passworgtgeschützte Webseite: möglichst sollte die Sitzung dann 2 bis 3 std. offen sein

[say_hello]

hallo und guten Tag,


ich will eine Webseite durch ein passwort im Zugang sichern - m.a.W. man soll nur zugang bekommen - wenn man durch die Passwortkontrolle geht: es soll lediglich ein einziger Benutzer angelegt werden:

Als erstes denke ich, ist die Anlage einer .htpasswd Datei in einem Verzeichnis notwendig: dabei glaube ich ist es wichtig dass diese Datei im Grunde auch abseits der darauf verweisenden .htaccess Datei liegt Also es ist im Grunde so gedacht dass die .htpasswd nicht das Verzeichnis und deren Unterverzeichnisse in der die Datei liegt absichert,

Nein - es ist vielmehr so dass die Datei eine Liste bzw. ein 'Inhatsverzeichnis darstellt - aller möglichen Zugangsdaten. Absichern tut die .htaccess Datei
Sie - also die .htacess-Datei übernimmt die eigentliche Sicherungsaufgabe das Verzeichnis und aller darunter liegenden Unterverzeichnisse
mit einem Passwortschutz versehen. Aus diesem Grunde ist es glaube ich auch wichtig - wo die .htacces datei abgelegt wird.


Also - bei meiner Aufgabe handeld es sich um eine Wordpress-Seite- Da gbibt es schon ein HTACCESS. Deshalb denke ich dass ich die .htaccess Datei anpassen muss. So oder so muss folgender Code in die Datei rein:

AuthType Basic
AuthName "Passwortgeschützter Bereich"
AuthUserFile /pfad/zur/datei/.htpasswd
Require valid-user

Man muss darauf achten, dass der Pfad zu der Datei auch richtig gesetzt wird m.a.W. dass der richtige Pfad zur .htpasswd Datei angegeben ist.
Aus Sicherheitsgründen sollte die .htpasswd Datei in einem anderen Verzeichnis gespeichert sein als die jeweilige .htaccess Datei, die auf die .htpasswd verweist.

Was ist - wenn ich diese Passwortsicherung etwas aufwändiger haben will -also etwa so dass immer wenn ich die Seite betrete nach dem Passwort-Eingeben.

- ich dann die Seite offenstehen hab auf meinem Rechner?!
- also dass die Seite für 2 oder drei Stunden offen steht
- auf meinem aufrufnenden Rechner
- ist dies moeglich !?

Was meint ihr denn - was meint ihr zu diesem Zusatz!?

 

[nik]

Wenn du eh schon Wordpress nutzt, könntest du auch gleich das für den Zugriff nutzen. Gibt da dann auch entsprechende Plugins, um die Einstellungsmöglichkeiten zu verbessern.

Ich frage mich allerdings, was du mit den 2-3Stunden bezweckst und wie du das genau meinst. Soll das dann greifen, selbst wenn die Seite nicht neu geladen wird (also forced logout) oder regulär bei einem neuen Seiten Aufruf? Und was ist, wenn der User zu der Zeit aktiv ist?

 

[say_hello]

guten Abend Nik


- danke vorweg - vielen dank fürs Posten und für eure wertvollen Beiträge: deine Idee ein WP-Plugin zu verwenden - die klingt sehr interessant. Ich habe mit mal ein 'Plugin näher angesehen:

How to Restrict WordPress Site Access by IP or Logged In ...
vgl. Restricted Site Access bzw: Restricted Site Access

Beschränke den Zugriff auf deine Website auf angemeldete Besucher oder auf einen spezifischen IP-Bereich. Sende Besucher ohne Zugriff zur Anmeldeseite, leite sie weiter oder zeige eine Nachricht oder Seite an. Eine optimale Lösung für Extranets, öffentliche Intranets oder parallele Entwicklungsumgebungen.

mehr dazu unten...

.....generell ist es so, dass das mit htpasswd generell geht:

um das Verzeichnis, das man schützen will, muss man eine .htaccess-Datei. einrichten - z.b. also so
.htaccess-Datei für Passwortschutz

# .htaccess-Datei für Passwortschutz
AuthType Basic
AuthName "Geschützter Bereich - jetzt ein Passwort eingeben!"
AuthUserFile /Individueller/Pfad/.htpasswd
Require valid-user0

Um einen Passwortschutz einzurichten, braucht man generell folgende Anweisungen wie z.B. AuthType, AuthName, AuthUserFile, und wenn auch mit einem Benutzergruppen arbeiten will dann noch mit AuthGroupFile. Ferner benötigt man wenn der Zugriff auf bestimmte Benutzer oder Gruppen aus diesen Dateien festlegt (also einschränken) sein soll, eine oder mehrere Angaben der Anweisung Require.

AuthType bezeichnet die Art der Authentifizierung. Webserver/htaccess/Passwortschutz – SELFHTML-Wiki

Basic: sogenannte HTTP Basic Authentication (einfache Authentifizierung über HTTP). Dabei stehen die Benutzernamen und die zugehörigen Passwörter in einer noch anzugebenden Datei. Diese Methode verlangt aber, dass das Passwort unverschlüsselt vom Browser an den Webserver übermittelt wird. Sie ist daher nicht wirklich sicher.
Digest: Dabei werden Passwörter bereits in verschlüsselter Form abgefordert, allerdings beherrschen das nicht alle Browser. Sie müssen daher entscheiden, was für Sie Vorrang hat: höhere Sicherheit oder die Berücksichtigung der Browser und Clients, die nur die einfache Authentifizierung unterstützen.
AuthUserFile: gibt die Datei an, in der die Namen der autorisierten Benutzer und ihre Passwörter stehen. Es sollte der vollständige absolute Pfadname angegeben werden.
Require: Legt mit einem zweiten Schlüsselwort fest, für welche Benutzer, bzw. Benutzergruppen das Passwort gelten soll. Hinter diesem Schlüsselwort können ein oder mehrere Namen von Benutzern oder Benutzergruppen folgen. Alternativ können Sie auch das Schlüsselwort valid-user benutzen, um alle Benutzer zuzulassen, falls die Liste sonst zu lang werden würde.
user: gefolgt von einer Liste der Benutzer
group: gefolgt vom Namen der Gruppe

und weiters: htpasswd Datei erstellen

Damit der Verzeichnisschutz mit Passwort funktioniert, genügt die .htaccess-Datei alleine allerdings nicht. Sie brauchen zusätzlich eine Text-Datei, in der (der Benutzername und) das zugehörige Passwort steht.

.htpasswd-Datei
# Passwort-Datei
name:$2y$05$MQ7RdCCRrKmBEDD/u4pks.9qAV8RCKy4YCP2pzgmc4lppfli41zC
Achtung!

Theoretisch können Sie Passwörter im Klartext notieren. Da sie so aber auch von Fremden ausgelesen werden können, sollten Sie sie immer verschlüsseln. Dabei sollten Sie folgendes berücksichtigen: Verzichten Sie dabei auf die veraltete MD5-Verschlüsselung.
Benutzernamen dürfen nicht länger als 255 Bytes sein und weder den Punkt noch den Doppelpunkt als Zeichen enthalten.
Da der Apache Webserver Kommentare in den Passwortdateien unterstützt ist es - obwohl mit htpasswd möglich - keine gute Idee, das Raute-Zeichen ("#") im Benutzernamen zu verwenden. Der Benutzer kann sich dann ganz einfach nicht anmelden.
Unter Windows werden Passwörter, die länger als 255 Bytes sind auf 255 Bytes gekürzt. Beachten Sie, dass deutsche Umlaute unter UTF-8 zwei Bytes benötigen. Wenn nicht ausdrücklich vom Provider bzw. Webmaster anders bestimmt, sollten Sie außerdem für die Datei einen Namen wählen, der mit .ht beginnt, üblicherweise eben .htusers oder .htpasswd. In der Konfiguration des Apache-Servers sind solche Dateinamen als Grundeinstellung vorgegeben und werden, wie oben bereits erläutert, aufgrund des vorangestellten Punktes nicht zur Ansicht freigegeben, bleiben also vor Besuchern verborgen.
Zusammen mit dem Apache wird ein kleines Hilfsprogramm ausgeliefert, das die Erstellung solcher Passwortdateien vereinfacht. Es heißt htpasswd (unter Windows: htpasswd.exe) und ist über die Konsole (Eingabeaufforderung) zu bedienen. Rufen Sie es einfach mit dem Befehl htpasswd -h auf, um eine kurze Hilfe zu seiner Verwendung zu erhalten. Im einfachsten Fall geben Sie zum Beispiel

htpasswd -c .htusers smuenz

oder, falls Sie einen Apache 2.4 oder neuer haben, sehr viel besser:

htpasswd -c -B .htusers smuenz

ein. Sie müssen für den neuen Benutzer smuenz ein Passwort angeben und bestätigen. Diese Passwortdatei können Sie dann in das vorgesehene Verzeichnis verschieben oder hochladen. Bitte beachten Sie hinsichtlich der Option "-c": Es wird eine neue Passwortdatei angelegt! Wenn Sie das nicht wollen, weil das bestehende Einträge löscht, dann lassen Sie das "-c" weg, die Einträge werden dann angehängt oder ersetzt.

Zusammengefasst sind die wichtigsten Regeln für .htpasswd:
Die Datei muss auf dem Web-Server, jedoch außerhalb des Web-Space liegen. Sie darf per HTTP weder gelesen und schon gar nicht geschrieben werden.
Sie muss root gehören.
Sie darf nur durch root geschrieben werden.
Der Benutzer, unter dem das Web-Server-Programm lauft, darf in dem Verzeichnis, in dem die Datei .htaccess liegt, keine Dateien anlegen und keine Datei löschen können.

Aber Nik - deine Idee ein WP-Plugin zu verwenden - die klingt sehr interessant. Ich habe mit mal ein 'Plugin näher angesehen:
How to Restrict WordPress Site Access by IP or Logged In ...
vgl. Restricted Site Access bzw: Restricted Site Access

Beschränke den Zugriff auf deine Website auf angemeldete Besucher oder auf einen spezifischen IP-Bereich. Sende Besucher ohne Zugriff zur Anmeldeseite, leite sie weiter oder zeige eine Nachricht oder Seite an. Eine optimale Lösung für Extranets, öffentliche Intranets oder parallele Entwicklungsumgebungen.

- Adds a number of new configuration options to the Reading settings panel as well as the Network Settings panel in multisite. From these panels you can:
- Enable or disable site restriction
- Change the restriction behavior: send to login, redirect, display a message, display a page
- Add IP addresses to an unrestricted list, including ranges
- Quickly add your current IP to the unrestricted list
- Customize the redirect location, including an option to send them to the same requested path and set the HTTP status code for SEO friendliness
- Define a simple message to show restricted visitors, or select a page to show them – great for „coming soon“ teasers!

reviews:

Protecting my development and test sites with this Plugin has been part of my workflow for a long time.
It’s simple, effective and elegant–works so seamlessly that I forget it’s not just part of core WordPress.
I’m delighted to see the authors are continuing to actively support it as is evidenced by the “Under
the hood refactoring and clean up for performance and maintainability” in the latest maintenance releas

this plugin is briliant if you want to launch a new site of work on an existing one.
You simply generate a new ‘coming soon’ page with your favorite page builder and point to it.
You add your IP (and everyone else’s you want to give access to) and you can savely test processes on the live url,
with everybody else being denied access.

great plug-in to restrict site access by IP address.
I’m glad I found this useful and easy to use plug-in (settings through Dashboard, Settings, Reading, below)

After trying a few plugins who gave a lot of really advanced options. And took too long for my attention span to get
it working. This charming little plugin came in. And all was well.

am a divi user and this plugin allows me to create my maintenance pages with the builder. Very nice !
I am staging on the internet and wanted to hide my development. This works perfectly. most construction page plugins are very limited in what they do. with this plugin you can put your old html site into a subfolder while contructing your stunning wordpress pages by redirecting visitors to the subfolder. works like a charme

ich werde dieses Plugin näher ansehen und testen.

Dir nochmals vielen Dank ---