Verzeichnisse auf Webseiten schützen per .htaccess

Top secret: So verpassen Sie Ihrer Website einen Zugriffsschutz

5
(1)
Kommentar schreiben
Stand: 7. September 2009

Zugriffsschutz

Sie wollen Dateien, Bilder und Videos zum Download anbieten? Sie möchten aber nicht, dass jeder diese Inhalte einsehen und herunterladen kann? Bestimmte Ordner auf Ihren Websites sollen nur für Eingeweihte zugänglich sein? Das Zauberwort lautet: .htaccess. Wir verraten Ihnen, wie Sie Verzeichnisse auf Ihren Websites erfolgreich sperren. Lernen Sie die entsprechenden Tools bekannter Webhoster kennen oder nutzen Sie gleich das von uns für Sie bereitgestellte, komfortable PHP-Skript "akaprotect"!

Methoden für den Zugriffsschutz

Klar können Sie Ihre Dateien mit einer serverseitigen Programmiersprache wie PHP schützen. Der Haken: Sie benötigen Kenntnisse in PHP. Außerdem müssen Sie alle zu schützenden Dateien und Ordner mit in den Zugangsschutz einbeziehen. Für eine schnelle Lösung kommt PHP also nicht in Frage.

Bild vergrößernAufwendiger Zugriffsschutz für das Backend in einem Content-Management System.

Zugriffsschutz ganz ohne Programmierung?

Schneller einsetzbar ist dafür eine andere "Technik", die völlig ohne Programmierung auskommt, aber bestenfalls als kurzfristige Notlösung geeignet ist: Verwenden Sie kryptische Ordner- und Dateinamen (z. B. urTd76r_uf.html statt galerie.html). Achten Sie darauf, diese Ordner und Dateien nicht zu verlinken und nicht auf den übrigen Seiten Ihrer Website zu erwähnen. Auch das sogenannte Directory Listing (Auflisten des Verzeichnisinhalts bei Eingabe des Ordnernamens in die Adresszeile) muss beim Webhoster abgeschaltet sein, bei den meisten Hostern ist das von Hause aus so. Nur wer den genauen Ordner- oder Dateinamen kennt, kommt jetzt an diese Inhalte heran. Je kryptischer die Ordner- und Dateinamen, desto höher die Sicherheit.

Aber auch hier fehlt es an Komfort. Oder haben Sie Lust, erst alle 100 Bilder Ihrer Bildergalerie umzubenennen und auch ihnen einen möglichst kryptischen Namen zu verpassen?

Zugriffsschutz per .htaccess-Datei

Eleganter und wesentlich sicherer ist die Zugriffssteuerung über .htaccess. Hier übernimmt der Server den Schutz des kompletten Verzeichnisses. Mit dieser .htaccess und der dazugehörigen Passwortdatei sperren Sie ein ganzes Verzeichnis und die jeweiligen Unterverzeichnisse. Das Ändern der im Verzeichnis enthaltenen Dateien und Unterordner ist dabei nicht nötig. Nur wer den entsprechenden Benutzernamen und das dazugehörige Passwort kennt, wird an die Inhalte herangelassen.

Beim Passwortschutz mit .htaccess verlangt der Webserver Benutzername und Passwort.

Was steckt hinter .htaccess?

Hinter der Datei .htaccess (Punkt und htaccess, ohne Endung) verbirgt sich eine Konfigurationsdatei, die mit Ihrem Webserver zusammenarbeitet. (Die Zeichenfolge ht steht für Hypertext, access heißt Zugriff.) Durch die in dieser und einer dazugehörigen Passwortdatei niedergeschriebenen Regeln und Kennwörter erzeugen Sie einen sicheren und zuverlässigen Zugriffsschutz. Während der Name .htaccess zwingend vorgegeben ist, können Sie den Namen für die Passwortdatei frei wählen. Häufig heißt sie .htpasswd. Aber auch hier gibt es einen Haken: Sie müssen vergleichsweise kryptische Zeilen in die jeweiligen Dateien schreiben. Außerdem dürfen Sie das festgelegte Passwort nicht im Klartext notieren, sondern Sie müssen es mit einem speziellen Einweg-Verschlüsselungsverfahren kodieren. Allein und ohne Skripte und Anleitung bekommen Sie das nicht hin!

Aus diesem Grund "greifen" Ihnen die verschiedenen Webhoster mehr oder weniger gut "unter die Arme". Ihr Hoster bietet ein derartiges Feature an? Im Idealfall brauchen Sie dort nur ins Kundenmenü zu marschieren. Geben Sie den gewünschten Benutzernamen und das dazugehörige Passwort ein. Wählen Sie das zu schützende Verzeichnis. Nach wenigen Sekunden ist der Verzeichnisschutz aktiv. Der Haken: Die Vorgehensweise weicht von Webhoster zu Webhoster ab. Und nicht immer sind die dort eingesetzten Tools wirklich intuitiv.

Als Mitglied können Sie diesen Beitrag weiterlesen!

Werden Sie Mitglied und testen Sie akademie.de 14 Tage lang kostenlos!

In den ersten 14 Tagen haben Sie Zugriff auf alle Inhalte auf akademie.de, außer Downloads. Sie können in dieser Zeit ohne Angabe von Gründen stornieren. Eine E-Mail an service@akademie.de genügt. Nur wenn Sie Mitglied bleiben, wird der Mitgliedsbeitrag nach Ende der 14tägigen Stornofrist abgebucht.

Ich bin bereits Mitglied
Jetzt Mitglied werden und akademie.de 14 Tage kostenlos testen
Ich entscheide mich für folgende Zahlungsweise:
14 Tage Stornorecht:
Ich kann meine Mitgliedschaft in den ersten 14 Tagen jederzeit formlos stornieren, z.B. per E-Mail an service@akademie.de.

Glückwunsch, sehr gut geschrieben und übersichtlich! Was mir gut gefällt, sind die konkreten Hinweise auf die jeweiligen Dienstleister.

Inhalt

Downloads zu diesem Beitrag

Über den Autor:

bild117340

Johann-Christian Hanke ist Sprach- und Literatur-Wissenschaftler und arbeitet seit 1996 als freier Autor für namhafte Computerbuch-Verlage und Fachzeitschriften. Insgesamt sind 70 verständlich geschri ...

Newsletter abonnieren