Backend und Installer per htaccess schützen

**Nerion** · 17.05.2018, 09:51

Wie kann man in Contao 4.4 das Backend und den Installer noch zusätzlich mit einem .htaccess Passwort schutz versehen. In Contao 3.5 war dies kein Problem. In Contao 4.4 sehe ich nicht, welchen Ordner ich schützen müsste.

Danke

**Spooky** · 19.05.2018, 12:33

Da gibt es auch keinen Ordner. Du könntest zB so etwas in der web/.htaccess machen:

Code:

# set an environment variable if the request path is /contao
SetEnvIf Request_URI ^/contao/? NEED_AUTH=true

# setup authentication
AuthName "Contao"
AuthType Basic
AuthBasicProvider file
AuthUserFile /path/to/.htpasswd

# first, allow everybody
Order Allow,Deny
Satisfy any
Allow from all
Require valid-user
# then, deny only if required
Deny from env=NEED_AUTH

(ungetestet)

**Schnippel** · 22.03.2020, 16:41

Hallo,

um den Zugang zum Backend vor Hackerangriffen etc. zu schützen suche ich ebenfalls nach einer Möglichkeit, die "Sicherheitsstufe" hochzufahren.
Wie macht man das mit der .htaccess-Datei genau? Im Netz steht noch, daß man dazu noch eine zusätzliche Datei .htpasswd anlegen muß.
Wie setzt man das Ganze in Contao um?

Wie lässt es sich vermeiden, daß Ordner und deren Inhalte ausspioniert werden können? Welche Schutzmaßnahmen gibt es dazu?

**mlweb** · 22.03.2020, 17:21

Zitat von Schnippel

Wie lässt es sich vermeiden, daß Ordner und deren Inhalte ausspioniert werden können? Welche Schutzmaßnahmen gibt es dazu?

Die Ordner parallel zu /web sind von außen erst einmal nicht erreichbar. So werden z.B. nur die Ressourcen die Du explizit in der Dateiverwaltung freigibst nach /web gesymlinkt um diese erreichbar zu machen.

**Nightwing** · 22.03.2020, 17:26

Ich hab es mit Spooky's Tip so umgesetzt:

Code:

##
#  Protect backend
##
SetEnvIf Request_URI ^/(contao($|/)|contao-manager\.phar\.php($|/)) require_auth=true
AuthUserFile /www/htdocs/xxxxxxxx/_hp/web/.htpasswd
AuthGroupFile /dev/null
AuthName "Contao Backend Authentification"
AuthType Basic
require valid-user
Order deny,allow
Deny from all
Allow from env=!require_auth
Satisfy any

Den Code in die bestehende .htaccess oben einfügen, eine .htpasswd kannst Du Dir zB. hier erstellen: https://www.web2generators.com/apach...sswd-generator
Siehe Screenshot: Unbenannt.PNG

ToM

**mlweb** · 22.03.2020, 17:32

Zitat von Schnippel

Im Netz steht noch, daß man dazu noch eine zusätzliche Datei .htpasswd anlegen muß.

Für den Passwortschutz brauchst Du natürlich auch die .htpasswd

Passwort generieren z.B. mit einemOnline Generator (https://www.web2generators.com/apach...sswd-generator)
neue .htpasswd Datei anlegen
sollte nicht im Verzeichnis /web liegen
Ich lege diese ins Root-Verzeichnis
In die.htpasswd-Datei den generierten Wert einfügen

**Schnippel** · 23.03.2020, 12:14

Ich habe das so wie beschrieben umgesetzt, bekomme aber dann nach dem Browser-Login eine Fehlerseite 500, sodaß ich nicht auf die Anmeldemaske vom Contao BE gelange.

Als Generator habe ich verwendet: https://generate.plus/en/passwords/htpasswd
und Bcrypt

In der .htaccess steht

Code:

SetEnvIf Request_URI ^/(contao($|/)|contao-manager\.phar\.php($|/)) require_auth=true
AuthUserFile /html/xyzordner/.htpasswd
AuthGroupFile /dev/null
AuthName "Contao Backend Authentification"
AuthType Basic
require valid-user
Order deny,allow
Deny from all
Allow from env=!require_auth
Satisfy any

Contao-System ist 4.9.1
Server = Mittwald

Wie lässt sich das Problem beheben?