Das Internet ist offen für alle – das ist einer der Grundsätze des Internets. Aber so schön das ganze sein mag, so viele Daten sollte nicht jeder empfangen können. Dennoch ist es oftmals bequemer diese Daten online zu stellen und für unbefugten Zugriffen zu schützen. Dazu gibt es vielfältige Möglichkeiten, jede mit anderen Vor- und Nachteilen.
Neben den üblichen PHP-Sessions mit Benutzer/Passwort und MySQL Datenbank, welche für Anfänger recht kompliziert sind, gibt es eine wesentlich einfachere Methode.
Eine der sichersten und beliebtesten Methoden ist via .htaccess Zugriffe zu limitieren. Die Datei .htaccess wird auf Apache-Servern zum konfigurieren verwendet. Hierbei gibt es zwei Möglichkeiten, die miteinander kombiniert werden können:
- Man erlaubt IPs die auf einen Ordner zugreifen können (Whitelisting).
order deny,allow deny from all allow from 216.224.
Das ganze funktioniert auch als Blacklisting. Dabei werden also IPs explizit ausgeschlossen:order allow,deny allow from all deny from 216.224.
In den vorangegangenen Codebeispielen wird jeweils ein ganzer IP-Bereich (englisch Range) ausgeschlossen bzw. zugelassen. Dieser ändert sich meistens nur ganz selten für den eigenen Privathaushalt.
Das heißt, dass die Technik auch bei den Backends von Content-Management-Systemen gute Dienste leisten kann. So kann bei Typo3 der Ordner “typo3″, bei Joomla! der “administrator” oder bei WordPress “wp-admin” vor unberechtigten Zugriffen geschützt werden. - Ein Passwortschutz lässt sich auch einrichten. Dazu empfiehlt sich das kostenlose Skript xssen.php. Diese Datei lädt man in den zu schützenden Ordner und ruft sie auf. Nun legt man den Bereichsnamen fest (optional) und einen Benutzernamen als auch ein Passwort. xssen erstellt nun eine .htaccess und .htpasswd mit dem Benutzernamen und Passwort (in md5-Hash).
Werden beide Möglichkeiten kombiniert, so kann nur ein IP-Bereich mit bekannten Benutzernamen und Passwort auf den geschützten Ordner zugreifen.
Natürlich kann man auch mehr als einen Benutzer anlegen und mehr als einen IP-Bereich sperren bzw. zulassen. Dazu sollte man sich allerdings näher mit der .htaccess beschäftigen.
Ein großer Vorteil dieser Methode ist, dass sämtliche Dateien und Unterordner auch durch die .htaccess-Datei geschützt werden. Sollte also ein Direktlink bekannt sein, so ist das aufrufen dennoch nicht ohne Passwort und/oder mit der richtigen IP möglich.
Sie könnte auch interessieren:
- Datenbankoptimierung leicht gemacht
- WordPress: Wartungsmodus ohne Plugin (2)
- WordPress: Sichere und bequeme Backups
Sobald neue Informationen zu diesem Beitrag vorliegen, wird er aktualisiert.
