.htaccess - Typolight schützen - bei 1blu

[Sunnygarden]

Hallo liebe Contao-Gemeinde,

ich habe Contao ganz neu entdeckt und bin schon mal stolz, es auf 1blu installiert bekommen zu haben. Habe dort das Homepage-Power-Paket mit zwei Domains. Die beiden Domains liegen jetzt in extra Ordnern bei 1blu auf dem Server. Contao habe ich in einen Unterordner der einen Domain installiert.

Jetzt mein Problem: Ich habe eine .htaccess erstellt mit dem Befehl für mod_rewrite und dem Befehl zum Schützen des CMS. Irgendwie komme ich aber mit dem Pfad nicht klar. Meine .htaccess sieht so aus:

AuthType Basic
AuthName "MeineWebsite"
AuthUserFile /var/www/Benutzername-der-Datenbank/MeineWebsite/cms-meineWebsite/.htpasswd
require valid-user


RewriteEngine On
RewriteBase /
RewriteCond % {REQUEST_FILENAME} !-f
RewriteCond % {REQUEST_FILENAME} !-d
RewriteRule .*\.html$ index.php [L]

Wenn ich das so mache - die .htpassword habe ich nach Anleitung erstellt und generiert, ich denke, die ist korrekt - dann erscheint die Fehlermeldung 500 - Internal Server Error. Dieses Fenster, in dem man die http-Authentifizierungsdaten eingeben muss, um in das Frontend zu gelangen, erscheint nicht.

Also entweder ist der Pfad falsch oder es ist grundsätzlich etwas anderes falsch, und vielleicht kann mir da jemand von Euch helfen?

Das andere Problem ist, 1blu hat mir gesagt, dass mod_rewrite unterstützt wird. Kann ich das irgendwie testen, ob es funktioniert und wenn ja, wie? Könnte es auch sein, dass die .htaccess-Datei in dem Ordner, in dem die Webseite, die derzeit im Netz ist (ohne CMS erstellt), sich mit der im Unterordner cms-meineWebsite in die Quere kommt?

Ferner habe ich gesehen, dass Contao ja bereits eine .htaccess.default mitbringt. In dieser steht auch schon "rewrite Engine on", habe ich gesehen. Muss ich denn zwingend eine neue .htaccess schreiben für dieses mod_rewrite oder genügt evtl. schon die .htaccess.default?

Danke schon mal im Voraus für Eure Antworten und freundliche Grüße von

Sunnygarden

[psren]

Für das mod_rewrite genügt die .htaccess.default...
einfach in .htacess umbenennen und ggf (wie in den kommentaren in der datei) den pfad anpassen. Dann im backend in den Einstellung auch noch das mod_rewrite aktivieren.

[Sunnygarden]

Hallo psren,

dankeschön für die Antwort.
Also mache ich es so, dass ich die .htaccess.default in .htaccess umbenenne und dann nur diese eine .htaccess-Datei habe. Da möchte ich aber gern noch mehr reinschreiben.
Dies betrifft:

1. den Schutz, der hier http://www.contao.org/neuigkeiten/it...stalltool.html empfohlen wird und


2. dieses hier, um Typolight vor evtl. Blicken anderer zu bewahren:

AuthType Basic
AuthName "MeineWebsite"
AuthUserFile /var/www/Benutzername-der-Datenbank/MeineWebsite/cms-meineWebsite/.htpasswd
require valid-user


Wobei

3. mir auch noch nicht so richtig klar ist, wie der genaue Pfad für 2. lautet.

4. Ist es eigentlich egal, wo ich diese Sachen in der ehemaligen .htaccess.default dann hinschreibe und in welcher Reihenfolge oder kann ich das machen, wie ich will?

Danke schon mal im Voraus für Eure Antworten und freundliche Grüße von

Sunnygarden

[xchs]

Da möchte ich aber gern noch mehr reinschreiben.
Dies betrifft:

1. den Schutz, der hier http://www.contao.org/neuigkeiten/it...stalltool.html empfohlen wird

Die in dieser Ankündigung aufgezeigte Methode zur Absicherung des Install-Tools betrifft aber nur den Unterordner "[TL_ROOT]/typolight/" und konkret die beiden Skripte "ftp.php" und "install.php". D.h., Du musst im Unterverzeichnis "/typolight" eine zusätzliche ".htaccess" mit diesem Inhalt erstellen:

Code:

<FilesMatch "(ftp|install)\.php$">
  AuthName "TYPOlight back end"
  AuthType Basic
  AuthUserFile /var/www/Benutzername-der-Datenbank/MeineWebsite/cms-meineWebsite/.htpasswd
  require valid-user
</FilesMatch>

Der Pfad zu Deiner Passwortdatei ".htpasswd" (siehe unten) muss natürlich noch entsprechend angepasst werden.

Die ".htaccess.default" hingegen liegt im Hauptverzeichnis/Root-Verzeichnis Deiner Installation (= [TL_ROOT]). Wenn Du diese in ".htaccess" umbenennst, kannst Du selbstverständlich dort auch Deine eigenen Regeln und Direktiven reinschreiben.

2. dieses hier, um Typolight vor evtl. Blicken anderer zu bewahren:

AuthType Basic
AuthName "MeineWebsite"
AuthUserFile /var/www/Benutzername-der-Datenbank/MeineWebsite/cms-meineWebsite/.htpasswd
require valid-user

Mir ist noch nicht ganz klar, wofür Du eigentlich den Zugriffsschutz vorsehen möchtest: Für das Backend oder für das Frontend?

Wobei

3. mir auch noch nicht so richtig klar ist, wie der genaue Pfad für 2. lautet.

Die Pfadangaben zur Passwortdatei ".htpasswd" müssen auf jeden Fall den vollständigen Serverpfad beinhalten. Wie der jetzt konkret bei Dir auf Deinem Server aussieht, kann ich Dir leider auch nicht sagen. Unter Umständen findest Du einen entsprechenden Hinweis dazu im Web-Administrationsbereich Deines Hosters bzw. in den Hilfe-/FAQ-/Support-Seiten.

Du könntest Dir auch im Hauptverzeichnis Deiner Installation eine Datei "phpinfo.php" mit folgendem Inhalt erstellen

PHP-Code:

<?php
  phpinfo();
?>

und dann über Deinen Browser ausführen. Dort solltest Du eigentlich im Abschnitt "Apache Environment" auch die korrekte Pfadangabe rausfinden können.

4. Ist es eigentlich egal, wo ich diese Sachen in der ehemaligen .htaccess.default dann hinschreibe und in welcher Reihenfolge oder kann ich das machen, wie ich will?

Naja, ganz egal ist das nicht. Hängt im Grunde von den betreffenden Regeln und Direktiven ab, welche Du verwenden möchtest. Beispiele und weitere nützliche Informationen dazu findest Du sicherlich in der Apache-Dokumentation bzw. über die Suchmaschine Deines Vertrauens.

http://www.askapache.com/htaccess/ap...-htaccess.html

[Sunnygarden]

Hallo xchs,

vielen Dank für Deine Tipps. Damit hast Du mir sehr geholfen.

zu 1.
Die Methode zur Absicherung des Install-Tools habe ich so ausgeführt, und es kommt auch ein Fenster, in dem ich mich http-authentifizieren muss. Allerdings bekomme ich danach einen Internal Server Error 500, so dass ich nicht mehr ins Backend komme.


zu 2.
Den Zugriffsschutz wollte ich in erster Linie für das Frontend machen, da ich ja noch eine Webseite in diesem Ordner zu liegen habe und Contao in einem Unterordner liegt. Und ich möchte nicht, dass mir jemand zuguckt, während ich mit Contao bastele...

Der Zugriffsschutz für das Backend erfolgt ja dann, so wie ich es sehe, über diese Methode zur Absicherung des Install-Tools, oder liege ich da falsch?


zu 3.
Die phpinfo.php habe ich erfolgreich ausführen können und habe festgestellt, dass 1blu sehr merkwürdig ist. Die haben zwar einen preiswerten persönlichen Support, bei dem ich bisher innerhalb kürzester Zeit einen Menschen am Telefon hatte, aber die FAQ finde ich mehr als dürftig.

Laut phpinfo.php lautet der Pfad bei 1blu: /hp/br/ab/qb/www/meine-webseite/cms-meine-webseite. Als ich diesen Pfad in die .htaccess eingefügt hatte, die direkt im cms-Ordner liegt, bekam ich auch das http-Fenster für die Frontend-Verschlüsselung.


zu 4.
Danke auch für den Tipp mit der Apache-Dokumentation. Die Frage ist jetzt nur noch, warum ich nicht mehr ins Backend komme, wenn ich die .htaccess in den Typolight-Ordner packe.


Danke schon mal im Voraus für Eure Antworten und freundliche Grüße von

Sunnygarden

[xchs]

Die Methode zur Absicherung des Install-Tools habe ich so ausgeführt, und es kommt auch ein Fenster, in dem ich mich http-authentifizieren muss. Allerdings bekomme ich danach einen Internal Server Error 500, so dass ich nicht mehr ins Backend komme.

Also, wenn Du in der ".htaccess" nur das drinnen hast, was ich oben gepostet habe, dann dürfte die Authentifizierung ausschließlich beim Aufruf des Install-Tools greifen (/typolight/install.php). Die URL zum Backend lautet aber ja "/typolight/index.php", von daher dürfte in diesem Fall keine Server-Authentifizierung notwendig sein. Deshalb verstehe ich auch nicht, wieso Du deswegen nicht mehr in das Backend kommen solltest.

Wenn Du im Gegensatz dazu das Install-Tool aufrufst und nach Eingabe der Zugangsdaten in der Server-Authentifizierung ein Error 500 ausgegeben wird, dann liegt mit Sicherheit ein Fehler in Deiner ".htaccess"-Datei vor, vermutlich ein falscher oder unvollständiger Pfad zur Passwort-Datei ".htpasswd"

[Sunnygarden]

Hallo xchs,

danke für Deine Antwort, die allerdings zur Folge hatte, dass ich schon wieder ein paar Fragezeichen in meinem Kopf habe...

Ich hab ja bisher immer gedacht, wenn dieses http-Authentifizierungsfenster kommt, habe ich irgendwas richtig gemacht. Wenn ich nämlich den Pfad ändere, kommt dieses Fenster auch nicht mehr. Allerdings bleibt das Problem mit der Fehlermeldung, so dass wohl doch irgendwas falsch sein muss.

Mir ist aufgefallen, dass ich ja gar keine Datei ftp.php im Ordner /typolight habe, weil ich den Safe Mode Hack nicht aktiviert habe. Da die typolight-check.php mir mitteilte, dass ich Typolight ohne den Safe Mode Hack verwenden kann, hab ich den auch nicht aktiviert.

Und so, wie ich das hier im Forum verstanden habe, muss ich den auch nur aktivieren, wenn die typolight-check.php mir das mitteilt, dass ich ihn aktivieren soll. Also kann ja die .htaccess im Verzeichnis /typolight nicht auf ftp.php zugreifen. Könnte meine Fehlermeldung evtl. etwas damit zu tun haben, oder hab ich da jetzt einen völlig falschen Gedankengang?


Danke schon mal im Voraus für Eure Antworten und freundliche Grüße von

Sunnygarden

[xchs]

So peu à peu nähern wir uns einem gemeinsamen Verständnis

Ich halte fest: Du hast also das CMS im Ordner "typolight" installiert. Wenn dem so ist, dann ist der Ordner, von dem ich spreche der Unterordner "typolight", bei Dir also dann "/typolight/typolight/". Wenn Du dort schaust, wirst Du sehen, dass es dort eine "ftp.php", eine "install.php" und auch eine "index.php" gibt.

[Sunnygarden]

Hallo xchs,

danke für Deine irre schnelle Antwort. Also ich habe Typolight installiert in folgendem Pfad:

www/meinewebseite/cms-meinewebseite.

In dem Ordner cms-meinewebseite befinden sich die Typolight-Ordner plugins, system, templates, tl_files, typolight, typolight-check.

Dort im Ordner typolight habe ich eine install.php, eine index.php und andere php-Dateien, aber keine ftp.php zu liegen. Vielleicht sollte ich noch hinzufügen, dass ich Contao 2.8.3 nutze und die typolight-check.php mir alles in grün, also keine Fehler, anzeigt.


Gruß,

Sunnygarden

[xchs]

Ok, ja, hast Recht. Vergiss das mit der "ftp.php". Braucht Dich im konkreten Fall auch nicht weiter zu interessieren, denn alles andere bleibt so wie gehabt: Den in der von Dir zitierten Ankündigung gewünschten Schutz richtest Du per ".htaccess" in eben diesem Ordner ein.

[Sunnygarden]

Hallo xchs,

danke für Deine wieder sehr prompte Antwort. Ich habe jetzt ein Erfolgserlebnis, das sich folgendermaßen darstellt:

Wenn ich das Backend mit der .htaccess absichere, dann kommt das http-Authentifizierungsfenster, in das ich mich einlogge und ich bekomme dann beim Aufrufen der install.php die Error-Meldung 500. Aber - der Erfolg ist: Ich kann mich ganz normal ins Backend einloggen!!!

Also ich denke ja bald, das hat irgendwas mit 1blu zu tun, dass, sobald ich eine .htaccess mache mit dem offensichtlich richtigen Pfad (sonst würde ja m. E. das http-Fenster nicht kommen) dann ein Fehler 500 erscheint.

Hat denn hier keiner diesbezügliche Erfahrungswerte mit 1blu (Mittlerweile hab ich auch mitgekriegt, dass es wohl nicht der allerbeste Hoster ist...)?

Gäbe es denn auch eine Möglichkeit, das gesamte Backend und nicht nur das Installtool mit so einer http-Authentifizierung abzusichern und wenn ja, wie würde das denn gehen?


Danke schon mal im Voraus für Eure Antworten und freundliche Grüße von

Sunnygarden

[Sunnygarden]

Hallo, ich schon wieder. Ich hab grad mit einem netten Herrn von 1blu telefoniert und bin jetzt ziemlich verwirrt.

Er hat mir Folgendes gesagt zu meiner .htaccess (hier: für das Installtool):

PHP-Code:

<FilesMatch "(ftp|install)\.php$">
  AuthName "TYPOlight back end"
  AuthType Basic
  AuthUserFile /var/www/Benutzername-der-Datenbank/MeineWebsite/cms-meineWebsite/.htpasswd
  require valid-user
</FilesMatch> 


1. Filesmatch soll ich weglassen, ist zu kompliziert.

2. Das Installtool brauche ich nach der Installation nicht, das könnte ich auch löschen.

3. Der Benutzername der Datenbank hat im absoluten Pfad nichts zu suchen (obwohl es in der Video2brain-DVD mit Datenbank im Pfad vorgeführt wurde).

4. /var hat vor dem absoluten Pfad nichts zu suchen.

Nach dem, was ich bisher so mitgekriegt habe, scheinen aber var und filesmatch wichtig zu sein. Was nun? Ich bin da jetzt echt ratlos, zumal die Tipps, die er mir gegeben hat, weder dazu führen, dass eine http-Authentifizierung erfolgt noch dazu, dass ich ins Installtool komme. Nee, ich kriege gleich nach Aufruf der install.php die 500er-Fehlermeldung.

Also Typolight und 1blu scheinen keine gute Allianz zu bilden...

Hat jemand eine Idee, wie ich das lösen kann?

Danke schon mal im Voraus für Eure Antworten und freundliche Grüße von

Sunnygarden

[Sunnygarden]

Hallo, liebe Contao-Gemeinde,

nach stundenlangem Herumbasteln (ich lasse mir von 1blu-Antworten doch nicht den Elan nehmen!) sieht es jetzt so aus, als hätte ich Frontend UND Backend absichern können!!! Und da vielleicht noch jemand so drauf ist wie ich und 1blu als Hoster wählt, möchte ich das hier für die Nachwelt mal festhalten.

So, was habe ich gemacht?


1. Bei 1blu habe ich dies hier http://faq.1blu.de/content/107/134/d...zeichnisschutz
gefunden und mal ein bisschen damit rumgespielt.


2. Die .htaccess für das Frontend sieht jetzt so aus:

PHP-Code:

# Dies ist ein Kommentar
AuthType Basic
AuthName "meinewebseite"
AuthUserFile /hp/br/ab/qb/www/meinewebseite/cms-meinewebseite/.htpasswd
require valid-user 


Diese habe ich ganz unten in die ehemalige .htaccess.default gesetzt, die ja jetzt bei mir .htaccess heißt. Das Passwort liegt natürlich verschlüsselt in dem o. g. Pfad.


3. Die .htaccess für das Backend sieht so aus:

PHP-Code:

AuthName "TYPOlight back end"
  AuthType Basic
AuthUserFile /hp/br/ab/qb/www/meinewebseite/cms-meinewebseite/typolight/.htpasswd
  require valid-user 


und liegt mit der .htpasswd gemeinsam im Ordner typolight,
siehe obiger Pfad.


Damit kommt jetzt das http-Authentifizierungsfenster mit der Benutzer- und Passwortabfrage sowohl bei Aufruf der install.php als auch bei Aufruf der index.php.

Und das Beste: Es kommt KEIN Serverfehler mehr, weder beim Frontend noch beim Backend!!! Jetzt bekomme ich die Meldung, dass keine Seite gefunden wurde. Kann ja auch nicht. Ich hab ja bisher nur mit der .htaccess rumgebastelt.

Nun kann ich endlich mal anfangen, meine erste Typolight-basierte Webseite zu erstellen.
Wünscht mir Glück - ansonsten melde ich mich bei Fragen wieder hier im Forum.


Danke an alle, die mir weitergeholfen haben.

Liebe Grüße,

Sunnygarden