Knud

Passwortschutz via .htaccess

Recommended Posts

Hi Foris,

ich brauche einen geschützten Bereich auf meinem Webspace, um Daten z.B. mit Geschäftspartnern austauschen zu können.

Nun sollte es eigentlich kein Problem sein die htaccess um vier Zeilen zu erweiten und eine htpasswd zu erstellen. Trotz allem bekomme ich den Passwortschutz nicht hin.

  • Mal ist meine gesamte Internetpräsenz geschützt
  • Mal bekomme ich nur den 404 Error
  • Mal war die Gesammte Internetpräsenz nicht mehr erreichbar
  • ...

Ich nutze als cms WordPress (WP) ich habe da eine .htaccess im Wurzelverzeichnis und eine im Installationsverzeichnis von WP und ich habe auch schon eine in das zu schützende Verzeichnis gelegt. Die htpasswd liegt im zu schützenden Ordner.

In welche htaccess und wo genau müssen die vier Zeilen hin, die den Ordner schützen? Da keine Pfadangabe in diesen vier Zeilen ist, muss die htaccess doch eigentlich in dem zu schützenden Ordner liegen, oder? Das hat aber keinerlei Auswirkung:

AuthName "Geschützter Bereich"
AuthType Basic
AuthUserFile /.htpasswd
(oder: AuthUserFile .htpasswd)
(oder: AuthUserFile /schutz/.htpasswd)
Require valid-user

Schreibe ich sie in die htaccess im WP-Installationsverzeichnis, ist die ganze Webseite geschützt:

AuthName "Geschützter Bereich"
AuthType Basic
AuthUserFile /schutz/.htpasswd
Require valid-user

Das kann doch so kompliziert nicht sein. Bitte gebt mir einen kleinen Tipp!

 

Danke... Knud

Edited by Knud

Share this post


Link to post
Share on other sites

.htaccess wirkt immer im Ordner, in dem diese .htaccess-Datei gespeichert ist, sowie in allen Unterordnern dieses Ordners (soweit in den Unterordnern nicht eine weitere .htaccess-Datei die Einstellungen des Ober-Ordners überschreibt).

Share this post


Link to post
Share on other sites
Vor 6 Stunden, Knud said:

Das kann doch so kompliziert nicht sein. Bitte gebt mir einen kleinen Tipp!

Wenn deine Kunden in dem geschützten Bereich alles sehen und ändern dürfen kannst du es über htaccess freigeben.

Wenn nicht brauchst du einen beschränkten Zugang den man z.B. über PHP, aspx regeln könnte.  Damit können deine Kunden das sehen was du freigibst und nicht alles ändern. 

Share this post


Link to post
Share on other sites

Danke Dir für die Antwort. So hatte ich das auch verstanden. Dennoch funktioniert das nicht.
Die .htpasswd liegt in "meinedomain.de/schutz/" wobei durch Wordpress eine Umleitung in den Wordpress-Installationsordner vorgenommen wurde. Also liegt sie eigentlich in "meinedomain.de/WordPress_01/schutz/"... oder wenn man es ganz genau nimmt in "/mnt/web323/a1/61/5745561/htdocs/WordPress_01/schutz/". Was muss in der .htaccess genau stehen, damit das funktioniert:

AuthUserFile /.htpasswd
oder: AuthUserFile .htpasswd)
oder: AuthUserFile /schutz/.htpasswd)
oder: ...?

Share this post


Link to post
Share on other sites
25 minutes ago, arnego2 said:

Wenn deine Kunden in dem geschützten Bereich alles sehen und ändern dürfen kannst du es über htaccess freigeben.

Wenn nicht brauchst du einen beschränkten Zugang den man z.B. über PHP, aspx regeln könnte.  Damit können deine Kunden das sehen was du freigibst und nicht alles ändern. 

Es soll ein Passwortgeschützter Ordner sein und es kommen zip-Ordner rein, deren Link nur entsprächende Geschäftspartner bekommen.

Plan ist, dass die eine Mail mit Link bekommen, auf den Link klicken, Passwortabfrage kommt, Download startet. Sollte so - mit .htaccess - doch gehen, oder?

Edited by Knud

Share this post


Link to post
Share on other sites
1 hour ago, Knud said:

Es soll ein Passwortgeschützter Ordner sein und es kommen zip-Ordner rein, deren Link nur entsprächende Geschäftspartner bekommen.

Plan ist, dass die eine Mail mit Link bekommen, auf den Link klicken, Passwortabfrage kommt, Download startet. Sollte so - mit .htaccess - doch gehen, oder?

Du wirst dann jede Zip Datei individuell verschlüsseln müssen damit nicht jeder ran kann. Sonst können sich alle die Zugang haben die Zip Dateien anderer ansehen. 

Edited by arnego2

Share this post


Link to post
Share on other sites
1 hour ago, Knud said:

wobei durch Wordpress eine Umleitung in den Wordpress-Installationsordner vorgenommen wurde.

.htaccess interessiert sich nicht für php-Programme wie zB Wordpress. Bei jedem http request (salopp formuliert: bei jedem Mausklick im Browser) wirkt .htaccess immer zuerst, lange bevor Wordpress zu arbeiten beginnt. So wie Du Deine Anforderungen schilderst, würde ich Wordpress einfach vergessen und die .htaccess in den zu schützenden Ordner legen, und das Passwortfile in einen gültigen Pfad legen. Testweise in den identischen Pfad, und nachher an eine sichere Stelle.

 

Share this post


Link to post
Share on other sites
4 minutes ago, arnego2 said:

Du wirst dann jede Zip Datei individuell verschlüsseln müssen damit nicht jeder ran kann. Sonst können sich alle die Zugang haben die Zip Dateien anderer ansehen. 

Ja danke. Ich glaube es ist einfacher die zip-Dateien passwortzuschützen...
So mach ich es.

Share this post


Link to post
Share on other sites
3 minutes ago, -CH- said:

... und die .htaccess in den zu schützenden Ordner legen, und das Passwortfile in einen gültigen Pfad legen. Testweise in den identischen Pfad, und nachher an eine sichere Stelle.

 

das habe ich wie oben beschrieben versucht und komme in jeder Variante nur auf meine 404-Errorseite

Share this post


Link to post
Share on other sites
20 minutes ago, Knud said:

in jeder Variante nur auf meine 404-Errorseite

nein, in einer Variante hast Du erreicht, dass Deine gesamte Webseite geschützt war. 404 bedeutet File not found. Aber WELCHES ? Bei 404 erhalte ich folgende Info:

Not Found

The requested URL /FalscherPfad was not found on this server.

Ich vermute, das Passwortfile wurde nicht gefunden. Dh: der Pfad ist falsch. Möglicherweise hast Du mit den diversen .htaccess-Dateien mehrfache Umleitungen. Das lässt sich alles testen. Wenn Du Hilfe willst, müssen diese Fehlermeldungen auf den Tisch.

Share this post


Link to post
Share on other sites
1 minute ago, -CH- said:

Wenn Du Hilfe willst, müssen diese Fehlermeldungen auf den Tisch.

Ich Danke Dir für das Angebot. Aber ich werde jetzt die zip-Dateien passwortschützen und dann einfach auf den Server legen. 7-zip gibt das her und es muss sich hier niemand weiter den Kopf zerbrechen.

Trotzdem zur Info, um das hier nicht offen zu lassen:
Dass der htaccess-Passwortschutz im Rootverzeichnis funktioniert aber im Unterverzeichnis nicht mehr, verstehe ich trotzdem nicht, da die htpasswd ihren Standort nicht ändert und absolut verlinkt sein sollte. Der einzige Unterschied ist, dass ich den o.a. Code an den Code einer existierenden htaccess im Rootverzeichnis angehängt habe, im Unterverzeichnis aber eine neue, leere htaccess erzeugt und mit dem Code gefüllt habe.

Die einzige Fehlermeldung ist wie gesagt der 404-Error. Diese Fehlerseite habe ich allerdings selber gestaltet und sagt nichts weiter aus, als dass die Datei nicht gefunden werden konnte. Welche Datei sagt sie nicht. Ich habe in dem Verzeichnis eine index.html und eine png-Datei. Es ist egal, ob ich nur das Verzeichnis anspreche (meineurl.de/schutz/) oder eine konkrete Datei (meineurl.de/schutz/bild.png). in beiden Fällen 404.

die htpasswd liegt im Moment in meineurl.de/schutz/. Egal was ich angebe, es kommt die 404 (Ausnahme unten).

- AuthUserFile .htpasswd
- AuthUserFile /.htpasswd
- AuthUserFile /schutz/.htpasswd
- AuthUserFile meineurl.de/schutz/.htpasswd
- AuthUserFile meineurl.de/WordPress_01/schutz/.htpasswd

Im Root-Verzeichnis (meineurl.de/WordPress_01, durch Umleitung erreichbar über meineurl.de) liegt eine htaccess mit folgendem Inhalt:

AuthGroupFile /dev/null
AuthName Intern
AuthType Basic
ErrorDocument 401 /fehlerseite401.htm
ErrorDocument 402 /fehlerseite402.htm
ErrorDocument 403 /fehlerseite403.htm
ErrorDocument 404 /fehlerseite404.htm
AddType image/x-icon .ico
AddType plain/x-vcard vcf
AddType plain/x-vcalendar vcs
AddType plain/x-icalendar ics

Options -Indexes
DirectoryIndex index.php index.html index.htm
AddType application/x-httpd-php3 .php3
AddType application/x-httpd-php43 .php4
AddType application/x-httpd-php5 .php .php5


# BEGIN WordPress

# END WordPress

ergänze ich die vor # Beginn WordPress um

AuthName "Administrationsbereich"
AuthType Basic
AuthUserFile /schutz/.htpasswd
Require valid-user

ist meine ganze Webseite Passwortgeschützt.

Wie gesagt, ich mache das jetzt über den Passwortschutz der zip-Dateien. Es muss sich also keiner mehr den Kopf zerbrechen. Wenn aber jemand Lust hat, mach ich weiter mit. Es interessiert mich.

Danke soweit... Knud

  • Like 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.