Zugriffskontrolle mit der Hilfe einer .htaccess-Datei realisieren
Bildnachweis: Pixabay von Pexels

20.05.2022 08:40, zuletzt aktualisiert 10.06.2022 11:55
Christian Schwindling
2

Zugriffskontrolle mit der Hilfe einer .htaccess-Datei realisieren

Wie Sie Ihre Webseite mit einer .htaccess-Datei schützen können

Nicht nur eine Weiterleitung!

Oftmals ist eine .htaccess-Datei dafür bekannt, dass damit eine Weiterleitung für den Webserver konfiguriert werden kann. Über eine .htaccess-Datei kann jedoch auch eine Zugangskontrolle für Ihre Internet-Seite konfiguriert werden. Dazu bietet sie die Möglichkeit, Benutzer anzulegen und diesen ein eigenes Passwort zuzuweisen.

Damit ist die Zugangskontrolle für Ihre Webseite gesichert und Sie entscheiden, wer die Inhalte zu Gesicht bekommt.

Wie gehts los?

Sollten Sie keine Erfahrung mit der manuellen Bearbeitung der .htaccess-Datei und auch notwendigen .htpasswd-Datei (welche die Benutzernamen und Passwörter beinhaltet) besitzen, finden Sie auf unserer Webseite zwei Tools, mit denen Sie beide Dateien generieren können.

Dazu steht für die .htaccess-Datei das Tool htaccess-Datei erstellen zur Verfügung.

Für die .htpasswd-Datei steht das Tool htpasswd-Datei erstellen zur Verfügung.

Wie binde ich die Dateien jetzt ein?

Legen Sie die beiden erstellten Dateien einfach im Document-Root von Ihrer Webseite ab.

Wichtig: Eine solche Zugriffskontrolle ist stets rekursiv! Dies bedeutet, wenn Sie einem Benutzer Zugang zu dem Verzeichnisse /web einräumen, hat dieser sogleich Zugriff auf alle Unterverzeichnisse.

Wie ist die .htaccess-Datei aufgebaut?

Authtype Basic
AuthName "Zugangskontrolle"
require valid-user
AuthUserFile /home/sites/sitexxxxxxx/web/.htpasswd

Authtype Basic: Art der Authentifizierung sollte unverändert bleiben.

AuthName "Zugangskontrolle": Hier definieren Sie die Nachricht, die im Browser angezeigt wird, sobald die Zugangsdaten abgefragt werden.

Require valid-user: Hier können Sie definieren ob ein Nutzer oder eine Gruppe Zugriff erhalten soll.

AuthUserFile: Hier geben Sie den Pfad der Passwortdatei (.htpasswd) an.

Wie ist die .htpasswd-Datei aufgebaut?

IhrBenutzer:$1:V2VyIGRhcyBEZWNyeXB0ZWQgaGF0IGVpbiBFYXN0ZXItRWdnIGdlZnVuZGVuIDstKS4g

In der .htpasswd-Datei befindet sich eine Liste aller Benutzer und deren Passwörter. Die Passwörter sind an dieser Stelle über den SHA-2-Algorithmus gehasht und gesalzen. Rückschlüsse auf das Original-Passwort sind damit nicht (mit dem heutigen Stand der Technik) möglich.

Zur Sicherheit empfehlen wir trotzdem, dass die .htpasswd-Datei außerhalb des eigentlichen DocumentRoots Ihrer Webseite (also dort wo der Webserver Zugriff hat) abgelegt wird. Der Pfad, der die .htpasswd-Datei in der .htaccess-Datei inkludiert, muss an dieser Stelle natürlich entsprechend angepasst werden.

htaccess htpasswd Zugangskontrolle