21.11.2016      Kommentare: 0           

Blue Machine
Warum Zenphot absichern

Um über den Benutzer/Passwortschutz hinaus Zenphoto absichern zu können ist ein klein wenig Code nötig.
Selbst wenn ich die Benutzerregistrierung im Backend abschalte, ist immer noch der Zugang zum Backend aufrufbar.
Der Name admin.php sagt im Grunde schon alles.
Fairerweise muss gesagt werden, dass dies alle Systeme und nicht nur Zenphoto betrifft.
Je bekannter ein System ist, desto grösser ist die Versuchung für gewisse Zeitgenossen.
Mit anderen Worten:
Die Login und Admin Urls der gängigen Systeme wie Wordpress, Joomla, Zenphoto und Zenphoto sind mehr oder weniger allgemein bekannt.

Überlegungen

Grundsätzlich sollte man sich im klaren darüber sein was man mit seinem System vorhat.
Die Login Seite doppelt absichern macht wenig Sinn wenn ich vorhabe Besucher zur Registrierung zu animieren.

Plane ich allerdings das System alleine zu nutzen und möchte gar nicht, dann kann ich über eine schärfere Absicherung nachdenken.
Den Zugang zum Adminbereich würde ich auf jeden Fall zusätzlich sichern.
Eine weitere Passwortabfrage steht in keiner Relation dazu die Seite komplett neu aufsetzen zu müssen.

Welche Dateien

Zunächst gilt es herauszufinden welche Dateien für den normalen Login und für das Backend in Frage kommen.
Bei Zenphoto ist dies die folgende Datei:
admin.php
Diese befindet sich im Verzeichnis zp-core.

 

Passwort erstellen

Die zusätzliche Passwortabfrage werden wir über die htaccess Datei realisieren.
Zunächst benötigen aber ein entsprechendes Passwort.
Genauer gesagt benötigen wir eine Passwortdatei - diese nennt sich htpasswd.
Hierzu gibt es einige Seiten die eine solche Datei automatisch generieren.
Je nach Generator sind die Namen der Passwortdatei evtl. unterschiedlich.

Der Server

Diese htpasswd Datei speichert ihr nun auf dem Server ab. Zweckmäßigerweise in einem Verzeichnis außerhalb Eurer Zenphoto Installation.
Wenn möglich sogar außerhalb eines erreichbaren Verzeichnisses.
Bei vielen Hostern müssen die Webseiten in einem bestimmten Verzeichnis liegen - zum Beispiel im Verzeichnis html.
Normalerweise sieht man die Verzeichnisse sobald man per ftp auf die oberste Ebene geht.
Da gibt es dann wahrscheinlich mehrere Ordner.
Meist ist es möglich auf dieser obersten Ebene einen neuen Ordner zu erstellen.
In diesem Beispiel nennen wir diesen 'Schutz' - ohne die Anführungsstriche.
Die generierte htpasswd Datei laden wir nun in dieses Verzeichnis hoch.

Serverpfad

Für die weitere Arbeit ist es nötig, dass ihr den absoluten Pfad zum Server kennt auf dem Eure Seiten liegen.
Gewöhnlich bekommt man das heraus wenn man sich in den Benutzerbereich des Hosting Anbieters einloggt.
In den Informationen zu Eurem Hosting Angebot sollte der Pfad zu sehen sein.
Notfalls den Anbieter fragen.

Htaccess

Navigiert nun in das Root Verzeichnis der Zenphoto Installation und ladet die .htaccess Datei auf Euren Rechner.
Gegebenenfalls müsst ihr die versteckten Dateien anzeigen lassen um die Datei zu sehen.
Die Originaldatei benennt ihr in .htaccess.bak um.

Sollte die Datei nicht vorhanden sein, könnt ihr diese auch in einem Texteditor neu erstellen.

Hier fügt ihr nun die folgenden Zeilen ein:

AuthUserFile /Serverpfad/Schutz/NameDer PasswortDatei
AuthName "Restricted Access"
AuthType Basic
<Files "identification.php">
require valid-user

AuthUserFile /Serverpfad/Schutz/NameDer PasswortDatei
AuthName "Restricted Access"
AuthType Basic
<Files "admin.php">
require valid-user

Sofern ihr das Verzeichnis der Passwortdatei nicht 'Schutz' genannt habt, muss der Name entsprechend angepasst werden.

Sobald ihr die .htaccess Datei auf den Server in Verzeichnis zp-dore geladen habt und die Admin Seite aufruft wird ein
Passwortfenster mit dem Titel 'Restricted Access' erscheinen.

In dieses tragt ihr die beim Generator angegebenen Zugangsdaten ein.

Totale Sicherheit

Machen wir uns nichts vor - den absoluten Schutz gibt es nicht.
Wir machen es mit dieser vorgeschalteten Sicherheitsabfrage nur deutlich schwerer.
Ihr solltet jedoch auf keinen Fall bei der Generierung der Passwortdatei Eure Zenphoto Admin Daten beutzen.
Hierdurch würde der zusätzliche Schutz hinfällig.

 

 

 

 

Nicht bewertet

Keine Kommentare

Kommentar hinzufügen:

*Pflichtfelder




Kommentare abonnieren RSS Feed
Besonders beliebt  
Neuste Bilder  
Best bewertet