Zurück

Ordner/Datei vor fremdem Zugriff schützen

5 Min Lesedauer · Aktualisiert am 19.06.2023

Möchtest du deine Website temporär verbergen oder sollte diese nur bestimmten Personen zugänglich sein? Wir beschreiben in diesem Artikel mehrere Möglichkeiten, wie du Ordner oder Dateien über die .htaccess-Datei mit einem Verzeichnisschutz versehen kannst.

Verzeichnisschutz im my.cyon

1
Melde dich im my.cyon an und wähle im Menü «Erweitert» das Untermenü «Verzeichnisschutz».
Menü «Verzeichnisschutz» im my.cyon
Menü «Verzeichnisschutz» im my.cyon
2
Klicke beim gewünschten Verzeichnis rechts auf «Verzeichnis schützen».
Übersicht Verzeichnisschutz
Übersicht Verzeichnisschutz
3
Im Feld «Beschreibung» kannst du eine Mitteilung verfassen, welche im Login-Fenster deines Browsers angezeigt wird. Erstelle danach üben den Button «Neues Login hinzufügen» einen Loginnamen und ein Passwort.
Verzeichnisschutz erstellen
Verzeichnisschutz erstellen
4
Vergib einen «Loginnamen» und ein «Passwort» oder lasse dir ein sicheres Passwort generieren. Bestätige die Eingaben über «Login hinzufügen».
Login erstellen
Login erstellen
5
Abschliessend klicke auf «Speichern» und der Verzeichnisschutz wird per sofort für das gewählte Verzeichnis aktiviert. Hattest du deine Website zuvor bereits im Browser geöffnet, so tritt der Schutz beim erneuten Laden der Seite in Kraft.
Einstellungen speichern
Einstellungen speichern

Manueller Verzeichnisschutz

Der Verzeichnisschutz kann auch manuell erstellt werden, statt wie oben beschrieben über das my.cyon eingerichtet zu werden. Dazu werden in der .htaccess-Datei des zu schützenden Verzeichnisses folgenden Zeilen eingefügt oder ergänzt, sofern bereits eine .htaccess besteht:

AuthType Basic
AuthName "Staging website oliverorange.ch"
AuthUserFile "/home/<Anmeldename>/.htpasswds/public_html/<Ordnername>/.htpasswd"
require valid-user

Ersetze dabei <Anmeldename> mit dem Anmeldenamen deines Webhostings und <Ordnername> mit dem zu schützenden Ordner, in unserem Beispiel staging. Der Wert für AuthName entspricht jenem, welcher im my.cyon (siehe Schritt 3 im Abschnitt «Verzeichnisschutz im my.cyon») im Feld «Beschreibung» eingegeben werden kann.

Zusätzlich dazu wird eine Datei benötigt, in welcher die Anmeldeinformationen für den Verzeichnisschutz gespeichert sind. Diese Datei befindet sich auf einem cyon-Webhosting im Verzeichnis /home/<Anmeldename>/.htpasswds/public_html/, gefolgt vom zu schützenden Verzeichnis, in unserem Beispiel dem Ordner staging. Meist wird diese Datei .htpasswd benannt, der Dateiname kann aber grundsätzlich selber definiert werden. Wird der Verzeichnisschutz über das my.cyon erstellt, so wird eine Datei namens passwd erstellt.

Damit das Passwort nicht unsicher im Klartext gespeichert wird, verwende einen Online-Generator, wie beispielsweise jener auf AskApache. Hier die nötigen Angaben für unser Beispiel:

  • Username for logging in: cyon
  • Password for the username: ein sicheres Passwort
  • Realm or Popup Name: Staging website oliverorange.ch (Wird als Wert für «AuthName» verwendet)
  • DigestDomain: /
  • Encryption Algorithm: md5
  • Authentication Scheme: Basic

Der Inhalt der .htpasswd-Datei sieht dann wie in folgendem Beispiel aus, wobei cyon dem Anmeldenamen entspricht, gefolgt vom verschlüsselten Passwort. Die beiden Werte werden durch einen Doppelpunkt getrennt dargestellt.

cyon:$apr1$e3hdxpvs$vjJpN0fSb//40Usj2Nmac/

Schutz einer einzelnen Datei

Das Vorgehen ist grundsätzlich gleich wie im Abschnitt «Manueller Verzeichnisschutz» beschrieben. Zum Schutz einer einzelnen Datei schreibe folgende Zeilen in die .htaccess-Datei im Verzeichnis der zu schützenden Datei oder ergänze eine bereits existierende .htaccess:

AuthType Basic
AuthName "Login website oliverorange.ch"
AuthUserFile "/home/<Anmeldename>/.htpasswds/public_html/<Ordnername>/.htpasswd"
<Files '<Dateiname>'>
require valid-user
</Files>

Ersetze dabei <Anmeldename> mit dem Anmeldenamen deines Webhostings, <Ordnername> mit dem zu schützenden Ordner und <Dateiname> mit dem Dateinamen der zu schützenden Datei, als Beispiel wp-login.php.

Verschlüsselter Verzeichnisschutz

Bei den oben beschriebenen Methoden wird jeweils «AuthType Basic» verwendet, wobei Anmeldeinformationen im Klartext vom Browser auf den Server übertragen werden. Um diese Übertragung zu verschlüsseln, wird die Methode «AuthType Digest» verwendet.

Der Eintrag in der .htaccess-Datei sieht dabei sehr ähnlich aus wie der bei «AuthType Basic», die Zugangsdaten werden jedoch anders generiert. Dazu kann ebenfalls der Generator auf AksApache verwendet werden, hier ein Beispiel:

  • Username for logging in: cyon
  • Password for the username: ein sicheres Passwort
  • Realm or Popup Name: Staging website oliverorange.ch (Wird als Wert für AuthName und die Identifizierung verwendet)
  • DigestDomain: /
  • Encryption Algorithm: digest
  • Authentication Scheme: Digest

Dies ergibt dann folgende Zeilen, welche in der .htaccess-Datei des zu schützenden Verzeichnisses hinterlegt werden:

AuthType Digest
AuthName "Staging website oliverorange.ch"
AuthDigestDomain /
AuthUserFile /home/<Anmeldename>/.htpasswds/public_html/<Ordnername>/.htdigest
require valid-user

So sieht dann der Inhalt der Passwort-Datei .htdigest in unserem Beispiel aus:

cyon:Staging website oliverorange.ch:13e935cc120dafea36a33b318f5fea8b
Beachte dass der Wert nach dem Anmeldenamen, in unserem Beispiel Staging website oliverorange.ch, dem Wert von «AuthName» in der .htaccess entsprechen muss.
Kategorien
Sicherheit
Artikel teilen
E-Mail WhatsApp

Was dir auch helfen könnte

Verwandte Artikel

Du hast noch Fragen?

Wir beantworten sie dir gerne persönlich.

Kontaktiere uns