Mit bplacedlive access ist der Verzeichnisschutz wie automatisch zu erstellen. Mit so ein paar Klicks. Der ‚Verzeichnisschutz‘ erfolgt dann durch eine Regel in der .htaccess
-Datei und diese leitet in die .htpasswd
-Datei zur Benutzer / Passwortabfrage. Die Doku hier ist mit WordPress.
Was ist der Verzeichnisschutz
Der Erläuterung des Verzeichnisschutzes geht es um weiteren Schutz für das WP-Log-in bzw. das Backend. Mithin ist dies für Websites geeignet, welche keine Registrierung und damit auch kein Log-in für Nutzer anbietet. Um zum WP-Log-in zu gelangen, erfolgt durch den Verzeichnisschutz erst die Abfrage von Benutzer / Passwort vom Verzeichnisschutz.
Verzeichnisschutz und
htaccess-Regeln zur Sicherheit
Wie ist das mit dem ‚Verzeichnisschutz‘ und die üblichen Sicherheitsregeln für die .htaccess
-Datei? Die Antwort ist hier kurz ausgeführt.
Mit dem ‚Verzeichnisschutz‘ ist das Verzeichnis abgesichert, in dem der Schutz erstellt ist. Also dort sind ohne Eingaben von Benutzer / Passwort keine Aktivitäten möglich. Bspw wenn die .htaccess
mit der Regel zum Verzeichnisschutz im ersten Verzeichnis ist, so sind deren Dateien und die Verzeichnisse darunter mit dabei.
bplacedlive access Verzeichnisschutz
ab bplaced pro
Im Folgenden ist eine Beschreibung, wie welches mit bplacedlive access ab bplaced pro zu erstellen ist und worauf Acht zu geben ist.
- Anmeldung auf bplacedlive access (la).
https://la.deinunsername.bplaced.net// - Das Verzeichnis
www
/wordpress
/wp-admin
.
wp-admin
anklicken und die Schaltfläche „Verzeichnisschutz“ anklicken, somit folgt:
- Verzeichnisschutz: ‚Name des Schutzes‘, individuell.
In Folge als bspw namens ’safeguard‘. - Benutzer erstellen: ‚Benutzername‘, individuell.
In Folge als bspw namens ‚utilizename‘.- Sodann das Passwort! – welches am besten in Vorbereitung selbst erstellt. Hierzu gereicht ein Passwort Generator.
- Das Passwort generiert, kopiert und notiert! – das ist dann da oben bei Passwort einzugeben. Das Passwort ist nach dem nun folgendem ‚Verzeichnisschutz erstellen‘ nicht mehr zu sehen. Zu sehen ist da dann das verschlüsselte Passwort und dass funkt dann nicht zur Passwortabfrage!
Verzeichnisschutz erstellen
Mit anklicke von ‚Verzeichnisschutz erstellen‘ ist dann dein Passwort selbst mit MD5+Salt verschlüsselt! – und das ist der Form auch in der Datei namens .htpasswd
zu sehen. Noch mal das Passwort, das da dann bei Passwort steht, ist also nicht mehr dasselbe. Das ist nicht einerlei. In Folge hat das Passwort von dort für sich nichts mehr zu tun mit deinem Log-in vom Verzeichnisschutz. Ja! – das Passwort, das da oben im Pkt. 2 mit dem Passwort Generator von dir erstellt, das funkt dann ganz ungeniert.
Nach der Erstellung vom Verzeichnisschutz
Die .htaccess-Datei im Ordner wp-admin
Der .htaccess
-Datei, die automatisch erstellt wurde. Je nachdem von schon bestehenden .htaccess
ist die nun folgende htaccess-Regel zur .htpasswd
mit dabei.
Der .htaccess
hier folgt automatisch diese Regel:
AuthType Basic require valid-user AuthName "safeguard" AuthUserFile /users/deinuser/www/wordpress/wp-admin/.htpasswd
AuthName "safeguard"
das ist der ‚Name des Schutzes‘, der da im ‚Pkt. 1. Verzeichnisschutz‘ eingegeben wurde.
Die Regel besagt nun, dass die Benutzer / Passwörter über eine .htpasswd
Datei gesteuert werden.
Die Datei .htpasswd im Ordner wp-admin
Dazu die Datei .htpasswd
, die auch automatisch erstellt wurde. Da ist der ‚Benutzername‘ von Pkt. 2 und das Passwort, welches da verschlüsselt ist.
Der .htpasswd
ist das so zu sehen:
utilizename:$apr1$r31…vErsChlüSSeltes.pAsswd
Nun soweit! – AUFGEPASST
Oben den generierten Code von ab AuthType Basic
, das funkt nicht jeder Website. Sei es von wegen? … Im bspw ist hier auch die Website ‚wegerl.at‘. Da ist das so und da braucht es nun noch was. Denn und sonst ist ohne Benutzername und Kennwort der normale Besuch der Website nicht möglich. Darum dann <limit GET>.
Also ist die .htaccess
dort in wp-admin
zu editieren. Mit <limit GET>
.
<limit GET> AuthType Basic require valid-user AuthName "safeguard" AuthUserFile /users/deinuser/www/wordpress/wp-admin/.htpasswd </limit>
Das Obige funkt nun soweit! – funkt auch für Seiten / Beitrag mit Passwortschutz. Denn des Letztren war mal nicht so selbstverständlich, da so Seite / Beitrag mit Passwortschutz und dazu den vom Verzeichnisschutz abgefragt wurde.
- Mit dem anklicke auf Schutz entfernen erfolgt die Löschung des Verzeichnisschutzes. Das ist von sofort wirksam. Ein neuer ‚Verzeichnisschutz‘ ist dort dann wieder möglich.
Fachsimpelei
Eben das mit <limit GET>
<limit GET> AuthType Basic require valid-user AuthName "safeguard" AuthUserFile /users/deinuser/www/wordpress/wp-admin/.htpasswd </limit>
Warum das?
Für den Besucher ist da vorerst die Eingabemaske vom Verzeichnisschutz zu sehen sein oder auch umgekehrt. Dort lässt sich das zwar mit ‚Abbrechen‘ entfernen, wird aber wieder zur Eingabe vom Verzeichnisschutz geleitet …
Info: https://pmhahn.de/linux/html/access.shtml.de
Verzeichnisschutz im Ordner wordpress
Wenn der Verzeichnisschutz im Ordner wordpress
erstellt ist, das aber nicht so zu empfehlen ist! – dann sind hierdurch alle Dateien und Ordner integriert. Somit ist auch hier ohne Benutzername und Kennwort der Besuch der Website nicht möglich.
- Daher ist hier z. B. im Verzeichnis
wordpress
der.htaccess
-Datei die Regel mit dem Pfad FilesMatch*<Files wp-login.php>…</Files>
zu editieren.
* Using FilesMatch and Files in htaccess
Das leitet nun auf die wp-login.php
:
<Files wp-login.php> AuthType Basic require valid-user AuthName "safeguard" AuthUserFile /users/deinuser/www/wordpress/.htpasswd </Files>
Somit ist die Website normal zu besuchen. Und zur Anmeldung für das WP-Log-in zum Backend erfolgt erst vom Verzeichnisschutz die Abfrage von Benutzername / Passwort.
Für weiteres Interesse
Wer Interesse hat, wie das mit dem Verzeichnisschutz und den Passwörtern so läuft, sind hier ein paar Links, welche sehr weiterführend sind:
selfhtml Webserver/htaccess/Passwortschutz
Wenn du selbst etwas erstellen willst: z. B. mit hostingcanada.org/htpasswd-generator, da ist das mit Apache+MD5+Salt zu empfehlen.