htaccess Schutz

Wie die Struktur Deiner Domain aussieht ist vom Provider abhängig. Normalerweise liegt das DocumentRoot bei mir unterhalb des Einstiegs für FTP. Dann liegt die htpasswd eine Ebene höher als das DocumentRoot von Drupal (Achtung, dazu muß im .htaccess der Server-Pfad angegeben werden) und die .htaccess-Datei im DocumentRoot.
in der .htaccess sieht das dann in etwa so aus

Hallo Werner, hallo alle

vielen Dank für die Antwort!

Ja, der Pfad sieht bei mir ebenfalls so aus, also der Pfad bildet den des Servers ab. Es handelt sich um einen Multi-Domain-Server und der Pfad ist, allgemein gesprochen, folgendermassen:

/home/www-gruppe01/meine-domain.de/

Der Pfad vorne ist korrekt und die Domain wäre meine-domain.de.

Im Verzeichnis meine-domain.de liegen die Drupalverzeichnisse, also core, modules, profiles etc.

Müssen die beiden htpasswd und htaccess nun ins Verzeichnis meine-domain.de, also auf dieselbe Ebene wie core, modules etc. ? Falls ja, ist dort durch die Installation von drupal8 bereits eine htaccess-Datei vorhanden. Dort hab ich an den Anfang ähnliche vier Zeilen eingetragen, die du oben erwähnst. Doch das klappt nicht.

Ich habs dann auch noch anders versucht, z.B. das Verzeichnis sites geschützt, doch das klappt auch nicht.

Was mache ich falsch?

Danke für die Antwort.

ich würde den File mit den Passworten, also den, den Du mit htpasswd erstellst (bei mir oben heißt der authfile), nach /home/www-gruppe01 legen.
Die Änderungen an der .htaccess-Datei werden dann in die .htaccess von Drupal eingebaut. Das heißt auch, daß Du bei jedem Update von Drupal daran denken mußt (that's life).

cool, Werner - es hat geklappt - vielen Dank!

Und ja, daran muss man jetzt denken: beim nächsten Upgrade die vier Zeilen wieder einfügen.

Eine Verständnisfrage bleibt dennoch offen: ist das Backend in einem der ftp-Verzeichnisse abgebildet bzw. das Frontend? Ich dachte, dass z.B. das Verzeichnis 'sites' die Websites enthält und 'core' das Backend. Mir ist klar, dass man immer auch ne Datenbank hat, die wieder an einem anderen Ort liegt, aber ich habe mich gefragt, ob ich später, wenn ich die Website online stelle, nicht zusätzlich einen Schutz für das Backend benötige - mal abgesehen vom herkömmlichen Login. Ich frage aus Sicherheitsgründen. In einem anderen cms kann man (muss man vielleicht?) das Backend zusätzlich mit htaccess schützen.

Diesen Thread könnte man schliessen / Problem ist gelöst, wenngleich die Fragen offen bleiben

Also: Drupal hat kein Backend im eigentlichen Sinne. Es gibt nur ein Login und der Rest ist über Rollenrechte gesteuert. Du solltest also über die von Drupal vorgesehenen .htaccess-Dateien hinaus keine eigenen einstreuen. Das kann nur zu ungewollten Ergebnissen führen. Die Passworte bei Drupal werden "gesalzen" und sollten nicht zu kurz und zu simpel sein, damit Du auf der sicheren Seite bist. Außerdem empfiehlt es sich die Seite mit einem eigenen Zertifikat auszustatten, damit auch die Übertragung des Login-Passwortes über https erfolgt und nicht im Klartext übertragen wird. Mittels Let'sEncrypt ist das ja billig zu haben.
Den Thead schließen solltest Du selbst. Einfach vor den Titel des Anfangsbeitrages ein [gelöst] setzen.

Hallo Werner

nochmals danke für die Antwort! Ich bin nicht sicher, ob ich diesen Thread weiterführen soll oder einen neuen eröffnen... Ich führ ihn mal weiter... Bitte meldet, falls ich das nicht tun sollte.

Ok, kein Backend... Kein Backend?

Nun gut, vermutlich könnte man jetzt lange darüber streiten, ob und inwiefern ein Backend Sinn macht... Was mich aber interessieren würde: gäbe es eine Möglichkeit, das Login-Formular auf einer eigenen Seite anzuzeigen? Mir kommt dieses Login wie ein 'Scheuentor' vor.. In anderen cms hab ich zudem die Möglichkeit, das 'Backend' mit einem separaten htaccess-Schutz zu versehen, damit es noch sicherer ist. Aber du hast natürlich recht: die Zertifikate ermöglichen einen weiteren und wichtigen Schutz.

Zudem hab ich noch andere Frage, die eigentlich auch nicht direkt in diesen Thread gehören:

Wie kann ich die Optik ändern? Wo liegen die css, die zur Bearbeitung der Optik gedacht sind, also z.B. die Optik der Navigation, aber auch ganz simple Dinge wie die Farben etc. (ohne gleich ein anderes Theme einzusetzen). Aber auch die Responsivität: wo kann ich diese Dinge anpassen? Muss ich (wenn ich dann weiss, welche css) die css via ftp hoch- und runterladen? Gibt es eine Möglichkeit, die css online anzupassen? Alles Fragen, die der Kurs nicht behandelt. Ansonsten kann ich den Online Kurs von Oreilly zu Drupal 8 aber sehr empfehlen (halt auf englisch).

Falls eine Aktualisierung eines Updates schiefläuft, (wie) kann ich wieder zurück? Mal abgesehen von der Datenbank, einfach den Inhalt der alten Version (die ja auch aus Verzeichnissen besteht) in die neue kopieren?

Vielen Dank für die Unterstützung!

Das erste Login-Formular ist in der Regel ein Block, dem man nur die Region wegnehmen muß, in der er angezeigt werden soll. Dann das erst mal weg. Mit deine.domain.de/user kommst Du auf eine Login-Seite. Wenn jemand das weiß, kann er immer über diesen Weg gehen und die Hacker kennen diesen Trick. Letztlich helfen nur ein ausreichend gutes Passwort und das https-Protokoll.
Du solltest wirklich für die weiteren Fragen neue Threads aufmachen.
Die CSS-Dateien liegen im Theme. Du solltest aber nie die Original-Dateien ändern sondern eine extra CSS-Datei als letzte eintragen, in der man die anderen Anweisungen überschreibt, Damit muß man nur auf eine Datei aufpassen, wenn man das Theme updaten will. Besser ist man erstellt eine Ableitung.
Falls bei der Aktualisierung etwas schief geht, Sicherung zurückspielen und Datenbank zurückspielen (evtl alte Inhalte vorher löschen).