Website vor unliebsamen Besuchern schützen mittels htaccess

Christian vom Webdesignblog fragte, ob es für das ungewollte Einbinden einer Website in ein fremdes Frameset auch einen Schutz mittels .htaccess² gibt. Gibt es keine Frage, doch ist dies nicht immer einfach und in der täglichen Arbeit irgendwann nicht mehr praktikabel.

Zuerst wie es geht, dann Gründe wieso dies nicht die wirklich ganz gute Lösung ist.

IP-basierter Zugriffsschutz mittels .htaccess

Die .htaccess ist eine Konfigurationsdatei, mit der der Zugriff auf Webservern (u.a. Apache) kontrolliert und beschränkt werden kann. ² Ein bisschen mehr dazu am Ende des Artikels.

.htaccess

order deny,allow	# Reihenfolge der Bewertung von Abweisung und Zulassung =>diese Reihenfolge sollte man auch einhalten!

deny from all		# keiner darf 

allow from 234.23.11	# alle Rechner mit den Adressen 234.23.11.1 bis 234.23.11.255 (das sind Beispiel IPs, keine Ahnung, ob es die soo gibt 😉

allow from .pc.meiner.de	# alle Rechneradressen, die auf .pc.meiner.de enden

allow from 137.79.

würde man jetzt in der ersten Zeile schreiben :

order allow,deny	
deny from all		
allow from 234.23.11	
allow from .pc.meiner.de	
allow from 137.79.

dürfte jeder zugreifen, da die Reihenfolge der Kommandos unterhalb falsch ist und somit das deny from nicht wirksam ist!

Also wer das verdreht kann sich unter Umständen selber ausschließen! daher nochmal wiederholend:

  • order deny,allow verbietet zuerst und erlaubt dann
  • order allow,deny erlaubt zuerst und verbietet dann

Würde jetzt Deine Website in einem Frameset gefangen sein, müßtest Du die IP Adressen der Server herausfinden, und dann die Anweisung so in die htacess schreiben:

.htaccess

order deny, allow
deny from IP1
deny from IP2 
allow from all

wobei IP1 und IP2 natürlich die beiden IPs der anderen Domain sind.

IP-basierter Zugriffsschutz mittels htaccess hat einen großen Haken:

  1. 1. nicht immer ist es jeden möglich die wirkliche IP herauszufinden.
  2. 2. das stete Nachlaufen bei diesen IPs nimmt irre Zeit in Anspruch, denn viele solcher Domains ändern schneller die IPs als man nachsehen kann!
  3. 3. irgendwann ist Deine htaccess so unübersichtlich groß, dass der Überblick sicher fehlt.
  4. 4. vor lauter Sorge schließt man irrtümlich vielleicht ganze Länder aus.

Fazit ein gut funktionierender Framebuster ist da die einfachste und hilfreichste Methode. In diesem Artikel gibt es dazu genug Tipps in den Kommentaren.

Den Platz in der .htaccess sollte man sich aufsparen für Spambots aller Art oder um seine URLs gut umzuschreiben. Aber das ist eine andere Geschichte. 😉

mts

²
.htaccess bedeutet h von Hypertext und access von Zugriff, sinngemäß Internetzugriffsdatei. Diese Datei hat eigentlich keinen Namen, 😉 denn sie hat nur einen Punkt und dahinter eben dann das htaccess. Erstellt ist sie ganz einfach: WordPad öffnen, eine leere Datei als htaccess abspeichern. Ohne Punkt! Dann auf den Webspace hochladen und dort mittels Datei Namen ändern den Punkt dazugeben. Aufpassen muss man, denn die .htaccess gehört zu den sogenannten“versteckten Dateien“ und die werden nicht bei jedem FTP Programm ohne weiteres angezeigt.


Ebenfalls informativ und lesenswert

17 Kommentare zu “Website vor unliebsamen Besuchern schützen mittels htaccess

  1. Webdesignblog

    Wow, das nenn ich mal „auf die Kommentare eingehen“, Respekt!

    Schöner Artikel, mir gefällt es gut das man über die HtAccess-Datei sovieles steuern kann, meist wird ja doch lediglich das ModRewrite-Modul mit der Steuerungsdatei assoziiert.

  2. mts

    Hi
    danke für die Rückmeldung.
    Ja die htaccess brachte schon so manchen zum Verzweifeln. Mod_rewrite ist eine wichtige Sache, aber eben nicht die einzige.

    lg

  3. Wolf

    Nur einen kleinen ergänzenden Tip zum Aussperren von unliebsamen Besuchern. Die Sperrung über den User-Agent, ist zwar auch nicht immer erfolgreich, ist aber in der Regel bei Bots dauerhafter als die Sperrung über die IP.

  4. mts

    Ja Wolf
    da hast Du recht, doch wie ich einige Websitebesitzer kenne, ist es für die unmöglich den User-agent ausfindig zu machen.

    Sehr wenige haben Zugriff auf die dafür nötigen Dateien /Logfiles.
    Leider 🙁
    lg

  5. Wolf

    Das möchte ich nicht so sagen, denn wenn ich Zugriff auf die .htaccess habe, heißt das für mich, dass es kein Freeblogprovider ist und die Hoster die ich kenne, stellen die Serverlogs zur Verfügung.

  6. Jeriko One

    Ich hatte es bei mir ja schon geschrieben, aber müssen da nicht noch die Limit-Tags drum? Ich erhalte sonst eine Fehlermeldung…

    Oder liegts an meinem Server?

  7. sefurl

    Aus Performancegründen empfielt es sich allerdings, unliebsame IPs direkt an der Firewall aussperren. Sofern man darauf natürlich Zugriff hat… 🙂

  8. Baynado

    Hey sehr lehrreicher Beitrag. 😉
    Ich wende diese Techniken auch an und kann nur gutes davon berichten.

  9. Marc

    Besoders der Hinweis mit der Reihenfolge hat mir sehr weiter geholfen, meine htaccess zu optimieren. Guter Beitrag.

  10. Kondome

    Hallo

    gibt es überhaupt keine möglichkeit eine Htacces zu umgehen also zu knacken?

  11. mts

    doch man kann die htaccess knacken, alles ist knackbar auf einen Server, aber viel viel schwerer als alles andere

    lg

  12. Matthias

    Ist es eigentlich nur bei mir so, dass Google Analytics ziemlich spinnt?
    In meinem Blog werden zwar fast so viele Besucher wie auch bei WPStats angezeigt, aber in meinem Shop fehlen ganze Reihen.
    Mein Shop zeigt täglich rund 200 Besucher an, Google Analytics 10-20. Komisch, dass ich aber alleine von Preissuchmaschinen mehr Besucher bekomme…

  13. Mike

    Ich hatte immer Probleme bei der Einstellung von htaccess. Lässt sich damit wirklich sicher gehen das bestimmte Ordner nicht auf dem Webserver gesehen werden, was ist da mit den Bots und Crawlern?

  14. mts

    bots kannst Du auch ausschließen,

    suche nach *order deny allow* – diekannst Du auch ganz woanders hinsenden;)

    10000% dicht ist jedoch nur ein Server, der nichtonline ist …leider. 😉

  15. Monika

    Ich bin mehr der Freund von der robot.txt um Seiten auszuschließen aber ich werde das mit der htacess ausprobieren danke.

  16. mts

    an die robots.txt halten sich nur *gute seriöse* Suchbots, Spambots ist die robots.txt einfach egal – aber an der htaccess kommen sie *a bissle viel schwerer* dran vorbei 😉