Wordpress Performance Wordpress SEO Wordpress Security Wordpress Themes Wordpress Hosting Mein Setup Das Buch

WordPress Admin mit .htpasswd sichern

Wordpress Admin mit htpasswd sichern

WordPress Admin absichern

Aktuell beschäftige ich mich mal wieder mit dem Thema WordPress Sicherheit und ein wichtiger Aspekt ist hier, dass Nutzer keinerlei Zugriff auf das Backend bekommen. Das Problem bei WordPress geht hier aber noch weiter, denn es gibt unzählige Brute Force-Angriffe auf das Verzeichnis wp-admin. Um diese zu unterbinden, gibt es Erweiterungen wie Limit Login Attempts, doch so richtig viel bringen die letztendlich auch nicht. Viel besser wäre es da doch, all diese unsinnigen Anfragen einfach komplett zu blockieren und einzuschränken, so dass selbige gar keinen Erfolg mehr haben. Das entlastet dann wieder den Server und macht eure WordPress-Installation nicht nur deutlich sicherer, sondern auch deutlich schneller. Wie das geht? Mit einer .htpasswd-Datei, die ein zusätzliches Passwort abfragt, welches ihr eingeben müsst, um überhaupt zum Login zu gelangen. Klingt nervig, ist aber schnell erledigt und sorgt für eine Menge zusätzlicher Sicherheit.

Folgende Schritte sichern das Admin ab:

1. Zunächst einmal müsst ihr eine Datei mit dem Namen .htpasswd erstellen. Der Punkt davor ist wichtig, außerdem muss die Datei mit einem Editor erstellt werden, also nicht mit Word oder einem ähnlichem Schreibprogramm.

2. Nun müsst ihr die .htpasswd-Datei noch mit entsprechendem Inhalt füllen. Dafür eignet sich dieser Passwort-Generator, dessen Ergebnis ihr euch aufschreibt und genau so wie angegeben in eure .htpasswd-Datei kopiert. Jetzt speichern.

3. Benutzername und Passwort habt ihr nun gewählt, doch nun muss all das noch zugewiesen werden. Kopiert die .htpasswd also via FTP in das Hauptverzeichnis.

4. Jetzt erstellt eine Datei mit dem Namen .htaccess. Normalerweise habt ihr im WordPress-Ordner bereits eine solche liegen, doch diese brauchen wir hier nicht, es muss eine neue sein. In diese .htaccess kopiert ihr dann folgenden Code und speichert sie im Ordner wp-admin ab.

AuthUserFile PFADANGABE ZUR ->/.htpasswd
 AuthGroupFile /dev/null
 AuthName "Password Protected Area"
 AuthType Basic
<limit GET POST>
 require valid-user
</limit>

5. Der Code oben muss nun noch angepasst werden, denn unter Pfadangabe braucht ihr euer exaktes Verzeichnis auf dem Server bzw. das Verzeichnis zur .htpasswd. Das herauszufinden, ist gerade für Anfänger etwas tricky. Folgender Hinweis sollte euch dabei allerdings helfen. Habt ihr den genauen Pfad gefunden, fügt ihr selbigen im Code oben ein und sichert die .htaccess erneut im Ordner wp-admin.

WordPress ist jetzt sicher

Im Grunde war es das nun schon. WordPress ist nun deutlich sicherer und das Beste, es ist auch noch performanter geworden. Dadurch, dass es nun nämlich nicht mehr ständig fehlerhafte Logins gibt, sinken auch die Anfragen an den Server. Der Nachteil bei dieser Methode: Wenn ihr in das WordPress Admin wollt, müsst ihr nun jedesmal das gewählte Passwort eingeben, bevor das Nutzername und Password für das WordPress Admin selbst folgen. Das mag anfangs zwar nerven, doch glaubt mir, der Nutzen ist im Vergleich wirklich enorm. Ich persönlich würde euch daher uneingeschränkt empfehlen, den Ordner wp-admin mit einer .htpasswd zu schützen. Dann ist Schluss mit unsinnigen Brute Force-Attacken und damit zusammenhängenden Anfragen. Lieber auf Nummer sicher gehen, als nachher ein gehacktes WordPress reparieren zu müssen.



Wordpress Performance eBook