Verzeichnisschutz

  • Moin,


    ins Verzeichnis Administrator habe ich zur Aktivierung des Verzeichnisschutzes eine htaccess-Datei hinterlegt und folgende Anweisung eingegeben (die Anweisung stammt von Seite Joomla!-Security):


    ### Zugriff von IP erlauben - Start ###

    Order deny,allow

    deny from all

    allow from 192.aaa.bbb.c

    allow from 192.aaa.bbb.cd

    satisfy all

    ### Zugriff von IP erlauben - End ###


    Die ip Adresse mit der einen Endziffer ist die des Routers und die ip Adresse mit den zwei Endziffern ist die meines Rechners.


    Nach Aktivierung des Codes habe ich keinen Zugriff mehr zum Administratorenbereich obwohl die ip Adressen nach zig-maligem Überprüfen korrekt sind.


    Versucht habe ich auch folgende Version (die Anweisung stammt aus dem Supportbereich vom host):


    ### Zugriff von IP erlauben - Start ###

    Order deny,allow

    deny from all

    allow from 192.aaa.bbb.cd

    ### Zugriff von IP erlauben - End ###


    was ebenfalls dazu führt, dass ich keinen Zugriff mehr habe


    Gegenprobe: Wenn ich die Anweisung jeweils auskommentiere klappt auch wieder der Zugriff.


    Hat jemand eine Idee, wieso ich bei aktiviertem Verzeichnisschutz keinen Zugriff mehr habe obwohl ich meine ip Adressen explizit zugelassen habe?


    Joomla Version 3.9.26

    php Version 7.4

    host Strato


    Danke schon mal im Voraus

  • Deshalb habe ich am router die Option "immer gleich IP-Adresse zuweisen" gesetzt.

    Das gilt nur für die Geräte, sie sich am Router anmelden, nicht für die IP die Du vom Provider bekommst.

    allow from 192.aaa.bbb.c

    allow from 192.aaa.bbb.cd

    Das sind die internen local-IPs, die gelten nur netzintern (Hausnetz).


    Nimm die Option raus, wenn Du keine feste IP vom Provider hast, bzw. diese nicht kennst.

  • ...du kannst ja dann z.B. auch per entsprechendem Webbrowser-Lesezeichen einfachen Zugang zum Administratorenbereich erhalten ohne "jedes mal" Benutzername und Passwort eingeben zu müßen:


    http://benutzername:passwort@example.com/administrator


    bzw. etwas allgemeiner formuliert:


    http://benutzername:passwort@server.tld/verzeichnis/datei

    (.tld bedeutet die Top Level Domain , wie z.B. .ch oder .de)

    Zu beachten ist, dass als Passwort keine Email-Adresse verwendet werden sollte, da dies zu einem Konflikt mit dem @-Zeichen führt.


    Ist halt etwas unsicherer weil dein Benutzername und Passwort auf deinem Computer für mögliche Schadprogramme prinzipiell immer frei zugänglich sind.

  • ECC+-Plugin von Kubik Rubik bietet auch die Möglichkeit Backend mit einem Token zu schützen, also ein Anhängsel an den /administrator/-Link. Ob das ein Ersatz für oben genannte Varianten ist, weiß ich nicht, da noch nie näher angeschaut.


    Das schützt halt nur gegen den "direktaufruf" der


    http://example.com/administrator/index.php


    Falls aber im administrator-Verzeichnis oder in dessen Unterverzeichnissen sich Dateien mit "Sicherheitslücken" befinden

    und diese Dateien sich direkt aufrufen lassen können

    (z.B. weil sich kein "defined('_JEXEC') or die;" am Anfang der Datei befindet)


    dann ist das ECC+-Plugin von Kubik Rubik "nutzlos".