLs auf Ihrer Allowlist können Ihre Seiten dann erreichen.
Hier finden Sie weitere Informationen zum Thema: Wie Sie mit Sucuri wichtige Bereiche Ihrer Webseite wirksam absichern können.
- Protected Pages: https://docs.sucuri.net/website-firewall/whitelist-and-blacklist/protected-page/
- Block- und Allowlisting: https://docs.sucuri.net/website-firewall/whitelist-and-blacklist/
Erfahren Sie hier, wie Sie mit Sucuri Blocklisting rückgängig machen.
Bildnachweis: Bild von Gerd Altmann auf Pixabay