How-To Wachtwoord Bescherm een ​​Apache-website met .htaccess

Hoe

DoorSteve Krause

Laatst geupdate op7 mei 2018

Als u uw website met Apache gebruikt, is het beveiligen van de site met een wachtwoord een eenvoudig proces. Ik heb onlangs het proces doorlopen op een Windows-box (meerderheid van de onderstaande opnamen), maar de stappen zijn vrijwel hetzelfde voor Windows- of Linux Apache-sites.

Stap 1: Configureer uw .htaccess-bestand

Al het werk zal worden gedaan met behulp van uw .htaccess-bestand. U vindt dit bestand in de root van de meeste Apache-websites.

De schermafbeelding is afkomstig van een vanille-installatie van WordPress die wordt uitgevoerd op Windows 2003 Server:

Het .htaccess-bestand wordt gecontroleerd door Apache voordat webpagina's worden weergegeven. Meestal wordt het gebruikt voor ReWrites of ReDirects, maar u kunt het ook gebruiken om gebruik te maken van de ingebouwde beveiligingsfuncties van Apache.

De eerste stap is dus om een ​​paar parameters aan het bestand toe te voegen. Hieronder vindt u een voorbeeld van een .htaccess-bestand. (TIP: ik gebruik notepad ++ om de meeste PHP en gerelateerde bestanden te bewerken)

AuthUserFile c: apachesecurity.htpasswd. AuthName "Voer gebruiker en PW in" AuthType Basic. geldige gebruiker vereisen

Enige uitleg:

AuthUserFile: APACHE heeft de locatie van het gebruikers- / wachtwoordbestand nodig. Voer gewoon het volledige pad in naar uw wachtwoorddatabasebestand zoals hierboven weergegeven. Het bovenstaande voorbeeld is afkomstig uit mijn Windows-box. Als je Linux gebruikt, zou het er ongeveer zo uitzien: AuthUserFile /full/path/to/.htpasswd

AuthName: Dit veld definieert de titel en tekst voor het pop-upvenster dat de gebruikersnaam en PW zal opvragen. Je kunt dit ALLES maken wat je wilt. Hier is een voorbeeld op mijn testdoos:

AuthType: Dit veld vertelt Apache welk type verificatie wordt gebruikt. In bijna alle gevallen is "Basic" prima (en de meest voorkomende).

Vereist geldige gebruiker: Met dit laatste commando weet Apache WIE is toegestaan. Door het gebruiken van "geldige gebruiker“, u vertelt Apache IEDEREEN mag authenticeren als ze een geldige gebruikersnaam en wachtwoord hebben.

Als u liever EXACT bent, kunt u een specifieke GEBRUIKER of GEBRUIKERS specificeren. Deze opdracht zou er als volgt uitzien:

Vereist gebruiker mrgroove groovyguest

In dit geval zouden alleen de gebruikers mrgroove en groovyguest de pagina / directory die u beschermt mogen invoeren (uiteraard na het verstrekken van de juiste gebruikersnaam en wachtwoord). Alle andere gebruikers (inclusief geldige) krijgen geen toegang. Als u meer gebruikers wilt toestaan, scheidt u ze gewoon met spaties.

Dus nu we alle configuratie-instellingen hebben gemaakt, ziet het voltooide .htaccess-bestand er als volgt uit:

Screenshot is afkomstig van een Windows 2003 Server-box met WordPress:

Stap 2: Maak het .htpasswd-bestand

Het .htpasswd-bestand maken is een eenvoudig proces. Het bestand is niets meer dan een tekstbestand met een lijst van gebruikers en hun gecodeerde wachtwoorden. Elke gebruikersreeks moet op zijn regel worden gescheiden. Persoonlijk gebruik ik gewoon notepad ++ of Windows Kladblok om het bestand te maken.

Hieronder is een voorbeeld .htpasswd-bestand met twee gebruikers:

Hoewel Apache u niet "vereist" om de wachtwoorden te versleutelen, is het een eenvoudig proces voor zowel Windows- als Linux-systemen.

ramen

Navigeer naar uw Apache BIN-map (meestal te vinden op C: \ Program Files \ Apache Group \ Apache2bin) en voer de htpasswd.exe-tool uit om een ​​MD5-gecodeerde gebruikersnaam / wachtwoordreeks te genereren. U kunt de tool ook gebruiken om het .htpasswd-bestand voor u te maken (wat ook werkt ...). Voer voor alle details de help-switch uit vanaf de opdrachtregel (htpasswd.exe /?).

In bijna alle gevallen voert u echter gewoon de volgende opdracht uit:

htpasswd -nb gebruikersnaam wachtwoord

Zodra de opdracht is uitgevoerd, voert de htpasswd.exe-tool de gebruikersstring uit met het versleutelde wachtwoord.

De onderstaande schermafbeelding is een voorbeeld van het uitvoeren van het hulpprogramma htpasswd.exe op Windows 2003 Server

Zodra u de gebruikersstring heeft, kopieert u deze naar uw .htpasswd-bestand.

Linux:

Ga naar: http://railpix.railfan.net/pwdonly.html om uw gebruikersreeksen te maken met gecodeerde wachtwoorden. Heel eenvoudig proces.

Stap 3: Controleer of Apache correct is geconfigureerd * optioneel

Apache heeft standaard de juiste modules ingeschakeld. Dat gezegd hebbende, het doet nooit pijn om een ​​beetje proactief te zijn en het is een snelle 'check'.

Open uw Apache httpd.conf-bestand en controleer of de AUTH-module is ingeschakeld:

Als u merkt dat de module niet is ingeschakeld, corrigeert u deze gewoon zoals hierboven weergegeven. Vergeet niet; u moet Apache opnieuw opstarten om wijzigingen in uw httpd.conf door te voeren.

Dat zou ervoor moeten zorgen. Helemaal klaar.

Tags:apache, encryptie, htaccess, veiligheid, ramen