Verzeichnisschutz

    Moin,


    ins Verzeichnis Administrator habe ich zur Aktivierung des Verzeichnisschutzes eine htaccess-Datei hinterlegt und folgende Anweisung eingegeben (die Anweisung stammt von Seite Joomla!-Security):


    ### Zugriff von IP erlauben - Start ###

    Order deny,allow

    deny from all

    allow from 192.aaa.bbb.c

    allow from 192.aaa.bbb.cd

    satisfy all

    ### Zugriff von IP erlauben - End ###


    Die ip Adresse mit der einen Endziffer ist die des Routers und die ip Adresse mit den zwei Endziffern ist die meines Rechners.


    Nach Aktivierung des Codes habe ich keinen Zugriff mehr zum Administratorenbereich obwohl die ip Adressen nach zig-maligem Überprüfen korrekt sind.


    Versucht habe ich auch folgende Version (die Anweisung stammt aus dem Supportbereich vom host):


    ### Zugriff von IP erlauben - Start ###

    Order deny,allow

    deny from all

    allow from 192.aaa.bbb.cd

    ### Zugriff von IP erlauben - End ###


    was ebenfalls dazu führt, dass ich keinen Zugriff mehr habe


    Gegenprobe: Wenn ich die Anweisung jeweils auskommentiere klappt auch wieder der Zugriff.


    Hat jemand eine Idee, wieso ich bei aktiviertem Verzeichnisschutz keinen Zugriff mehr habe obwohl ich meine ip Adressen explizit zugelassen habe?


    Joomla Version 3.9.26

    php Version 7.4

    host Strato


    Danke schon mal im Voraus

    Zitat von Seeadler

    Deshalb habe ich am router die Option "immer gleich IP-Adresse zuweisen" gesetzt.

    Das gilt nur für die Geräte, sie sich am Router anmelden, nicht für die IP die Du vom Provider bekommst.

    Zitat von Seeadler

    allow from 192.aaa.bbb.c

    allow from 192.aaa.bbb.cd

    Das sind die internen local-IPs, die gelten nur netzintern (Hausnetz).


    Nimm die Option raus, wenn Du keine feste IP vom Provider hast, bzw. diese nicht kennst.

    ...du kannst ja dann z.B. auch per entsprechendem Webbrowser-Lesezeichen einfachen Zugang zum Administratorenbereich erhalten ohne "jedes mal" Benutzername und Passwort eingeben zu müßen:


    http://benutzername:passwort@example.com/administrator


    bzw. etwas allgemeiner formuliert:


    http://benutzername:passwort@server.tld/verzeichnis/datei

    (.tld bedeutet die Top Level Domain , wie z.B. .ch oder .de)

    Zu beachten ist, dass als Passwort keine Email-Adresse verwendet werden sollte, da dies zu einem Konflikt mit dem @-Zeichen führt.


    Ist halt etwas unsicherer weil dein Benutzername und Passwort auf deinem Computer für mögliche Schadprogramme prinzipiell immer frei zugänglich sind.

    Zitat von Re:Later

    ECC+-Plugin von Kubik Rubik bietet auch die Möglichkeit Backend mit einem Token zu schützen, also ein Anhängsel an den /administrator/-Link. Ob das ein Ersatz für oben genannte Varianten ist, weiß ich nicht, da noch nie näher angeschaut.


    Das schützt halt nur gegen den "direktaufruf" der


    http://example.com/administrator/index.php


    Falls aber im administrator-Verzeichnis oder in dessen Unterverzeichnissen sich Dateien mit "Sicherheitslücken" befinden

    und diese Dateien sich direkt aufrufen lassen können

    (z.B. weil sich kein "defined('_JEXEC') or die;" am Anfang der Datei befindet)


    dann ist das ECC+-Plugin von Kubik Rubik "nutzlos".

    Beachte bitte das bei der Link-Variante entsprechend wie in #6 die GET-Methode verwendet wird und dies daher nicht so sicher ist wie per POST-Methode (im Formular Benutzername und Passwort eintragen).


    Siehe diesbezüglich weitere Info z.B.:


    Zitat

    Der wichtigste Nachteil der GET-Methode ist der fehlende Datenschutz. Die mitgesendeten URL-Parameter sind nicht nur für jedermann in der Browser-Adresszeile sichtbar, sondern werden auch unverschlüsselt im Browserverlauf, im Cache und im Logfile des Servers abgelegt.

    aus:


    www.ionos.de/digitalguide/websites/web-entwicklung/get-vs-post/