Ein Artikel der Serie Notabene!
Mit bplacedlive access ist der Verzeichnisschutz belieben Anspruch am Webspace zu nützen. Die Erstellung geschieht so mit ein paar Klicks automatisch. Der ‚Verzeichnisschutz‘ erfolgt durch eine Regel in der .htaccess-Datei und diese leitet in die .htpasswd-Datei zur Benutzer & Passwortabfrage.
Was ist der Verzeichnisschutz
Der Erläuterung des Verzeichnisschutzes geht es um weiteren Schutz für das WP-Log-in bzw. das Backend. Mithin ist dies für Websites geeignet, welche keine Registrierung und damit auch kein Log-in für Nutzer anbietet. Um zum WP-Log-in zu gelangen, erfolgt durch den Verzeichnisschutz erst die Abfrage von Benutzer / Passwort vom Verzeichnisschutz.
Verzeichnisschutz und
htaccess-Regeln zur Sicherheit
Wie ist das mit dem ‚Verzeichnisschutz‘ und die üblichen Sicherheitsregeln für die .htaccess-Datei? Die Antwort ist hier kurz ausgeführt.
Mit dem ‚Verzeichnisschutz‘ ist das Verzeichnis abgesichert, in dem der Schutz erstellt ist. Also dort sind ohne Eingaben von Benutzer / Passwort keine Aktivitäten möglich. Bspw. wenn die .htaccess mit der Regel zum Verzeichnisschutz im ersten Verzeichnis ist, so sind deren Dateien und die Verzeichnisse darunter mit dabei. Wenn so das Verzeichnis durch Benutzername / Passwort geschützt, so sind andere htaccess-Regeln dem Betreff zur Sicherheit hinfällig.
bplacedlive access Verzeichnisschutz
Im Folgenden ist eine Beschreibung, wie welches mit bplacedlive access zu erstellen ist und worauf Acht zu geben ist.
- Anmeldung auf bplacedlive access (la).
https://la.deinunsername.bplaced.net// - Das Verzeichnis
wordpressanklicken → die Schaltfläche „Verzeichnisschutz“ anklicken, somit folgt:
-
- Verzeichnisschutz: ‚Name des Schutzes‘, individuell.
- Benutzer erstellen: ‚Benutzername‘, individuell.
- Sodann das Passwort! – welches am besten in Vorbereitung selbst erstellt. Hierzu gereicht ein Passwort Generator.
- Das Passwort generiert, kopiert und notiert! – das ist dann da oben einzugeben. Das Passwort ist nach dem nun folgendem ‚Verzeichnisschutz erstellen‘ nicht mehr zu sehen. Weiter s. Pkt. 3.
- Verzeichnisschutz erstellen: Anklicken.
- Mit anklicke von ‚Verzeichnisschutz erstellen‘ ist dann dein Passwort selbst verschlüsselt! Das Passwort, das da dann bei Passwort steht, ist also nicht mehr dasselbe. Das Passwort dort, das ist nun ein anderes als eingegeben. Also das ist nun verschlüsselt und das ist der Form auch in der Datei namens
.htpasswdzu sehen. Das ist nicht einerlei. In Folge hat das Passwort von dort für sich nichts mehr zu tun mit dem direkten Log-in vom Verzeichnisschutz. Ja! – das Passwort, das da bspw. oben im Pkt. 2 von dir generiert, das funkt ganz ungeniert.
- Mit anklicke von ‚Verzeichnisschutz erstellen‘ ist dann dein Passwort selbst verschlüsselt! Das Passwort, das da dann bei Passwort steht, ist also nicht mehr dasselbe. Das Passwort dort, das ist nun ein anderes als eingegeben. Also das ist nun verschlüsselt und das ist der Form auch in der Datei namens
Nach der Erstellung vom Verzeichnisschutz
- Die Datei
.htpasswd, die automatisch erstellt wurde.- Da ist der ‚Benutzername‘ von Pkt. 2 und das Passwort, welches da verschlüsselt ist.
Der .htpasswd ist zu sehen:
benutzername:vErsChlüSSelter.hash
- Dazu der
.htaccess-Datei, die auch automatisch erstellt wurde.- Je nachdem von schon bestehenden
.htaccessist die htaccess-Regel zur.htpasswdmit dabei.
- Je nachdem von schon bestehenden
Der .htaccess folgt automatisch diese Regel:
AuthType Basic require valid-user AuthName "bspw_vs" AuthUserFile /users/deinuser/www/wordpress/.htpasswd
AuthName "bspw_vs" das ist der ‚Name es Schutzes‘, der da im Pkt. 1. Verzeichnisschutz eingegeben wurde.
Nun Aufgepasst!
Im Verzeichnis wordpress sind hierdurch alle Dateien und Ordner integriert. Somit ist ohne Benutzername und Kennwort der Besuch der Website nicht möglich.
- Daher ist hier z. B. im Verzeichnis
wordpressder.htaccess-Datei die htaccess-Regel mit FilesMatch*<Files wp-login.php>…</Files>zu editieren.
* Using FilesMatch and Files in htaccess
Das leitet nun auf die wp-login.php:
<Files wp-login.php> AuthType Basic require valid-user AuthName "bspw_vs" AuthUserFile /users/deinuser/www/wordpress/.htpasswd </Files>
Somit ist die Website normal zu besuchen. Und zur Anmeldung für das WP-Log-in zum Backend erfolgt erst vom Verzeichnisschutz die Abfrage von Benutzername / Passwort.
- Mit dem anklicke auf Schutz entfernen erfolgt die Löschung des Verzeichnisschutzes. Das ist von sofort wirksam. Ein neuer ‚Verzeichnisschutz‘ ist dort dann wieder möglich.
Ein Artikel der Serie Notabene!