Hilfe-Center
Home Hosting Weitere Skript- und Programmiersprachen

Passwortschutz mittels .htaccess und SSH einrichten

Dieser Artikel beschreibt, wie Sie mit Hilfe einer .htaccess-Datei serverseitig einen passwortgeschützten Bereich für Ihre Website einrichten.

Bei einem serverseitigen Passwortschutz führt der Webserver selbst die Authentifizierung durch. Diese Methode ist sicherer als ein clientseitiger Passwortschutz (z.B. mit JavaScript), der im Browser ausgeführt wird und daher leichter zu umgehen ist.

Voraussetzungen

Für diese Anleitung benötigen Sie ein Hosting-Produkt mit SSH-Zugang.

Hinweis

Für die folgende Anleitung sind Grundkenntnisse im Umgang mit SSH, der Linux-Kommandozeile und der Verwendung von SFTP (Secure File Transfer Protocol) für den Dateitransfer zum Webspace des Pakets erforderlich.

Keine Erfahrung mit SSH und SFTP? Ihr IONOS Konto bietet eine benutzerfreundlichere Alternative: Sie können einen serverseitigen Passwortschutz auch ohne diese technischen Vorkenntnisse einrichten. Detaillierte Informationen finden Sie im Artikel: Verzeichnisschutz für Webspace im IONOS Konto einrichten

Überblick: So richten Sie den Passwortschutz ein

Die Einrichtung erfolgt in drei Schritten:

  • Sie erstellen eine Passwortdatei mit den gewünschten Benutzern.
  • Sie erstellen eine .htacces-Datei zur Konfiguration des Passwortschutzes.
  • Sie aktivieren den Passwortschutz.
     

Die einzelnen Schritte werden im Folgenden detailliert beschrieben.

Passwortdatei erstellen (.htpasswd)

Damit der Passwortschutz funktioniert, wird eine Passwortdatei benötigt, die die autorisierten Benutzer mit den zugehörigen Passwörtern enthält. Mit den folgenden Schritten erstellen Sie eine Passwortdatei mit dem Namen .htpasswd und legen Ihren ersten Benutzer an:

  • Melden Sie sich per SSH auf Ihrem Webspace oder Server an. Detaillierte Informationen finden Sie im Artikel: SSH-Verbindung mit PuTTY herstellen

  • Geben Sie im Terminalfenster den Befehl htpasswd nach dem folgenden Schema ein:

    htpasswd –Bc .htpasswd <Benutzer>

    Ersetzen Sie im Befehl den Platzhalter <Benutzer> durch den Namen des Benutzers, den Sie anlegen möchten. Um zum Beispiel den Benutzer Haensel anzulegen, geben Sie folgenden Befehl ein. 

    htpasswd –Bc .htpasswd Haensel

  • Führen Sie den Befehl aus, indem Sie die Taste Enter drücken. 

    Sie werden nun aufgefordert, das Benutzer-Passwort festzulegen.
  • Geben Sie das gewünschte Passwort ein und bestätigen Sie mit Enter.

    Es wird eine Passwortdatei mit dem Namen .htpasswd erstellt, die den Benutzernamen und das Passwort enthält. Das Passwort wird verschlüsselt gespeichert und kann daher später nicht mehr eingesehen werden. Zur sicheren Verschlüsselung wird die kryptographische Hashfunktion bcrypt verwendet, die speziell für die Speicherung von Passwörtern entwickelt wurde.

.htaccess-Datei erstellen

  • Öffnen Sie auf Ihrem Computer einen Texteditor (z.B. Notepad) und kopieren Sie die folgenden Code-Zeilen hinein:

    AuthType Basic
    AuthName "Geben Sie Ihre Zugangsdaten ein"
    AuthUserFile /kunden/homepages/xx/xxxxxxxxx/htdocs/.htpasswd
    require user Benutzername

  • Passen Sie den Code an Ihr Projekt an:
    • Die Zeichenfolge hinter AuthName  können Sie nach Belieben ändern. Sie wird als Titel im Dialogfeld für die Passwortabfrage angezeigt.
    • Die Zeile AuthUserFile muss den vollständigen Pfad zu Ihrer Passwortdatei enthalten. 
      Wenn Sie per SSH mit Ihrem Webspace verbunden sind, können Sie sich den Pfad zu  Ihrem Webspace anzeigen lassen, indem Sie Terminalfenster den Befehl pwd eingeben und dann Enter drücken. 

      (uiserver):u123456789:~$ pwd
      /kunden/homepages/12/d12345678/htdocs

      Bei unserem Beispiel müssten Sie die Zeile AuthUserFile wie folgt ändern:

      AuthUserFile /kunden/homepages/12/d12345678/htdocs/.htpasswd

    • Tragen Sie hinter require user den Benutzer ein, den Sie mit der Passwortdatei erstellt haben. Achten Sie auf die richtige Groß/Kleinschreibung.
  • Speichern Sie die Datei unter dem Namen .htaccess .

Passwortschutz aktivieren

Um den Passwortschutz zu aktivieren, laden Sie die vorbereitete .htaccess-Datei per FTP auf Ihren Webspace in das zu schützende Verzeichnis hoch. Soll der Passwortschutz für die gesamte Website gelten, laden Sie die .htaccess-Datei in das Hauptverzeichnis Ihrer Website hoch.

Der Verzeichnisschutz ist sofort aktiv. Beim nächsten Aufruf des Verzeichnisses bzw. der Seite im Browser erhalten Sie die Passwortabfrage.

Optional: Weitere Benutzer hinzufügen

Sie können Ihrer Passwortdatei jederzeit weitere Benutzer hinzufügen.

Um einen Benutzer hinzuzufügen, führen Sie den Befehl htpasswd im Terminalfenster nach dem folgenden Schema aus:

htpasswd –B .htpasswd <Neuer_Benutzer>

Ersetzen Sie vor dem Ausführen den Platzhalter <Neuer_Benutzer> durch den Namen des Benutzers, den Sie hinzufügen möchten. Um beispielsweise den Benutzer Gretel zu Ihrer Kennwörterdatei hinzuzufügen, geben Sie den folgenden Befehl ein:

htpasswd –B .htpasswd Gretel

Achtung

Achten Sie auf die korrekte Schreibweise des Befehls. Beim Hinzufügen weiterer Benutzer darf dem Befehl htpasswd nur der Parameter -B wie in den obigen Beispielen übergeben werden. Der Parameter -Bc wie bei der Erstellung der Passwortdatei darf an dieser Stelle nicht verwendet werden. Andernfalls werden Ihre vorhandenen Benutzer gelöscht, da die Passwortdatei neu erstellt wird.

Inhalt