Joomla!®-Backend durch .htaccess- & .htpasswd-Datei schützen

Joomla! ist seit langem nach Wordpress das am meist genutzte Content Management System mit rund 6% Marktanteil.

Jeder der schon einmal mit Joomla! gearbeitet hat weiß, dass das Joomla!-Backend via www.domainname.at/administrator erreichbar ist, daher wird dieses Backend häufig durch verschiedenste Angreifer attackiert. Um dem vorzubeugen gibt es eine einfache Lösung, und zwar einen .HTACCESS-Schutz für das Joomla!-Verzeichnis "administrator". In diesem Artikel beschreiben wir, wie dieser Schutz eingerichtet werden kann.

 

Inhaltsverzeichnis

 

Einführung zu ".htaccess" & ".htpasswd"

Ein ".htaccess"/".htpasswd"-Schutz besteht aus zwei Dateien, die via FTP in das "/administrator"-Verzeichnis Ihrer Joomla!®-Installation geladen werden müssen.

  • Die Befehle in der ".htacces"-Datei geben an, dass das Verzeichnis, in dem die Datei liegt, durch ein Passwort geschützt ist. Weiters wird dort der Pfad zur Passwort-Datei angegeben.
  • In der ".htpasswd"-Datei hingegen sind die Benutzerdaten der Zugangsberechtigten Benutzer abgespeichert.

 

Wichtig: Diese Zugangsdaten haben nichts mit den eigentlichen Zugangsdaten zu Ihrer Joomla!®-Website gemein!

 

Erstellung der ".htaccess"-Datei

Zuerst muss man mit einem Editor eine Datei namens ".htaccess" (ohne Dateiendung) anlegen und folgenden Code in diese Datei kopieren

AuthUserFile joomla-root/administrator/.htpasswd
AuthName "Bitte Anmelden"
AuthType Basic
<Limit GET>
require valid-user
</Limit>

"joomla-root" muss durch den absoluten Serverpfad ersetzt werden. Eine Anleitung, wie man diesen Pfad herausfinden kann, finden Sie in diesem Tutorial.

  

Erstellung der ".htpasswd"-Datei

Im Anschluss muss man eine Datei namens ".htpasswd" (ohne Dateiendung) anlegen. In diese Datei werden alle Benutzerdaten inkl. Passwörter gespeichert.

In jede Zeile kommt ein Benutzer in folgendem Syntax: "Benutzername:Passwort". Das Passwort wird nicht im Klartext, sondern als sogenannter MD5-Hash gespeichert. Um diese Zeile zu generieren, kann man einen der vielen verfügbaren Online-Generatoren (z.B. https://www.web2generators.com/apache-tools/htpasswd-generator) verwenden.

Die Code-Zeile für einen Benutzer "maximilian" mit dem passwort "demo0815" würde z.B. lauten:

maximilian:$1$ChUhDygs$PzbwNoZn4M8S2kW3z/hMK.

Wenn es nur diesen einen Benutzer gäbe, wäre diese eine Zeile auch schon alles, was in die .htpasswd-Datei geschrieben werden muss. Soll es 3 unterschiedliche Benutzer geben, würde diese Datei aus 3 Zeilen bestehen.

 

Testen des neuen Passwortschutzes

Wenn Sie beide Dateien hochgeladen haben, erscheint beim nächsten Aufruf des Joomla!-Backends ein Pop-Up-Fenster für die Passwortabfrage. Dieses Fenster sieht je nach verwendetem Browser unterschiedlich aus.

.htpasswd Passwortabfrage

 

Fehlerbehebung

Es ist ganz normal, dass Sie die Zugangsdaten 2-3 mal eingeben müssen.

Sollte ein Fehler auftreten (z.B. "Error 500") liegt es in den meisten Fällen an einem falsch gesetzten Pfad zur .htpasswd-Datei in der .htaccess-Datei!

Sie wollen ein Joomla!®-Update buchen?

Dann kontaktieren Sie uns jetzt!

Angebot einholen
 office@joomla-update.at
+ 43 316 811 652