Fragen und Antworten

Wie kann ich einen Passwortschutz für eine Webseite einrichten?

Um eine Webseite oder ein bestimmtes Verzeichnis vor dem Zugriff Unbefugter zu schützen, können Sie einen serverseitigen Passwortschutz (HTTP Basic Authentication) einrichten. Dies erfolgt, indem Sie im zu schützenden Webspace-Verzeichnis eine .htaccess-Konfigurationsdatei sowie eine .htpasswd-Datei mit den gewünschten Benutzernanem und Passwörtern erstellen.

Wir empfehlen, die .htaccess- und .htpasswd-Datei über unser WebFTP direkt auf dem Webserver zu erstellen bzw. zu bearbeiten. Fortgeschrittene Benutzer können auch SFTP oder SSH verwenden, das soll an dieser Stelle aber nicht beschrieben werden.

Erstellen der .htaccess-Datei

Melden Sie sich zunächst mit ihren FTP-Zugangsdaten bei unserem WebFTP-Dienst an. Wechseln Sie dann in das gewünschte Webspace-Verzeichnis und prüfen, ob es hier bereits eine Datei mit Namen .htaccess gibt. Wenn ja, klicken Sie auf die Datei und wählen Bearbeiten. Falls nicht, klicken Sie unten im Menü auf das Symbol + und wählen Neue Datei sowie .htaccess als Dateiname.

Fügen Sie dann folgende Zeilen am Anfang der Datei hinzu und speichern die Änderungen ab:

AuthName "Administrationsbereich" AuthType Basic AuthUserFile /homepages/u2222/.htpasswd Require valid-user

"Administrationsbereich" können Sie dabei durch jeden beliebigen Titel für den Passwort-Dialog ersetzen, zum Beispiel "Login".

Desweiteren muss in der Zeile AuthUserFile ... die Benutzerkennung u2222 durch Ihre Webserver-Benutzerkennung ersetzt werden.

Falls Sie die .htaccess-Datei in einem Unterverzeichnis angelegt haben, müssen Sie nach der Benutzerkennung noch den Pfad zu diesem Verzeichinis angeben, z.B.:

AuthUserFile /homepages/u2222/unterverzeichnis/.htpasswd

Erstellen der .htpasswd-Datei

Die Benutzernamen und Passwörter werden nicht in der .htaccess-Datei, sondern in einer separaten Datei mit Namen .htpasswd abgelegt. Diese Datei können Sie genau wie bei der .htaccess-Datei beschrieben per WebFTP erstellen bzw. bearbeiten.

Die Passwort-Datei enthält alle gültigen Benutzernamen und die dazugehörigen Passwörter in verschlüsselter Form. Um die verschlüsselten Passwörter zu generieren, können Sie unseren Passwort-Generator verwenden. Kopieren Sie dort die Ausgabe für jeden gewünschten Benutzer und fügen sie als neue Zeile zur Passwort-Datei hinzu.

Der Inhalt einer solchen Datei sieht dann beispielsweise so aus:

admin:$2y$10$j3VU0EwErcxMxzTG5mUKauatK9VDJ7kUM7A36qfO4fvJUhcznVLFC benutzer:$2y$10$mr9ZBnL.jXkW5voNYjfxtu7hsFX.vkcnGlXTkpl..qYsvV1y0CpZe

Achten Sie dabei darauf, dass der Pfad zur Passwort-Datei in der .htaccess-Datei genau mit dem Ort übereinstimmt, wo die Passwort-Datei abgelegt wurde. Sie können die Passwort-Datei auch außerhalb des geschützten Verzeichnisses anlegen, etwa wenn mehrere .htaccess-Dateien die gleiche Passwort-Datei verwenden sollen.

Der Passwortschutz sollte nun funktionieren. Das Passwort wird insgesamt dreimal abgefragt. Falls beim dritten Versuch kein gültiger Benutzer oder kein gültiges Kennwort angeben wurde, erscheint eine Fehlerseite, die sie auf Wunsch auch selbst gestalten können.

HTTPS-Verschlüsselung

Beachten Sie bite, dass Benutzername und Passwort bei unverschlüsselten HTTP-Verbindungen im Klartext übertragen werden. Es ist daher empfehlenswert, ein SSL-Zertifikat (Sectigo oder Let's Encrypt) für die gewünschte(n) Domain(s) zu beauftragen um eine verschlüsselte HTTPS-Verbindung verwenden zu können.

Hierbei sollten Sie beachten, dass eine Umleitung von unverschlüsselten HTTP-Verbindungen auf verschlüsselte HTTPS-Verbindungen vor der Passwortabfrage erfolgen sollte. Hierzu können Sie für die gewünschte(n) Domain(s) ein HTTPS-Weiterleitung im Kundenmenü einstellen, oder folgende Direktiven in der .htaccess-Konfigurationsdatei vor dem Passwortschutz hinzufügen:

RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]