Ein Verzeichnis-Schutz (auch: Verzeichnissperre, Verzeichnisauthentifizierung oder php">Passwortschutz) bezeichnet die Absicherung eines bestimmten Ordners auf einem Webserver mittels Zugangsbeschränkung. Ziel ist es, den Zugriff auf sensible Inhalte – etwa Konfigurationsbereiche, interne Tools oder geschützte Downloads – auf autorisierte Benutzer zu beschränken. Technisch wird dies meist über eine HTTP-Authentifizierung auf Webserverebene umgesetzt.
Typische Einsatzszenarien
- Schutz von Entwicklungsumgebungen oder Testverzeichnissen
- Zugriffsschutz für CMS-Backends (z. B.
/wp-admin bei WordPress)
- Absicherung interner Dokumente oder temporärer Kundenbereiche
- Downloadportale mit beschränktem Nutzerkreis
Technische Umsetzung (Apache / .htaccess)
Bei Apache-Webservern erfolgt der Schutz meist über zwei Dateien im Zielverzeichnis:
-
.htaccess: definiert die Zugriffsbeschränkung
-
.htpasswd: enthält die Benutzernamen und verschlüsselten Passwörter
Beispiel: .htaccess-Datei für Verzeichnisschutz
AuthType Basic
AuthName "Zugriff nur für autorisierte Benutzer"
AuthUserFile /pfad/zum/.htpasswd
Require valid-user
Beispiel: Benutzer hinzufügen (.htpasswd)
htpasswd -c /pfad/zum/.htpasswd benutzername
Das Passwort wird dabei verschlüsselt gespeichert. Das Flag -c erzeugt die Datei neu (nicht bei weiteren Benutzern verwenden).
Alternative Schutzmechanismen
-
IP-Whitelist: Nur bestimmte IP-Adressen erhalten Zugriff
-
Token-basierter Zugriff: Temporäre Links oder Tokens zur Verifizierung
-
Datenbankgestützte Logins: Benutzerverwaltung über CMS oder Webanwendung
Verzeichnisschutz in Plesk
-
Plesk bietet eine integrierte Funktion „Verzeichnisschutz“, mit der sich Ordner per Webinterface absichern lassen
- Benutzerverwaltung und Passwortschutz erfolgen direkt über das Plesk-Dashboard
- Gültig sowohl für Apache als auch für Nginx (je nach Konfiguration)
Vorteile des Verzeichnisschutzes
- Einfache und schnelle Möglichkeit, sensible Daten vor fremdem Zugriff zu schützen
- Unabhängig vom verwendeten Content-Management-System
- Serverseitig – kein JavaScript oder clientseitige Sicherheit erforderlich
- Gut kombinierbar mit anderen Maßnahmen wie SSL-Verschlüsselung oder IP-Filtern
Nachteile und Einschränkungen
- Grundauthentifizierung überträgt Anmeldedaten unverschlüsselt – daher nur in Verbindung mit https">HTTPS empfohlen
- Kein Session-Management oder Benutzerrollen (nur einfache Authentifizierung)
- Keine Integration in CMS-Login-Systeme
Bezug zu Domains und Sicherheit
- Beim Einrichten neuer Verzeichnisse nach dem Domain registrieren kann sofort ein Schutzmechanismus hinterlegt werden
- Empfehlenswert z. B. für
/admin, /stats oder /intern-Verzeichnisse
- In Verbindung mit einem ssl-zertifikate.php">SSL-Zertifikat kaufen lässt sich die Sicherheit zusätzlich erhöhen
Empfehlungen zur Nutzung
- Immer nur in Verbindung mit HTTPS verwenden, um Passwörter nicht im Klartext zu übertragen
- Passwörter regelmäßig aktualisieren
- Nutzer mit möglichst restriktiven Rechten anlegen
- Für dynamische Inhalte ggf. auf CMS-interne Zugriffskontrolle umsteigen
Zusammenfassung
- Der Verzeichnisschutz bietet eine einfache Möglichkeit, einzelne Webordner per Benutzername und Passwort zu sichern
- Technisch erfolgt er meist über
.htaccess und .htpasswd, kann aber auch via Plesk oder Nginx konfiguriert werden
- Für öffentliche Webseiten ungeeignet, aber ideal für administrative Bereiche oder interne Daten
- In Kombination mit einem SSL-Zertifikat wird ein hohes Maß an Basissicherheit erreicht
Haftungsausschluss: Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.