"Geheime" Webseite mit Passwortschutz

N

no1gizmo

Mitglied
Hallo,

ich würde gerne einen Blog einrichten, welcher nicht bei Suchmaschinen gefunden wird (Eintrag in die robots.txt ist ja kein Ding) und nur von bestimmten Teilnehmern mit Passwort gelesen werden kann.

Im Grunde Wordpress, nur mit absolutem Zugangsschutz. Es werden zwar keine kritischen/brisanten/intimen Daten ausgetauscht, aber dennoch soll der Blog absolut diskret und eben geschützt sein.

Wie könnte man sowas am besten erreichen?

Vielen Dank für jegliche Hilfe.
 
QUOTE (Norbert Hofmann @ So 31.01.2010, 22:03)Ich würde die Realisierung des Passwortschutzes mit .htaccess vornehmen.

Welche Art von .htaccess Passwortschutz denn?
Ich persönlich würde hier die Authentifizierung über einen SSL-Zertifikat realisieren. Denn der normale 08/15-Standard-Passwortschutz mittels Htaccess sendet die Passwörter praktisch im Klartext, sehr gut für MITM-Attacken. Damit die Daten auch sicher übertragen werden, muss der Bereich also auch nur mittels HTTPS verfügbar sein, ergo brauchst Du einen serverseitiges und clientseitiges SSL-Zertifikat, ob nun über eine eigene CA oder eine verbreitete CA.
 
Wordpress selbst bietet die Möglichkeit die Beiträge mit einem PW zu schützen. Allerdings - und das ist auch bei der komplizierten Variante über htaccess eine Problem - wenn das PW weitergegeben wird kann es schnell zu einem großen Leserkreis kommen. Alternativ die Inhalt nur angemeldeten Benutzer mit Status Redakteuer anzeigen und die Leute per Hand dafür freischalten.
 
Ein Portalsystem wie Joomla, Drupal oder Zikula (Postnuke) nutzen.
Dort lassen sich Usergruppen einrichten, mit Zugriffsrechten für die Gruppen.
Lässt sich für Abos auch prima automatisieren.
 
Was ist an .htaccess verkehrt?
.htaccess auf die Domain legen und schon kommt keiner mehr auf die Seite.
Erst nach Eingabe von Benutzername und Passwort erscheint der Blog.
 
QUOTE (Norbert Hofmann @ Mo 1.02.2010, 02:07) Was ist an .htaccess verkehrt?
.htaccess auf die Domain legen und schon kommt keiner mehr auf die Seite.
Erst nach Eingabe von Benutzername und Passwort erscheint der Blog.

heißt im Umkehrschluss aber auch das jeder reinkommt der das PW hat ...
 
@AdMarkt
Das Problem hast Du bei jeden Benutzersystem! Ergo bei jedem hier genannten System, ist bei der Authentifierung mit Zertifikat nicht anders.
 
QUOTE (Sascha Ahlers @ Mo 1.02.2010, 11:14) @AdMarkt
Das Problem hast Du bei jeden Benutzersystem! Ergo bei jedem hier genannten System, ist bei der Authentifierung mit Zertifikat nicht anders.

nö, wenn man die Nutzer eben nicht nur per PW sondern per Account identifiziert hat man noch eine zusätzliche Sicherheitsstufe. Vor allem kann man bei Mißbauch einzelne Nutzer auch wieder zurückstufen ohne gleich allen den Zugriff zu verwehren ...
 
QUOTE (AdMarkt @ Mo 1.02.2010, 10:23) nö, wenn man die Nutzer eben nicht nur per PW sondern per Account identifiziert hat man noch eine zusätzliche Sicherheitsstufe. Vor allem kann man bei Mißbauch einzelne Nutzer auch wieder zurückstufen ohne gleich allen den Zugriff zu verwehren ...

das geht auch mit .htaccess
Du kannst auch da für jeden Benutzer seperate zugangsdaten anlegen
wink.gif
 
QUOTE (G.P. @ Mo 1.02.2010, 11:29)
QUOTE (AdMarkt @ Mo 1.02.2010, 10:23) nö, wenn man die Nutzer eben nicht nur per PW sondern per Account identifiziert hat man noch eine zusätzliche Sicherheitsstufe. Vor allem kann man bei Mißbauch einzelne Nutzer auch wieder zurückstufen ohne gleich allen den Zugriff zu verwehren ...

das geht auch mit .htaccess
Du kannst auch da für jeden Benutzer seperate zugangsdaten anlegen
wink.gif


jo und wie komfortabel das ist
rolleyes.gif
Aber stimmt, Praxisbezug war ja nie gefragt ...
 
Das bequemste um Zugriffe zu verwalten ist ein Portal/Blogsystem mit Gruppenrechten.
Man kann Gruppenrichtlinien festlegen, sowie individuelle Rechte vergeben.
Der Vorteil ist, dass jeder User ein eigenes Passwort hat, so dass man jeden einzelnen Zugang genau kontrollieren oder aufheben kann.

Security von den oben genannten Tools ist gut, aber einer Man in the Middle attack hält nicht viel stand, ausser SSL mittels Verschlüsselung (allerdings knackbar), für mehr Sicherheit sollte SSL+TAN verwendet werden.
 
Hallo,

danke für die Antworten.

Ich nutze nun solch ein Plugin, welches immer auf wp-admin verweist, bis man eingeloogt ist.

Zusätzlich will ich noch .htaccess verwenden. Allerdings klappt das irgendwie nicht.... liegt wohl an meinen Apache-Einstellungen.... Fuselkram...
rolleyes.gif
 
QUOTE (AdMarkt @ Mo 1.02.2010, 10:45)
QUOTE (G.P. @ Mo 1.02.2010, 11:29)
das geht auch mit .htaccess
Du kannst auch da für jeden Benutzer seperate zugangsdaten anlegen
wink.gif


jo und wie komfortabel das ist
rolleyes.gif
Aber stimmt, Praxisbezug war ja nie gefragt ...

das macht eigentlich keinen unterschied zu einen DB gesteuerten Loginscript.
Du kannst das genauso automatisieren.
 
Danke für die Ergänzung. Ich nutze .htaccess normerlweise nur für private Zwecke mit einem Zugang, da machth eine DB Anbindung kaum Sinn.
Hab diese Möglichkeit daher schon komplett verdrängt
biggrin.gif
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben