Wie kann man in Contao 4.4 das Backend und den Installer noch zusätzlich mit einem .htaccess Passwort schutz versehen. In Contao 3.5 war dies kein Problem. In Contao 4.4 sehe ich nicht, welchen Ordner ich schützen müsste.
Danke
Druckbare Version
Wie kann man in Contao 4.4 das Backend und den Installer noch zusätzlich mit einem .htaccess Passwort schutz versehen. In Contao 3.5 war dies kein Problem. In Contao 4.4 sehe ich nicht, welchen Ordner ich schützen müsste.
Danke
Da gibt es auch keinen Ordner. Du könntest zB so etwas in der web/.htaccess machen:(ungetestet)Code:# set an environment variable if the request path is /contao
SetEnvIf Request_URI ^/contao/? NEED_AUTH=true
# setup authentication
AuthName "Contao"
AuthType Basic
AuthBasicProvider file
AuthUserFile /path/to/.htpasswd
# first, allow everybody
Order Allow,Deny
Satisfy any
Allow from all
Require valid-user
# then, deny only if required
Deny from env=NEED_AUTH
Hallo,
um den Zugang zum Backend vor Hackerangriffen etc. zu schützen suche ich ebenfalls nach einer Möglichkeit, die "Sicherheitsstufe" hochzufahren.
Wie macht man das mit der .htaccess-Datei genau? Im Netz steht noch, daß man dazu noch eine zusätzliche Datei .htpasswd anlegen muß.
Wie setzt man das Ganze in Contao um?
Wie lässt es sich vermeiden, daß Ordner und deren Inhalte ausspioniert werden können? Welche Schutzmaßnahmen gibt es dazu?
Die Ordner parallel zu /web sind von außen erst einmal nicht erreichbar. So werden z.B. nur die Ressourcen die Du explizit in der Dateiverwaltung freigibst nach /web gesymlinkt um diese erreichbar zu machen.Zitat:
Zitat von Schnippel
Ich hab es mit Spooky's Tip so umgesetzt:
Den Code in die bestehende .htaccess oben einfügen, eine .htpasswd kannst Du Dir zB. hier erstellen: https://www.web2generators.com/apach...sswd-generatorCode:##
# Protect backend
##
SetEnvIf Request_URI ^/(contao($|/)|contao-manager\.phar\.php($|/)) require_auth=true
AuthUserFile /www/htdocs/xxxxxxxx/_hp/web/.htpasswd
AuthGroupFile /dev/null
AuthName "Contao Backend Authentification"
AuthType Basic
require valid-user
Order deny,allow
Deny from all
Allow from env=!require_auth
Satisfy any
Siehe Screenshot: Anhang 23315
ToM
Für den Passwortschutz brauchst Du natürlich auch die .htpasswdZitat:
Zitat von Schnippel
- Passwort generieren z.B. mit einemOnline Generator (https://www.web2generators.com/apach...sswd-generator)
- neue .htpasswd Datei anlegen
sollte nicht im Verzeichnis /web liegen
Ich lege diese ins Root-Verzeichnis- In die.htpasswd-Datei den generierten Wert einfügen
Ich habe das so wie beschrieben umgesetzt, bekomme aber dann nach dem Browser-Login eine Fehlerseite 500, sodaß ich nicht auf die Anmeldemaske vom Contao BE gelange.
Als Generator habe ich verwendet: https://generate.plus/en/passwords/htpasswd
und Bcrypt
In der .htaccess steht
Contao-System ist 4.9.1Code:SetEnvIf Request_URI ^/(contao($|/)|contao-manager\.phar\.php($|/)) require_auth=true
AuthUserFile /html/xyzordner/.htpasswd
AuthGroupFile /dev/null
AuthName "Contao Backend Authentification"
AuthType Basic
require valid-user
Order deny,allow
Deny from all
Allow from env=!require_auth
Satisfy any
Server = Mittwald
Wie lässt sich das Problem beheben?