Sicherheit

Um Content-Management-Systeme wie Drupal abzusichern, macht es Sinn, dass Backend zur Pflege und Verwaltung nur bestimmten IP-Bereichen zugänglich zu machen. Eine Möglichkeit für jedes nahezu jedes CMS besteht darin, dies über die Apache-Konfiguration in der .htaccess durchzuführen, sofern das Apache-Modul mod-rewrite aktiviert ist. Wir leiten jede nicht zulässige IP-Adresse auf eine Fehlerseite (403) weiter. Ich zeige das hier mal an einem Beispiel für Drupal 7 und einer aktuellen Apache-Version (>2.4.x):

# Prohibiting access to admin pages and user login, if not from allowed ip address
RewriteCond %{HTTP_HOST} ^www\.domain\.com [NC]
RewriteCond %{REQUEST_URI} ^/(user|admin|update\.php|node\/add|node\/[0-9]*\/(edit|delete))
RewriteCond expr "! -R '192.168.10.0/24'"
RewriteCond expr "! -R '10.0.0.0/24'"
RewriteRule ^(.*)$ - [L,R=403]

# Prohibiting access to admin pages and user login, if not from allowed ip address

RewriteCond %{HTTP_HOST} ^www\.domain\.com [NC]

RewriteCond %{REQUEST_URI} ^/(user|admin|update\.php|node\/add|node\/[0-9]*\/(edit|delete))

RewriteCond expr "! -R '192.168.10.0/24'"

RewriteCond expr "! -R '10.0.0.0/24'"

RewriteRule ^(.*)$ - [L,R=403]

Seit der Apache 2.4…

IP-Sperren für bestimmte (Drupal-)Verzeichnisse in der .htaccess

Gefällt mir:

Teilen mit:

Gefällt mir: