Support » Allgemeine Fragen » Suche Hilfe: Echter Passwortschutz für Seiten, Beiträge, Menüs und Mediadateien

  • Hallo,

    wie stelle ich es an, einen echten Passwortschutz für eine WordPress-Website zu realisieren?

    Um Seiten, Beiträge und Menüs zu schützen gibt es reichlich Plugins. Nichts für Mediadateinen (oder ich habe es nicht gefunden). Wer dann den Pfad der Mediadateien kennt, ruft die vermeintlich geschützen Dateien trotzdem auf und kann frei walten und schalten…

    .htaccess ist vom Grunde her verständlich, wenn auch eher für Fortgeschrittene. Leider sammelt WordPress alle Mediadateien in einem Ordner, den mit .htaccess zu schützen läuft dann darauf hinaus, dass alle Dateien nur für eingeloggte Nutzer zugänglich sind…

    Zum Hintergrund: Es soll auf einer öffentlichen, kirchlichen Website auch einen geschützen Bereich geben, wo sich z.B. der Vorstand einloggen und z.B. Sitzungsprotokolle hinterlegen bzw. einsehen kann. Die sind nicht für jeden!

    Wie wird so eine (Standard-) Situation gelöst?

    Danke schon mal im Voraus für jedwede Hilfe!

Ansicht von 13 Antworten - 1 bis 13 (von insgesamt 13)
  • Eine (von vielen möglichen) Methoden für einen geschützten Bereich für den Vorstand wäre, eine zweite WordPress-Installation einzurichten und mit dem Plugin „Registered Users Only“ ausschließlich angemeldeten Nutzern zugänglich zu machen. Bei Bedarf kannst du auch eine Weiterleitung einrichten, mit der „normale“ Anwende automatisch zum Frontend weitergeleitet werden.

    Das Verzeichnis mit den Medienuploads lässt sich zum einen per .htaccess gegen einen direkten Verzeichnisabruf (Directory Listing) schützen. Zum anderen kann man bei einem direkten Aufruf der Mediendateien auch eine Umleitung einrichten, über die zunächst geprüft wird, ob der Nutzer angemeldet ist. Ein Beispiel findest du in dieser Antwort auf Stackexchange.

    Eine einfachere Variante wäre, die Mediendateien mit schwer zu erratenden Dateinamen hochzuladen. Die Dateien können dann ganz normal in Seiten oder Beiträgen verlinkt werden, wobei der (auf einer geschützten Webseite nur für angemeldete Nutzer zugängliche) Link dann im Klartext den Dateiinhalt beschreibt. „Sicherheit durch Verschleierung“ ist zwar keine wirkliche Sicherheit, dürfte aber in einem einfachen Anwendungsszenario in Verbindung mit o.g. Schutz gegen direkten Verzeichnisaufruf vermutlich reichen.

    „Standard-Situation“ ist übrigens, dass Leute mit WordPress Inhalte im Internet veröffentlichen wollen, nicht schützen. 😉

    .htaccess ist vom Grunde her verständlich, wenn auch eher für Fortgeschrittene. Leider sammelt WordPress alle Mediadateien in einem Ordner, den mit .htaccess zu schützen läuft dann darauf hinaus, dass alle Dateien nur für eingeloggte Nutzer zugänglich sind…

    Mit diesem Plugin können eigene Medienverzeichnisse angelegt werden:
    http://codecanyon.net/item/wp-real-media-library-media-categories-folders/13155134?s_rank=1

    Also die internen Seiten/Beiträge mit einem Plugin wie z. B. Members von Justin Tadlock schützen und den direkten Zugriff auf die Medien von außen per .htaccess.

    Sollte eigentlich funktionieren, wenn du in den neuen Medien-Ordner eine .htaccess mit diesem Code legst:

    order deny,allow
    deny from all


    Nachtrag:

    Ich bin mir gerade nicht sicher, ob das oben verlinkte Plug-in wirklich physiche neue Verzeichnisse anlegt. Daher am besten mal den Developer dort fragen.

    Dieses Plug-in scheint es aber defintiv zu können:
    https://www.joomunited.com/wordpress-products/wp-media-folder

    Hi, danke erstmal für die schnelle Rückmeldung.

    @bego: Hab´s schon ausprobiert, aber dann kamen nur noch 500er-Meldungen, egal welche Seite ich anklicke. Es gab auch schon einen Eintrag in der .htaccess von WordPress. Mit und ohne diesem Eintrag ging nichts mehr. Den alten Zustand wieder hergestellt, ok.

    @angelika: Probiere ich heute noch aus!

    Mir ist irgendwie nicht klar, wie das zusammenspielen soll: Auf der einen Seite ein server-gesteuerter Zugriff, auf der anderen ein (irgendein) Seitenschützendes Plugin mit User-Rollen. Woher weiß den das eine vom anderen?

    Nachtrag:
    Scheint aber doch nicht zu funktionieren. Bei meinem Test vorhin gab es wohl einen Server-Lag. 🙁 – Beide Bilder werden gesperrt.

    Geht es um Downloads, dann setz zusätzlich ein Download-Plug-in ein, das einen entsprechenden Zugriff nur über die vom Plug-in erzeugten Downloadlinks erlaubt (nicht aber direkten Zugriff). Testen! Sollte selbstverständlich sein, hab es aber schon anders erlebt. Die Downloadlinks sehen dann auch nur die internen User in den internen Beiträgen.

    Hallo Angelika,

    Hmm, zu spät. Hab gerade das Plugin gekauft….

    Aber: Sollte es am Ende so einfach sein? Order Allow, Deny Deny from All …und nix geht mehr?

    Ich bin Deinen Anweisungen gefolgt und – vóila – es scheint zu funktionieren. Werde das aber noch ausgiebig testen.

    PS: joomunited erzeugt auch keine „echten“ Ordner. Aber der direkte Import vorhandener Kategorien ermöglicht ein sehr schnelles, strukturiertes Aufräumen (sofern man seine Kategorien strukturiert angelegt hat…)!

    Ich werde abschließend eine kleine Zusammenfassung schreiben. Mir scheint, dass man zwar enorm viel in der Suche finden kann (was zeigt, dass nicht nur mir so geht), leider aber nirgends eine einfache Anleitung vorhanden ist (ich meine eine, die auch ich verstehe…).

    ………Stunden später

    Also das ist alles verflixter, als man denken kann:

    – WP lädt alle Medien in einen Ordner
    – Plugins sortieren wenn, dann in virtuellen Ordnern
    – Nicht eingeloggte Benutzer sollen freie Inhalte sehen können
    – Eingeloggte Benutzer können weiteren Inhalt sehen, der nur für sie bestimmt ist

    Wie soll das dann gehen? Da müsste ja jede einzelne Datei einen Passwortschutz bekommen, wenn sie nur eingeloggten Usern vorbehalten bleiben soll. Und woher „kennt“ .htaccess den in WP eingeloggten User?

    Am Verzweifeln ich bin!

    Moderator Torsten Landsiedel

    (@zodiac1978)

    Hast Du mal Download Manager angeschaut?
    https://de.wordpress.org/plugins/download-manager/

    Gruß, Torsten

    Hallo zusammen,

    danke, dass Ihr Euch so reinhängt! (klingt komisch, meine ich aber ehrlich) (klingt schon wieder komisch, Ihr wisst, wie ich es meine) (mist, so kann man das auch nicht schreiben, also: Danke. Punkt!)

    Ich habe diverse WordPress-Zugriff-Verhinderungs-Plugins getestet: Alle mit dem zuvor geschilderten Resultat, dass es keinen „echten“ Schutz gibt. Sind die Medienpfade bekannt, stehen Tür und Tor offen.

    Ich habe, so wie es Bego ganz zu Anfang empfohlen hat, jetzt die Website geteilt (2 Subdomains mit je einer WP-Installation) und benutze eine für alle und die zweite für bestimmte Benutzer nur. Der Zugriff wird über .htaccess und .htpasswd geregelt.

    Mein Provider unterstützt hier mit einem ganz einfachen Generator, um die beiden genannten Dateien zu erzeugen und via FTP im entsprechenden Verzeichnis an- bzw. abzulegen:

    one-docs.com/tools/basic-auth

    Mit dieser Lösung komme ich vorerst klar. Danke nochmal an alle.

    @torsten: Habe gerade noch mir den Download-Manager angeschaut. Das ist nochmal ein anderer (und interessanter) Ansatz. Wenn der Download von Dokumenten nur für Mitglieder geht und für diese ein einfacher Klick auf einen Button im Text bereitgestellt werden kann (ohne Kaufen und AGB und all das Prozedere), wäre das auch was (und man spart die zweite Installation). Wir wollen ja nichts verkaufen sondern nur den Zugang zu sensiblen Dokumenten nur einen bestimmten Benutzerkreis ermöglichen.

    Liebe Grüße,
    Andreas

    Falls der vorherige Beitrag von mir, der momentan unsichtbar ist (wird noch geklärt wieso) wieder auftaucht, hier noch ein Nachtrag zum Nachtrag:
    Mittlerweile hat der Entwickler reagiert. Es gab ein Update (über das man aber nicht benachrichtigt wurde) und das hat zumindest die Folder aus dem Quelltext eliminiert. Der Rest steht aber immer noch drin. Und die Skripte/CSS werden nur geladen, wenn man als Admin angemeldet ist. Hab ich übersehen, dachte eigentlich, ich hätte das gecheckt. Aber ich hatte so viel mit einem Dequeue Plug-in herum experimentiert, da war mir das wohl entgangen.

    Dennoch bleiben es 21 Files, nicht minified. Na ja, das hab ich ihm auch geantwortet, vielleicht ändert er das ja noch und fasst die soweit es geht zusammen und komprimiert die.

    Ich wollte etwas zu meinem Hinweis nachtragen

    Mit diesem Plugin können eigene Medienverzeichnisse angelegt werden:
    http://codecanyon.net/item/wp-real-media-library-media-categories-folders/13155134?s_rank=1

    Mittlerweile hatte ich es im Einsatz, hatte. Das Plug-in wird ja nur im Backend benötigt, Frontend-Bearbeitung gibt es ja so ohne weiteres in WordPress nicht.

    Dennoch lädt das „WP Real Media Library“-Plug-in 8 CSS-Dateien und 13 JavaScript-Dateien ins Frontend, auf jeder Seite.

    Damit aber noch nicht genug. Es schreibt auch noch jede Menge Zeugs in den Footer, wird somit auch noch auf jeder Seite im Frontend geladen -> Screenshot 1. Jeder (virtuelle) Ordner den ich mit dem Plug-in für die Bilder angelegt hatte, plus Unterordner werden ebenfalls im Footer aufgelistet und außerdem noch ein Backlink zur Verkaufsseite des Entwicklers auf Codecanyon -> Screenshot 2.

    Ich habe das wieder deinstalliert. Obwohl das Plug-in ansonsten funktioniert und eine nette GUI hat.

    Durch den Schluckauf im System wurden die beiden Beiträge über diesem in der Reihenfolge vertauscht. Der Entwickler hat sich übrigens noch mal gemeldet und will die Skripte und CSS mit dem nächsten Release komprimieren.

    Hallo Community,

    hier ist der Entwickler des Real Media Library Plugins und ich bin gerade zufällig auf diesen Beitrag gestoßen 🙂 . Ich wollte nur mal kurz auf folgende Punkte eingehen:

    Dennoch lädt das „WP Real Media Library“-Plug-in 8 CSS-Dateien und 13 JavaScript-Dateien ins Frontend, auf jeder Seite.

    Dies ist – wie schon gesagt – nicht mehr der Fall und es werden nun weniger Ressourcen geladen. Es sollte noch gesagt werden, dass diese Ressourcen nur geladen werden, wenn der Benutzer eingeloggt ist und die Berechtigung zum Hochladen in die Media Library hat => Nicht sichtbar für Besucher und somit keine Auswirkung auf SEO etc.

    Es schreibt auch noch jede Menge Zeugs in den Footer, wird somit auch noch auf jeder Seite im Frontend geladen -> Screenshot 1. Jeder (virtuelle) Ordner den ich mit dem Plug-in für die Bilder angelegt hatte, plus Unterordner werden ebenfalls im Footer aufgelistet und außerdem noch ein Backlink zur Verkaufsseite des Entwicklers auf Codecanyon -> Screenshot 2.

    Dies ist ebenfalls nicht mehr der Fall, da vieles auf Lazy-Loading ausgelagert wurde. Auch diese Daten werden nur ausgegeben, wenn der Benutzer eingeloggt ist und Bilder hochladen darf.

    Ich bin mir gerade nicht sicher, ob das oben verlinkte Plug-in wirklich physiche neue Verzeichnisse anlegt. Daher am besten mal den Developer dort fragen.

    Für die Real Media Library gibt es nun ein Extension-Plugin, welches es erlaubt, die physikalischen Ordner beim Hochladen anzulegen: https://wordpress.org/plugins/physical-custom-upload-folder/

    Beste Grüße,
    Matthias 🙂

Ansicht von 13 Antworten - 1 bis 13 (von insgesamt 13)
  • Das Thema „Suche Hilfe: Echter Passwortschutz für Seiten, Beiträge, Menüs und Mediadateien“ ist für neue Antworten geschlossen.