wp-login.php mit .htpasswd schützen

Inhaltsverzeichnis

Angriffe auf die wp-login.php verhindern

Aktuell teste ich gerade verschiedene Security Plugins für Wordpress (freut euch auf die kommenden Artikel dazu) und eines davon machte mich auf eine Sicherheitslücke aufmerksam. So hatte ich euch vor einiger Zeit mal empfohlen den kompletten Order “wp-admin” mit Hilfe einer .htpasswd-Datei abzusichern. Das macht durchaus Sinn, denn wer keine Registrierung und damit auch keinen Login für seine Nutzer anbietet, oder wie ich schlichtweg ein externes Kommentarsystem wie Disqus nutzt, der kann so die ganzen Fake-Anmeldungen, Brute-Force-Loginversuche und andere Hacks auf den Adminbereich von Wordpress unterbinden. Das sperren vom Ordner “wp-admin” macht also durchaus Sinn.

Dumm nur, dass einige Plugins Zugriff auf den Ordner wünschen und dieser sowieso automatisch zur “wp-login.php” umleitet. Genau um diese geht es hier nämlich, denn eines der eben ewrähnten Security Plugins machte mich darauf aufmerksam, dass die “wp-login.php” weiterhin heftig angegriffen wird. Kein Wunder, denn die Datei liegt ja gar nicht im gesperrten Ordner “wp-admin”. Ob ihr selbigen also gesperrt habt oder nicht, solange sich eure Nutzer nicht bei euch registrieren und einloggen dürfen, solltet ihr die “wp-login.php” ebenfalls mit einer .htpasswd-Datei absichern, um die Angriffe auf die Datei zu vermeiden und damit auch wieder indirekt die Performance zu verbessern.

Wie das geht erfahrt ihr nun hier.

Wp-login.php mit .htpasswd schützen

1. Als erstes müsst ihr eine leere Datei mit dem Namen .htpasswd erstellen. Den Punkt am Anfang nicht vergessen und die Datei mit einem Editor erstellen, nicht mit Word oder anderen Schreibprogrammen.

2. Als nächstes erstellt ihr mit dem Htpasswd-Generator einen Benutzernamen und ein Passwort. Merkt euch selbiges gut und kopiert den erstellten Inhalt in die eben erstellte .htpasswd-Datei. Anschließend noch Speichern und fertig seid ihr mit Schritt zwei.

3. Jetzt kopiert ihr die gespeicherte .htpasswd via FTP in das Hauptverzeichnis auf eurem Server oder Webspace.

4. Anschließend müsst ihr noch folgenden Code in eure bereits bestehende .htaccess-Datei kopieren. Wie eine perfekte .htaccess aussehen sollte, erfahrt ihr übrigens hier.

<Files wp-login.php>
AuthType Basic
AuthName "My Protected Area"
AuthUserFile PFADANGABE ZUR ->/.htpasswd
Require valid-user
</Files>

5. Jetzt wird es für viele noch einmal etwas knifflig. Den Code oben müsst ihr nämlich so abändern, dass der komplette Pfad eures Servers angegeben ist. Ändert einfach das “PFADANGABE ZUR ->/.htpasswd” mit dem Pfad zu eurer .htaccess. Wie genau ihr den Pfad herausbekommt, steht hier sehr schön beschrieben.

Performance und Sicherheit durch Login-Schutz

Damit ist der letzte Schritt abgeschlossen und dank der zusätzlichen Passwortabfrage via .htpasswd, enden damit auch die stetigen Hackversuche auf diese Datei. Mit solchen automatischen Angriffen hat Wordpress nämlich schon lange zu kämpfen und die immer wiederkehrenden Zugriffe verursachen logischerweise auch einiges an Last auf eurem Server. Ist die Datei aber erst einmal mit einer .htpasswd geschützt, haben Angreifer keinerlei Möglichkeit mehr und werden einfach komplett abgeblockt, bevor sie irgendwelche Hackversuche oder Brute Force Logins starten können. Sie schaffen nicht einmal um das Passwort herum, solange ihr selbiges entsprechend lang und komplex angelegt habt. Ich hoffe der Tipp konnte dem ein oder anderen helfen. Für jeden der die Registrierung von Benutzern auf seiner Website deaktiviert hat, ist die Methode ein absolutes Muss.

Das könnte dich auch interessieren:

Christian Pust
WordPress & Onlinemarketing Experte mit über 15 Jahren Erfahrung. Entwickler & CEO von Trackboxx – der Google Analytics Alternative.

3 Antworten

  1. Hallo Christian,

    hast du denn auch einen Tip für die, die ein Kunden Login aktiviert haben. Ich habe mit Woocommerce unter anderem ein Kundenkonto aktiviert. Ich lande mit diesen Zugangsdaten auch nicht im Backend wenn ich es über wp-admin versuche mich damit einzulocken. Immerhin ist das schon mal gut. Aber wenn ich mich nun abmelden will von dem Kundenkonto greift der htaccess Schutz ein. Aber wenn ich ein Konto eröffne und mich anmelde greift der Schutz nicht ein. Also verstehe ich nicht ganz warum dieser nur bei einer Abmeldung eingreift. Aber hast du dich damit vielleicht schon mal befasst? Oder einen alternativen schutz wenn man auf die Seite domain/wp-admin zugreifen will?

    1. Hi Martina, da kann ich leider so nicht wirklich etwas qualitatives zu sagen ohne mich hier umfangreicher mit deinem Fall zu befassen – und das geht (hoffentlich verständlicherweise) über unseren Kommentarsupport hinaus. Da dies leider häufiger der Fall ist, ist mir da aber eine ganz nette Idee gekommen wir wir dieses doch häufiger auftretende Problem angehen können 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Das könnte dich auch interessieren

Du benötigst Unterstützung bei deinem WordPress Projekt?

Dein Ansprechpartner
Christian