Wordpress Admin mit .htpasswd sichern

Inhaltsverzeichnis

Wordpress wp-admin absichern

Aktuell beschäftige ich mich mal wieder mit dem Thema Wordpress Sicherheit und ein wichtiger Aspekt ist hier, dass Nutzer keinerlei Zugriff auf das Backend bekommen. Das Problem bei Wordpress geht hier aber noch weiter, denn es gibt unzählige Brute Force-Angriffe auf das Verzeichnis wp-admin. Um diese zu unterbinden, gibt es Erweiterungen wie Limit Login Attempts, doch so richtig viel bringen die letztendlich auch nicht. Daher die große Frage:

Wie kann ich wp-admin mit einer htaccess schützen und das ohne Plugin ?

Viel besser wäre es da doch, all diese unsinnigen Anfragen einfach komplett zu blockieren und einzuschränken, so dass selbige gar keinen Erfolg mehr haben.

Das entlastet dann wieder den Server und macht eure Wordpress-Installation nicht nur deutlich sicherer, sondern auch deutlich schneller. Wie das geht? Mit einer .htpasswd-Datei, die ein zusätzliches Passwort abfragt, welches ihr eingeben müsst, um überhaupt zum Login zu gelangen. Klingt nervig, ist aber schnell erledigt und sorgt für eine Menge zusätzlicher Sicherheit.

Folgende Schritte sichern den Wordpress Login ab

1. Zunächst einmal müsst ihr eine Datei mit dem Namen .htpasswd erstellen. Der Punkt davor ist wichtig, außerdem muss die Datei mit einem Editor erstellt werden, also nicht mit Word oder einem ähnlichem Schreibprogramm.

2. Nun müsst ihr die .htpasswd-Datei noch mit entsprechendem Inhalt füllen. Dafür eignet sich dieser Passwort-Generator, dessen Ergebnis ihr euch aufschreibt und genau so wie angegeben in eure .htpasswd-Datei kopiert. Jetzt speichern.

3. Benutzername und Passwort habt ihr nun gewählt, doch nun muss all das noch zugewiesen werden. Kopiert die .htpasswd also via FTP in das Hauptverzeichnis.

4. Jetzt erstellt eine Datei mit dem Namen .htaccess. Normalerweise habt ihr im Wordpress-Ordner bereits eine solche liegen, doch diese brauchen wir hier nicht, es muss eine neue sein. In diese .htaccess kopiert ihr dann folgenden Code und speichert sie im Ordner wp-admin ab.

AuthUserFile PFADANGABE ZUR ->/.htpasswd
 AuthGroupFile /dev/null
 AuthName "Password Protected Area"
 AuthType Basic
<limit GET POST>
 require valid-user
</limit>Code-Sprache: PHP (php)

5. Der Code oben muss nun noch angepasst werden, denn unter Pfadangabe braucht ihr euer exaktes Verzeichnis auf dem Server bzw. das Verzeichnis zur .htpasswd. Das herauszufinden, ist gerade für Anfänger etwas tricky. Folgender Hinweis sollte euch dabei allerdings helfen. Habt ihr den genauen Pfad gefunden, fügt ihr selbigen im Code oben ein und sichert die .htaccess erneut im Ordner wp-admin.

Wordpress ist jetzt sicher

Im Grunde war es das nun schon. Wordpress ist nun deutlich sicherer und das Beste, es ist auch noch performanter geworden. Dadurch, dass es nun nämlich nicht mehr ständig fehlerhafte Logins gibt, sinken auch die Anfragen an den Server.

Der Nachteil bei dieser Methode: Wenn ihr in das Wordpress Admin wollt, müsst ihr nun jedesmal das gewählte Passwort eingeben, bevor das Nutzername und Password für das Wordpress Admin selbst folgen. Das mag anfangs zwar nerven, doch glaubt mir, der Nutzen ist im Vergleich wirklich enorm. Ich persönlich würde euch daher uneingeschränkt empfehlen, den Ordner wp-admin mit einer .htpasswd zu schützen.

Dann ist Schluss mit unsinnigen Brute Force-Attacken und damit zusammenhängenden Anfragen. Lieber auf Nummer sicher gehen, als nachher ein gehacktes Wordpress reparieren zu müssen.

Christian Pust
WordPress & Onlinemarketing Experte mit über 15 Jahren Erfahrung. Entwickler & CEO von Trackboxx – der Google Analytics Alternative.

4 Antworten

  1. Hallo Christian,
    vielen Dank für die gute Anleitung. Ich nutze bereits ithemes-security, das sich um Brute Force-Attacken kümmert. Ist es dennoch sinnvoll, ein .htpasswd einzurichten (ich nutze meine WP Installation alleine)? Und wenn ja, wie mache ich das mit der bereits bestehenden .htaccess, die von ithemes-security genutzt wird?
    Herzliche Grüße,
    Dirk

  2. Danke für den Reminder an das gute alte .htpasswd!
    Wenn ich mir so die Zugriffszahlen auf meine Login-Seite ansehe, versuche ich es jetzt mal mit dem .htpasswd 🤔 mal sehen, wie sich die Zahlen dann so entwickeln 🙂

    Das blöde ist, dass das halt für viele Kunden-Websites nicht geht. Man kann das für sich selbst ganz gut machen aber sobald mehrere Benutzer da sind, gibt’s wahrscheinlich auch welche, die von der .htpasswd-Passwort-Eingabeaufforderung etwas überrascht sind.

    BTW: ihr selbst habt das hier für fastwp.de auch gar nicht so eingerichtet. Was habt ihr für einen Grund?

    Danke, viele Grüße

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Das könnte dich auch interessieren

Du benötigst Unterstützung bei deinem WordPress Projekt?

Dein Ansprechpartner
Christian