xenforo ACP .htaccess schützen (admin.php)

Dieses Thema im Forum "XenForo Tipps & Tricks" wurde erstellt von au lait, 7. Juli 2015.

  1. au lait

    au lait Administrator Lizenznehmer

    1.904
    940
    7. Juli 2015
    Singen
    Jeder kennt es aus der vBulletin-Zeit das ACP Verzeichnis sollte man umbenennen und per htaccess schützen.

    Auch bei XenForo geht dies ohne Probleme.

    EInfach folgenden Code in der .htaccess Datei speichern.
    Code:
    <files admin.php>
    AuthType Basic
    AuthName "AdminControlPanel"
    AuthUserFile "dateipfad_zur_htpasswd_datei"
    Require valid-user
    </files>
    
    die Datei ".htpasswd" sollte aus Sicherheitsgründen außerhalb des Verzeichnisses liegen (wenn es geht).

    In der .htpasswd muss dann noch der user und das Password gespeichert werden.
    Generatoren hierfür gibt es im Internet ausreichende.

    Hier ein paar Links:
    http://www.gaijin.at/olshtcrypt.php
     
    Zuletzt bearbeitet: 7. Juli 2015
    moby2006 und Maestro2k5 gefällt das.
  2. moby2006

    moby2006 ist öfters hier Lizenznehmer

    131
    51
    18. Juli 2015
    Hallo zusammen,
    Ich möchte an dieser Stelle euch zeigen wie man die admin.php Datei schützen kann, bzw den /Install Ordner.

    Gerade in dieser Zeit ist es wichtig wo man immer mehr über Hacker liest, sich zu schützen, da hier aber sehr viele Webmaster unterwegs sind kann es sogar sein , das dies jeder für sich schon getan hat , selbst wenn ich niemand damit erreiche , sollte dies als kleine Einführung für alle andere Neue Mitglieder darstellen.

    1. Aktualisieren Sie XenForo auf Ihrer Website sofort
    Abonnieren Sie XenForo Sicherheitsaktualisierungen per E-Mail oder RSS-Feed. Aktualisieren Sie Ihre Website, wenn eine neue Version herauskommt. Dies sollte so schnell wie möglich durchgeführt werden. Eine neue Version für XenForo kommt auch mit einer Erklärung aller Sicherheitslücken, die behoben wurden, wodurch Hacker einen Fahrplan für den Einstieg haben.


    aktualisieren Sie so bald wie möglich Ihren XenForo Website.


    2. Verwenden Sie ein sicheres Kennwort und ändern Sie es regelmäßig
    Ändern Sie administrative Passwörter sowie Ihre FTP-Passwörter auf XenForo. Dies ist besonders wichtig, wenn Sie von verschiedenen Computern zugreifen, damit nicht andere Menschen Zugang haben sich
    anzumelden. Erstellen sie einzigartige Passwörter aus einer Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen. Abgesehen davon, ändern Sie Ihren Benutzernamen und Passwort mindestens alle 2 Monate.


    3. Verwenden sie den Root-Benutzer nicht in MySQL als Benutzer Ihrer Datenbank
    Sie sollten immer eine neue Datenbank mit neuem Benutzer, bei der Installation einer neuen Website erstellt werden. Auf diese Weise wird der Benutzer nur Zugriff auf die entsprechende Seite haben. Wenn nicht, könnte man Sie hacken und man hätte kompletten Zugang.


    .htaccess erstellen
    Fals eine oder keine im Haupverzeichnis vorliegt, bitte mit diesem Code ersetzen.

    Code:
    <Files admin.php>
    AuthType Basic
    AuthName "ACP Protected- hier kann auch was anderes stehen"
    AuthUserFile "/home/demosite.org/domains/demosite.org/.htpasswd" 
    Require valid-user
    </Files>
    Hinweis: Bei AuthUserFile sollte eurer Phat zum webspace stehen zb.
    /home/demosite.org/domains/demosite.org/.htpasswd


    Install Ordner
    Da legt ihr euch auch eine .htaccess an

    Code:
    AuthType Basic
    AuthName "Install Protected"
    AuthUserFile "/home/demosite.org/domains/demosite.org/.htpasswd"
    Require valid-user



    .htpasswd erstellen im Hauptverzeichnis
    in diese Datei kommt nun ein Benutzername und pass, dazu kann ich euch ein Generator empfehlen , damit erstellt ihr euch ein Benutzername und Passwort.

    Dann müsst ihr es nur noch eintragen.

    Htaccess & Htpasswd Generator - Verzeichnisschutz online generieren


    1.JPG 2.JPG
    Ich denke der Rest sollte selbsterklärend sein , ich hoffe man konnte mich verstehen und ich konnte einwenig dem ein oder anderen einen kleinen Einblick gewährleisten.

    In diesem Sinne


    Gruss und Frohe Weihnachten
    moby2006
     
    Maestro2k5 und otto gefällt das.
  3. moby2006

    moby2006 ist öfters hier Lizenznehmer

    131
    51
    18. Juli 2015
    ja super gerade dieses Thema gefunden , da habe ich heute morgen ein Thema geschrieben was genau das gleiche hergibt.
    Vielen Dank dir

    Gruß
     
  4. otto

    otto AD Lizenznehmer

    2.716
    1.102
    7. Juli 2015
    LW-Meister
    Leipzig
    Doppelt hält besser. ;)
     
    moby2006 und Maestro2k5 gefällt das.
  5. hohleweg

    hohleweg Aktives Mitglied Lizenznehmer

    140
    42
    27. Juli 2015
    Hallo
    Bisher habe ich das genutzt
    nun ist mein Forum auf einen Server umgezogen mit der neusten php Version.
    Da scheint das hier NICHT mehr zu funktionieren.

    Aktuell komme ich zu der Eingabemaske:
    Zwischenablage02.jpg

    aber weiter auch nicht, das PW wird nicht mehr akzeptiert.


    Ein zusätzlicher Schutz ist mir aber wichtig!
    Wie macht Ihr das?

    (und ja: nehme ich die Zeilen aus der .htaccess raus komme ich ins ACP)

    Gruß Joachim
     
  6. au lait

    au lait Administrator Lizenznehmer

    1.904
    940
    7. Juli 2015
    Singen
    Neuer Server - dann könnte sich etwas am Pfad geändert zur PW file - kontrolliere das mal
     
  7. hohleweg

    hohleweg Aktives Mitglied Lizenznehmer

    140
    42
    27. Juli 2015
    ...mit dem Chat von Artfiles das besprochen, der Pfad ist i.O.
     
  8. Terror

    Terror ist öfters hier Lizenznehmer

    367
    340
    10. Oktober 2015
    sicher? mit dieser datei kannst du das überprüfen, einfach hochladen und im browser ausführen.
     

    Anhänge:

    otto gefällt das.
  9. hohleweg

    hohleweg Aktives Mitglied Lizenznehmer

    140
    42
    27. Juli 2015
    jupp Pfad stimmt ist wie angegeben.
     
  10. Terror

    Terror ist öfters hier Lizenznehmer

    367
    340
    10. Oktober 2015
    die nächste möglichkeit ist, dass der server nicht mit der verschlüsselungsmethode kompatibel ist.

    md5 ist für linux und unix systeme, probier stattdessen mal sha1, das sollte auf allen laufen.
     
    otto gefällt das.
  11. hohleweg

    hohleweg Aktives Mitglied Lizenznehmer

    140
    42
    27. Juli 2015
    ..ich habe keinen "eigenen" Server so muß ich anfragen.

    stimmt der Pfad und anderes nicht kommt das hier:
    "stimmt" alles und ich gebe die beiden sachen ein die in der admin.htpasswd
    stehen
    (ohne Verschlüsselung einfach:

    aa
    bb)

    kommt die Endlosschleife der Eingabemaske
     
  12. Terror

    Terror ist öfters hier Lizenznehmer

    367
    340
    10. Oktober 2015
    dann würde ich am besten direkt anfragen, warum die htaccess/passwd methode nicht funktioniert.

    schliesslich kennen die deine serverkonfiguration und wir nicht ;)
     
  13. hohleweg

    hohleweg Aktives Mitglied Lizenznehmer

    140
    42
    27. Juli 2015
    ..hab ich doch
    die fanden keine Lösung sondern nur:

    " am Serverumzug kann es eigentlich nicht liegen"
     
  14. Terror

    Terror ist öfters hier Lizenznehmer

    367
    340
    10. Oktober 2015
    toller hoster :rolleyes:

    wenn du mir die ftp-daten schickst, kann ichs mir ja mal anschauen.
     
  15. otto

    otto AD Lizenznehmer

    2.716
    1.102
    7. Juli 2015
    LW-Meister
    Leipzig
    Und wenn du die Zugangssperre mal komplett neu erstellst und dann mit .htpasswd und .htaccess in Standard Konfiguration?
     
  16. au lait

    au lait Administrator Lizenznehmer

    1.904
    940
    7. Juli 2015
    Singen
    eventuell eine andere Verschlüsselung??
    Aber wäre das PW indessen falsch würdest ja eine Error bekommen so wie ich das verstehe bekommst Du immer und immer und immer wieder die Maske!
    Sehr merkwürdig mach das mal was @otto schrieb
     
OK Mehr Informationen

Diese Seite verwendet Cookies. Mit Deinem Klick auf OK, stimmst Du dem setzen von Cookies zu. Andernfalls werden keine gesetzt, was die Funktionalität einschränkt.