Egal ob Betreiber eine Handwerkerwebseite, einer Hochzeitshomepage oder vielleicht eines Onlineshops…Jeder Webseitenbetreiber, der ein CMS nutzt, sollte vor allem den Adminbereich mit einem Passwort versehen. Aber auch sonst ist es immer wieder nötig, dass eine oder andere Verzeichnis oder gar ein komplettes Testsystem einer Homepage mit einem Passwort zu schützen. Am einfachsten geht das per .htaccess-Datei.
Und so geht’s:
Zuerst legt man am besten im root (obersten) Verzeichnis auf dem Webspace eine Datei mit dem Namen „.htpasswd“ an (Achtung: den Punkt vor dem Dateinamen nicht vergessen). In diese .htpasswd kommt der folgende Eintrag:
Benutzername:P6eM3mLr19uTc
Der „Benutzername“ ist sprechend, kann also frei gewählt werden. Nach dem Doppelpunkt kommt das verschlüsselte Passwort. Das Passwort, welches man natürlich auch selber vergeben kann (ich empfehle mind. 6 Stellen mit einer Zahl und einem Sonderzeichen versehen), verschlüsselt man über einen .htpasswd-Generator wie den von SelfHTML.
Hat man die .htpasswd im root gespeichert, muss nun noch die .htaccess-Datei (auch hier den Punkt nicht vergessen) im zu schützenden Verzeichnis angelegt werden. Der Inhalt der Datei sieht wie folgt aus:
AuthUserFile /hp/cg/aa/ez/.htpasswd AuthName "Loginabfrage" AuthType Basic require user Benutzername
AuthUserFile /hp/cg/aa/ez/.htpasswd
Beschreibt den Ort, an dem die .htpasswd Datei liegt.
AuthName "Benutzername"
ist der Hinweis für den Login. Hier kann der gefragte Benutzername stehen (würde ich eher nicht empfehlen) oder einfach der Hinweis „Bitte geb deine Login Daten an“.
AuthType Basic
ist die Authentifizierungsmethode. Weitere Infos hierzu findet man auf der dieser Seite.
require user Benutzername
Gibt an, welche Benutzer sich anmelden dürfen (egal wieviele Login-Kombinationen in der .htpasswd angegeben wurden). Diese Einstellung ist restriktiver als beispielsweise
require valid-user
Hier sind alle erfolgreichen Logins gültig, insofern sie in der .htpasswd angegeben wurden.
Möchte man mehr als einen Login erstellen, erstellt man einfach einen weiteren Eintrag (Benutzername2:PWD2) in der .htpasswd und einen weiteren Eintrag (require user Benutzername2) in der .htaccess an.
Hat alles geklappt müsste beim nächsten Aufruf des geschützten Bereichs ein Fenster wie das folgende auftauchen.
Beispiel einer .htaccess-Passwortabfrage
So hat man die sensiblen Bereiche der Firmenhomepage oder des Shops problemlos geschützt.
Hinweis: das schützen eines sensiblen Bereichs per .htaccess Datei ist nicht gleichzusetzen mit einem 100%-igen Schutz. Der generelle Schutz ist immer nur so stark, wie die verwendeten Passwörter in der .htaccess und natürlich des verwendeten Passworts im Adminbereich selbst.
Manfred Gatti
Die Beschreibung scheint mein Vorhaben zu unterstützen!
Es bedankt sich Manfred Gatti