Bludit privatisieren

Sat Apr 16, 2022 4:53 pm

hans wrote: Sat Apr 16, 2022 4:39 pm Gibt es eine Rolle "Gast" o.ä., die zwar durch das Plugin Private Mode Zugang zu den Beiträge aber keinen Zugang zum Admin-Bereich hat (nichts posten kann etc.)?

Nein, diese Rolle gibt es nicht.

Du kannst aber den Zugang zur Installation mit einem Passwort sichern.

Wie kann ich die Umleitung im Plugin auf die Startseite des CMS ändern (nicht Admin-Bereich?

Umleitung von wo?

hans · Sat Apr 16, 2022 4:59 pm

ich will eine Seite für Gäste erstellen, die von Besucher unter Eingabe eines Passwortes sehen können.

Das Codeschnippsel ist aus dem Plugincode von Private Mode. Nach dem Einloggen schickt es die Besucher auf die Seite. Da möchte ich gerne auf die Blogstartseite statt Adminpage umleiten.

Sat Apr 16, 2022 5:48 pm

hans wrote: Sat Apr 16, 2022 4:59 pm ich will eine Seite für Gäste erstellen, die von Besucher unter Eingabe eines Passwortes sehen können.

Was spricht dagegen, die Website mit einem Passwort zu schützen. Oder meinst Du eine einzelne Seite?

Das Codeschnippsel ist aus dem Plugincode von Private Mode.

Ich schaue mir das Plugin genauer an.

Sun Apr 17, 2022 11:23 pm

hans wrote: Sat Apr 16, 2022 4:59 pm Nach dem Einloggen schickt es die Besucher auf die Seite. Da möchte ich gerne auf die Blogstartseite statt Adminpage umleiten.

Das Plugin leitet bei Aufruf der URL der Website zur Login-Seite weiter. Benutzer, die sich eingeloggt haben, können dann die Website sehen. Das Plugin macht also gewissermassen das Gegenteil von dem, was Du möchtest.

Torsten_Kelsch · Mon Apr 18, 2022 12:17 am

hans wrote: Sat Apr 16, 2022 4:59 pm Nach dem Einloggen schickt es die Besucher auf die Seite. Da möchte ich gerne auf die Blogstartseite statt Adminpage umleiten.

Also soll der Blogbereich nicht für die Öffentlichkeit, sondern nur für authorisierte Benutzer sichtbar sein, oder wie jetzt?

Dann wäre es doch das Einfachste, zwei Bludit-Installationen zu erstellen: eine für die statischen Seiten (Über uns, Kontakt, Impressum etc.) und eine für den Blog. Letzterer wird dann halt im Falle eines Apache-HTTP-Servers per htpasswd geschützt. Oder aber per Zugangsverwaltung, es gibt ja, unabhängig von Bludit, diverse PHP/MySQL-Programme für so was.

jlandt · Thu Apr 21, 2022 12:31 pm

Hallo @all,

folgende Anmerkungen/Ideen/Hinweise meinerseits:

Generell ist es toll wenn es für alles Plugins gibt. Das erinnert mich irgendwie an Wordpress... Ist die Frage, ob man da hin will...

Aus Betriebssicht würde ich versuchen 'Dinge' die man vorher handeln bzw. vom eigentlichen CMS fernhalten kann, ausserhalb vom CMS zu lösen. Das dient der eigentlichen Performance und Sicherheit des CMS und reduziert Abhängigkeiten. Stichworte dafür sind 'Reverse-/Proxies', 'Loadbalancer', 'Firewalls', ... Negatives Beispiel zur Veranschaulichung: 'Firewall Plugins' für div. CMS. Ist ein Angreifer erst einmal soweit gekommen, steckt er bereits mitten im Code des CMS. Aber OK, nicht immer ist es möglich, diverse 'Tools' verwenden zu können, da man die App nicht selbst hostet. Zurück zum eigentlichen Anliegen....

Ich gehe davon aus, dass für Bludit nicht der interne PHP Server, sondern in irgendeiner Form NGINX, Apache, o.ä. verwendet wird. Daher würde ich, was den Schutz einzelner Bereiche angeht, diesen per 'htaccess' o.ä. innerhalb des Webservers bzw. den jeweiligen Proxy davor 'anvertrauen'. Mein Favorit stellt Caddy dar. Ist einfach zu konfigurieren und bietet out-of-the-box bereits viele state-of-the-art Features.

jlandt · Thu Apr 21, 2022 12:56 pm

Weiter oben ging es um die Verwaltung von Passwörtern soweit ich mich erinnere... Als Tip:

- https://keepassxc.org/
- https://keeweb.info/ (kann auch nur auf localhost verwendet werden)
- https://keepass.info/

Für den ersten Link existieren ebenfalls Plugins für Chrome und Firefox (Browserintegration des Tools)

Torsten_Kelsch · Thu Apr 21, 2022 8:11 pm

@jlandt:
Ja, die Zugangsbeschränkung per .htaccess/.htpasswd (im Fall des Apache-Servers) ist auch meiner Ansicht nach ganz klar die beste Möglichkeit, vielleicht sogar mit zusätzlichem, nachgeschalteten Benutzer/Passwort-Schutz mit Hilfe einer Datenbank oder wie auch immer. Dann müsste ein Angreifer gleich zwei Hürden überwinden. Unbequem ist es freilich für die berechtigten Benutzer/Benutzerinnen.
Das Kniffelige an der Fragestellung war allerdings, wie man den Blogbereich zugangsschützen kann, die statischen Seiten aber öffentlich lässt. Dann müsste ja der Blogbereich in einem Unterverzeichnis laufen, sodass man dieses dann per .htaccess schützen kann, aber das ist wohl so mit Bludit nicht möglich, glaube ich.

jlandt · Fri Apr 22, 2022 6:35 pm

Hallo Torsten,

achso, ich bin davon ausgegangen, das der Blog über einen Path (Url) angesprochen wird. Somit ließe sich dieser per rule eingrenzen. Vielleicht sollte ich die Eingangsfrage nochmal genauer lesen.

Torsten_Kelsch · Fri Apr 22, 2022 8:29 pm

jlandt wrote: Fri Apr 22, 2022 6:35 pm Hallo Torsten,

achso, ich bin davon ausgegangen, das der Blog über einen Path (Url) angesprochen wird. Somit ließe sich dieser per rule eingrenzen. Vielleicht sollte ich die Eingangsfrage nochmal genauer lesen.

Hallo Jürgen,

tja, hm, es könnte freilich Möglichkeiten geben, die mir unbekannt sind. Jedenfalls, wenn ich den Fragesteller richtig verstanden habe, sollen nur Teile der Website zugangsbeschränkt sein, nämlich ein Blogbereich. Aber er meldet sich ja auch hier nicht mehr, vielleicht ist die ganze Sache inzwischen erledigt oder so.