Passwortschutz für Joomla-Website: Frontend-Login im Offlinemodus

Wie kannst du den Zugriff auf eine Internetseite, die mit Joomla! erstellt ist, durch ein Passwort schützen? Neben serverseitigen Lösungen wie dem Basic-Auth-Passwortschutz bietet sich bei Joomla! der sogenannte Offline-Modus an. Was das genau ist und wie du es anwendest, erfährst du in diesem Beitrag.

Warum brauchst du einen Kennwortschutz für deine Joomla-Website?

Hierfür kann es unterschiedlichste Gründe geben. Wenn unsere Agentur zum Beispiel eine neue Internetseite oder Webapplikation für einen Kunden erstellt, erfolgt dies meist auf einem Entwicklungsserver, der im Internet erreichbar ist. Dies erleichtert die Abstimmung und ist für den Kunden sehr praktisch. Er kann die Seite einfach im Webbrowser aufrufen.

Natürlich soll das Projekt, das sich ja erst in der Entwicklung befindet, noch nicht in den Google-Ergebnissen erscheinen und von Dritten aufgerufen werden. Hierfür setzen wir beim Website-Aufruf eine Passwortabfrage. Eine bewährte Lösung ist der Basic-Auth-Passwortschutz, der je nach Provider entweder händisch per .htaccess-Datei oder direkt im Hosting-Backend eingerichtet wird.

Es gibt jedoch immer mal wieder Gründe, eine Seite nicht hiermit schützen zu wollen. So haben z.B. manche Unternehmen-Firewalls mit den ausgespielten Basic-Auth-Headern Schwierigkeiten. Sie präsentieren dann die gesamte Seite als „403 – Forbidden“, ohne dass eine Passwort-Abfrage erfolgt.

Passwortschutz über den Offlinemodus von Joomla! einrichten

Als Lösung für solche Fälle bietet sich in Joomla! der sogenannte Offlinemodus an. Auch hiermit wird der Aufruf der Website durch eine Kennwortabfrage geschützt. Nur Benutzer mit einem gültigen Benutzer-Login können sich im Frontend einloggen und die Seite dann betrachten.

Wenn du eine Joomla!-Seite in den System-Einstellungen in den Offlinemodus schaltest, können sich im Fontend erstmal nur Benutzer aus den Benutzergruppen Super User, Manager, Administrator sowie deren Untergruppen einloggen.

Benutzer aus diesen Benutzergruppen haben allerdings per Grundeinstellung noch die weiteren folgenden Rechte:

• Benutzer aus diesen Benutzergruppen können sich auch ins Backend einloggen.
• Benutzer aus diesen Benutzergruppen sehen im Frontend verschiedene Links bzw. Icons, um Inhalte im Frontend zu bearbeiten.

Soll der Kunde die Website lediglich betrachten können, ist dies natürlich nicht gewünscht. Es wird ein Frontend-Benutzer benötigt, der sich ausschließlich im Frontend einloggen kann, ohne Zugriff auf das Backend zu erhalten und ohne die Frontend-Editing-Funktionen nutzen zu können. Mit ein wenig Konfigurationsarbeit ist auch das möglich.

Website-Preview: Einrichten des kennwortgeschützten Zugangs für Kunden

Eine einfache Lösung ist es, hierfür eine eigene Benutzergruppe unterhalb der bestehenden Benutzergruppe Registriert anzulegen. Dieser Benutzergruppe vergibst du dann das Recht, sich im Frontend einzuloggen, wenn die Seite offline geschaltet ist.

Hierzu sind die folgenden Schritte im Joomla!-Backend nötig:

Anlage der neuen Benutzergruppe

• Benutzer → Benutzergruppen → Neu
• Gruppentitel: Previewer
• Übergeordnete Gruppe: Registriert
• Benutzergruppe speichern

Anpassung der Rechteinstellung für die neue Benutzergruppe

• System → Konfiguration → Tab Berechtigungen
• Klick auf die Benutzergruppe Previewer
• In der Liste der Aktionen Offlinezugang auf Erlaubt setzen
• Einstellungen speichern

Anlage eines neuen Benutzers in der neuen Benutzergruppe

• Benutzer → Verwalten → Neu
• Eingabe von Name, Username und Passwort
• Im Reiter Zugewiesene Gruppen die neue Benutzergruppe Previewer auswählen
• Benutzer speichern

Der neu angelegte Benutzer kann sich nun im Offlinemodus in das Frontend einloggen und die Website betrachten.

Diese Vorgehensweise funktioniert gleichermaßen für Joomla! 3.x und 4.x.

Sicherheitshinweis: Bitte beachte, dass bei dieser Lösung zwar kein Aufruf der Website ohne Eingabe des Passworts möglich ist, hochgeladene Bilder und Dateien sind aber weiterhin durch Eingabe der direkten URL erreichbar. Wenn sensible Dokumente mit der Website verknüpft sind, ist diese Art von Passwortschutz also nicht geeignet.