WordPress-Sicherheit: „wp-admin“ mittels htaccess per Passwort schützen

Marcel Am 28.08.2013 veröffentlicht Lesezeit etwa 2:24 Minuten

wordpress-admin-sichern1

Zugegeben: Eine WordPress-Installation hat viele möglichen Schwachstellen, über die ein potentieller Angreifer euch Schaden kann. Natürlich ist hier nicht nur die Installation an sich eine potentielle Gefahr, auch SQL-Injections und direkte Angriffe auf Server und/oder Datenbank sind natürlich möglich – das aber ist ein Thema, welches ganze Bücher füllen kann, dennoch kann man sich natürlich schon mit kleinen Tricks ein wenig absichern. Eine dieser Absicherungen betrifft zum Beispiel das Administrations-Backend: „wp-admin“. Im Grunde kann jeder Angreifer auf das Login-Formular zugreifen, dies ist bei allen WordPress-Installationen (standardmäßig) mit der gleichen URL ausgestattet: http://www.meinblog.de/wp-admin. Hier gibt es natürlich viele mögliche Wege, einen eventuellen Angriff durchzuführen, ist der unliebsame Besucher dann einmal im Backend drin, habt ihr eigentlich schon verloren.

Hierzu gibt es im WordPress-Plugin-Verzeichnis einige Möglichkeiten, sich vor BrutForce-Angriffen oder ähnlichem zu schützen. Das Plugin Limit Login Attempts zum Beispiel sperrt den Zugang nach drei fehlgeschlagenen Logins für eine bestimmte Zeit und IP, auch andere Plugins versuchen hier, für etwas Sicherheit zu sorgen.

Limit Login Attempts
Limit Login Attempts
Entwickler: Johan Eenfeldt
Preis: Kostenlos

Aber: Wieso einem potentiellen Kandidaten überhaupt erst den Zugang zum „wp-admin“-Ordner und der Login-Maske erlauben? Besser wäre es, schon vor dem Zugriff auf den Ordner die Erlaubnis einzuholen – spart unnötige Datenbankabfragen und im Zweifel kümmert sich der Server um den Eindringling und WordPress bekommt davon nicht einmal im Ansatz etwas mit. Und dieser Zugriffsschutz lässt sich mittels eine .htaccess ganz einfach einrichten, dauert keine 5 Minuten.

Zuerst einmal solltet ihr schon einmal die beiden benötigten Dateien in Form einer Textdatei (zum Beispiel Notepad) anlegen: .htaccess und .htpsswrd. Der Punkt vor dem Dateinamen ist korrekt so, sollte euer System das nicht erlauben, so lasst ihn weg und ändert den Dateinamen später auf dem Server (kann genauso gut sein, dass auf eurem Server bereits eine .htaccess existiert – dann müsst ihr nur die Zeilen hinein kopieren).

Bildschirmfoto 2013-08-28 um 02.52.24

Nun öffnen wir zuerst einmal die .htaccess und geben dort den folgenden Inhalt ein:

<Files wp-login.php>
AuthType Basic
AuthUserFile /absoluter-pfad/.htpsswrd
AuthName "Administrationsbereich"
require valid-user
</Files>

Den absoluten Ordner-Pfad könnt ihr ganz einfach ermitteln, indem ihr eine Datei absoluterpfad.php erstellt, die unten stehenden Zeilen hineinkopiert, auf euren Server hochladet und dort eben aufruft. Der gesamte Pfad sollte nun eben an der entsprechenden Stelle in der .htaccess eingefügt werden.

<?php echo $_SERVER['DOCUMENT_ROOT']; ?>

Haben wir das alles erledigt können wir unsere .htaccess schon einmal speichern und schließen. Als nächstes öffnen wir nun unsere Datei mit dem Namen .htpsswrd. Nun benötigen wir diesen htpasswrd Generator, da das Password natürlich verschlüsselt gespeichert werden sollte. Also Benutzernamen eingeben, Passwort eingeben (sollte natürlich sicher sein, sonst bringt das alles nichts) und die entsprechende Zeile in die .htpsswrd kopieren.

Bildschirmfoto 2013-08-28 um 02.59.32

Habt ihr mehrere Autoren, so habt ihr natürlich die Wahl: Entweder ihr richtet lediglich einen Benutzer ein, über den sich alle für das Admin-Backend authentifizieren oder aber ihr legt ihr schon für jeden Nutzer eine gesonderte Zeile an. Ersteres dürfte aber in der Regel ausreichend sein.

Bildschirmfoto 2013-08-28 um 03.03.24

Nun schiebt ihr beide Dateien in den Installations-Ordner eurer WordPress-Installation auf dem Server – vergesst nicht, dass ihr hier die Dateien nochmals umbenennen müsst und den führenden Punkt (.) vor den eigentlichen Dateinamen stellt. Sobald die Dateien hochgeladen und umbenannt worden sind, ist der Schutz auch schon aktiv – eigentlich ganz easy, oder?

wordpress-admin-sichern2

Artikel teilen

Kaufempfehlung*

  • Motorola Moto G4 Play Smartphone (12,7 cm (5 Zoll), 16 GB, Android, Dual-SIM) schwarz [Exklusiv bei Amazon]
  • Neu ab EUR 133,00, gebraucht schon ab EUR 108,07
  • Auf Amazon kaufen*