Wordpress Performance Wordpress SEO Wordpress Security Wordpress Themes Wordpress Hosting Mein Setup Das Buch

wp-login.php mit .htpasswd schützen

Wp-login.php mit .htpasswd schützen

Angriffe auf die wp-login.php verhindern

Aktuell teste ich gerade verschiedene Security Plugins für WordPress (freut euch auf die kommenden Artikel dazu) und eines davon machte mich auf eine Sicherheitslücke aufmerksam. So hatte ich euch vor einiger Zeit mal empfohlen den kompletten Order “wp-admin” mit Hilfe einer .htpasswd-Datei abzusichern. Das macht durchaus Sinn, denn wer keine Registrierung und damit auch keinen Login für seine Nutzer anbietet, oder wie ich schlichtweg ein externes Kommentarsystem wie Disqus nutzt, der kann so die ganzen Fake-Anmeldungen, Brute-Force-Loginversuche und andere Hacks auf den Adminbereich von WordPress unterbinden. Das sperren vom Ordner “wp-admin” macht also durchaus Sinn. Dumm nur, dass einige Plugins Zugriff auf den Ordner wünschen und dieser sowieso automatisch zur “wp-login.php” umleitet. Genau um diese geht es hier nämlich, denn eines der eben ewrähnten Security Plugins machte mich darauf aufmerksam, dass die “wp-login.php” weiterhin heftig angegriffen wird. Kein Wunder, denn die Datei liegt ja gar nicht im gesperrten Ordner “wp-admin”. Ob ihr selbigen also gesperrt habt oder nicht, solange sich eure Nutzer nicht bei euch registrieren und einloggen dürfen, solltet ihr die “wp-login.php” ebenfalls mit einer .htpasswd-Datei absichern, um die Angriffe auf die Datei zu vermeiden und damit auch wieder indirekt die Performance zu verbessern. Wie das geht erfahrt ihr nun hier.

Wp-login.php mit .htpasswd schützen

1. Als erstes müsst ihr eine leere Datei mit dem Namen .htpasswd erstellen. Den Punkt am Anfang nicht vergessen und die Datei mit einem Editor erstellen, nicht mit Word oder anderen Schreibprogrammen.

2. Als nächstes erstellt ihr mit dem Htpasswd-Generator einen Benutzernamen und ein Passwort. Merkt euch selbiges gut und kopiert den erstellten Inhalt in die eben erstellte .htpasswd-Datei. Anschließend noch Speichern und fertig seid ihr mit Schritt zwei.

3. Jetzt kopiert ihr die gespeicherte .htpasswd via FTP in das Hauptverzeichnis auf eurem Server oder Webspace.

4. Anschließend müsst ihr noch folgenden Code in eure bereits bestehende .htaccess-Datei kopieren. Wie eine perfekte .htaccess aussehen sollte, erfahrt ihr übrigens hier.

<Files wp-login.php>
AuthType Basic
AuthName "My Protected Area"
AuthUserFile PFADANGABE ZUR ->/.htpasswd
Require valid-user
</Files>

5. Jetzt wird es für viele noch einmal etwas knifflig. Den Code oben müsst ihr nämlich so abändern, dass der komplette Pfad eures Servers angegeben ist. Ändert einfach das “PFADANGABE ZUR ->/.htpasswd” mit dem Pfad zu eurer .htaccess. Wie genau ihr den Pfad herausbekommt, steht hier sehr schön beschrieben.

Performance und Sicherheit durch Login-Schutz

Damit ist der letzte Schritt abgeschlossen und dank der zusätzlichen Passwortabfrage via .htpasswd, enden damit auch die stetigen Hackversuche auf diese Datei. Mit solchen automatischen Angriffen hat WordPress nämlich schon lange zu kämpfen und die immer wiederkehrenden Zugriffe verursachen logischerweise auch einiges an Last auf eurem Server. Ist die Datei aber erst einmal mit einer .htpasswd geschützt, haben Angreifer keinerlei Möglichkeit mehr und werden einfach komplett abgeblockt, bevor sie irgendwelche Hackversuche oder Brute Force Logins starten können. Sie schaffen nicht einmal um das Passwort herum, solange ihr selbiges entsprechend lang und komplex angelegt habt. Ich hoffe der Tipp konnte dem ein oder anderen helfen. Für jeden der die Registrierung von Benutzern auf seiner Website deaktiviert hat, ist die Methode ein absolutes Muss.



Wordpress Performance eBook