WordPress Admin durch zusätzliches Passwort schützen

Von Haus aus ist der Admin-Bereich von WordPress durch eine Passworteingabe geschützt. Um zusätzliche Sicherheit einzubauen, ist es möglich eine weitere Abfrage einzubauen, noch bevor überhaupt auf den Admin-Bereich zugegriffen wird. Durch eine Datei namens „.htaccess“ lässt sich WordPress schützen, indem der komplette Ordner „wp-admin“ mit einem zusätzlichen Passwort verschlüsselt wird.

 

WordPress schützen durch .htaccess und .htpasswd

Möchte man seine WordPress-Installation mit einer zusätzlichen Passworteingabe schützen, müssen lediglich zwei Dateien erstellt und auf den Webserver hochgeladen werden.

Eine Datei names „.htaccess“ beschreibt dabei die Anweisungen für den Webserver, während in der Datei „.htpasswd“ Passwort und zugehörige(r) Benutzer hinterlegt sind.

 

Erstellen einer Datei namens „.htpasswd“

Welche der beiden Dateien zuerst erstellt werden spielt keine Rolle, der Logik halber wird hier mit der Erstellung der „.htpasswd“-Datei begonnen.

Der einfachste Weg führt über einen der  Generatoren, die im Internet frei aufrufbar sind. Google bietet als ersten Treffer beispielsweise folgenden an: http://www.htaccesstools.com/htpasswd-generator/

Die Vorgehensweise ist selbsterklärend. Unter „Username“ trägt man den gewünschten Benutzernamen ein, während in der Zeile „Password“ ein beliebiges Passwort eingegeben werden kann. Im Anschluss wird ein Code produziert:

.htpasswd Passwort Generator

.htpasswd Passwort Generator

Weshalb man einen Generator benutzen sollte erkennt man an der verschlüsselten Ausgabe des gewählten Passworts. Diese Verschlüsselung wird vom Generator automatisch übernommen.

Um die Erstellung der Datei abzuschließen, nimmt man den soeben generierten Code und fügt ihn in eine Textdatei ein, die als „.htpasswd“ abgespeichert wird.

.htpasswd Datei

.htpasswd Datei

 

Erstellen der „.htaccess“

Wieder erstellt man eine Textdatei und beschreibt sie mit folgendem Inhalt:

.htaccess Datei

.htaccess Datei

In der ersten Zeile „AuthUserFile“ muss der Pfad angegeben werden, unter dem die Datei „htpasswd“ später auf dem Server abgelegt wird. Je nach Webhoster des Blogs und angelegter Ordnerstruktur durch den Benutzer sind diese Pfade immer unterschiedlich.

Möglichkeit 1:

Möchte man erhöhte Sicherheit speichert man die „htpasswd“ in einem Oberverzeichnis zur eigentlichen Domain ab.

Liegt die eigene WordPress-Installation auf dem Webserver z.B. auf einem Pfad wie:

„/www/domainXY/wordpressdateien/…“

dann speichert man seine „htpasswd“ unter einem Pfad wie:

„/www/passwd/.htpasswd“

Der Sinn dahinter besteht darin, dass ein möglicher Angreifer durch das Aufrufen der Domain nie in dieses Oberverzeichnis gelangt und dadurch auch nie die „.htpasswd“ auslesen kann.

Möglichkeit 2:

Wem das zu aufwendig ist kann beide Dateien auch in das gleiche Verzeichnis, also in das Verzeichnis „wp-admin“ seiner WordPress-Installation hochladen. Der zusätzliche Passwortschutz wird dadurch immer noch erreicht!

Der Text, der dann in die Datei „htaccess“ eingetragen werden muss, sieht in etwa so aus:

AuthUserFile wenn .htpasswd im gleichen Verzeichnis wie .htaccess

AuthUserFile wenn .htpasswd im gleichen Verzeichnis wie .htaccess

 

Hochladen von .htpasswd und .htaccess

Nachdem beide Dateien erstellt und abgespeichert sind lädt man sie auf den Webserver. Je nach gewählter Verzeichnisstruktur ist es wichtig die Dateien in den korrekten Ordnern abzulegen. Andernfalls kommt es nicht zum gewünschten Effekt. Hat alles funktioniert wird der Benutzer beim Aufrufen des Admin-Bereichs nun durch folgende Authentifizierung überprüft:

Zusätzliche Authentifizierung zum WordPress schützen

Zusätzliche Authentifizierung zum Schützen von WP Admin

Dieser Beitrag wurde unter How To's abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Kommentare zu WordPress Admin durch zusätzliches Passwort schützen

  1. Pingback: Wordpress - Sicherheit erhöhen - Blogs optimieren | Blogs optimieren

  2. Pingback: Birdflymedia – Under Attack

  3. Pingback: GTA V ONLINE | Motivey.de

  4. Architekt sagt:

    Vielen Dank für die tolle Anregung! Ich setze gerade einen neuen Blog auf und habe die Anleitung sofort umgesetzt.

  5. Pingback: Sicherheitsbedenken | blog.sichtverbindung.de

  6. Bernhard sagt:

    Die Absicherung des Loginbereichs über einen Passwortschutz ist eine gute Idee. Es darf dabei aber niemals der gesamte Ordner wp-admin abgesichert werden, da auch das Frontend Dateien aus diesem Ordner verwendet. Vor allem für sämtliche AJAX-Aufrufe.

    Besser ist es daher, nur die Datei wp-login.php abzusichern. Somit bleibt das Login weiterhin geschützt, aber es werden keine Fehler Frontend produziert.

  7. Uwe sagt:

    Hallo Dennis,

    danke für Deine gut erklärte Seite mit dem Passwort Schutz, dennoch habe ich eine Frage.
    Wenn ich mich über die Authentifizierung anmelde steht dort Passwort. Mir ist hier leider noch nicht klar, ob ich hier mein Passwort eintrage, welches mir durch den „Htpasswd Generator“ ausgegeben wurde.

    Sorry, ist meine erste .htaccess

    Danke für die Antwort

    Gruß
    Uwe

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

How-to-WordPress.de unterstützt dofollow und ist somit nofollow frei.