.htaccess Passwortschutz für wp-admin

Der ein oder andere, der sich das Feature der Google Webmastertools – Website Leistung – zu Gemüte geführt hat, mag sich vielleicht schon gefragt haben: „Was hat Google in meinem Adminbereich zu suchen“. Ein passwortgeschützter Bereich und die Suchmaschinen greifen munter darauf zu und rechnen aus, wie lange die einzelnen darin enthaltenen Funktionen und Seiten zum Laden brauchen. Und was machen beziehungsweise können die Suchmaschinen sonst noch alles in unserem Adminbereich? Keiner weiß das so genau…

Ein Freund hat mich darauf aufmerksam gemacht und mir gesagt, dass bei ihm keine einzige Seite des Adminbereichs in der Website Leistung der Google Webmaster Tools auftaucht und das wohl, weil er den Adminbereich zusätzlich noch einmal mit einem Passwortschutz versehen hat. Okidoki, bei unsereins funktioniert das mit der .htaccess und das wollen wir dann doch gleich mal ausprobieren, denn ehrlich gesagt passt es mir so ganz und gar nicht, dass Google und vielleicht auch noch tausende von anderen Suchmaschinen in meinem Adminbereich munter herumwühlen.

Eintrag in die robots.txt ist kontroproduktiv

Übrigens, wenn einer nun meint, dass er einfach den wp-admin Ordner in die robots.txt zu schreiben braucht, dann irrt er gewaltig. Gerade von Google wird die robots.txt seit einem halben Jahr ganz anders behandelt als sie sollte. Sie verhindert den Zugriff nicht mehr, sondern sorgt stattdessen dafür, dass die entsprechend enthaltenen Dateien im Index auftauchen. Es ist also kein Verbot mehr für die Suchmaschinen sondern eine Einladung. Wer das nicht glaubt, braucht sich einfach nur mal seine über die robots.txt gesperrten Bereiche in der Site-Abfrage ansehen.

Wenn man also den wp-admin Ordner in die robots.txt einträgt, dann sorgt man zumindest dafür, dass der gesamten Welt alle darin enthaltenen Dateien, Seiten, beziehungsweise Pfade bekannt werden. Das ist gesuchtes Futter für Angreifer von außen. Von einem Eintrag des wp-admin Ordners in die robots.txt rate ich also zwingend ab!

.htaccess Passwortschutz für den Adminbereich

Die einzig sinnvolle Lösung um Suchmaschinen vom Adminbereich fernzuhalten, scheint also ein weiterer Passwortschutz über die .htaccess zu sein. Eine ausführliche Beschreibung, wie das genau funktioniert, findest du bei Chris.

Ich habe das Ganze nun einmal implementiert und warte gespannt darauf, ob in Kürze sich das Bild in den Webmaster Tools entsprechend verändert (es dauert ja ein paar Tage, bis Google das rafft und in den Webmaster Tools anzeigt). Bei den 10 Beispielseiten, die Google für die Berechnung der Website Leistung anführt, sind bei mir aktuell noch 6 Seiten aus dem Adminbereich enthalten. Und dabei sind ein paar echte lahme Krücken auszumachen, die mit Ladezeiten von 5,3 Sekunden etc. glänzen.

Wie schnell der Adminbereich ist, ist für die Performance der Webseite doch total unerheblich, denn in diesen Bereich greift sowieso kein User zu. Der Adminbereich ist einzig und alleine dem bzw. den Admins vorbehalten. Niemand anderes hat darin etwas zu suchen oder gar das Ganze für die Performance Berechnung heranzuziehen.

Update: Es sieht ganz so aus, als ob das mit dem htaccess Passwortschutz zumindest was die Website Leistung der Google Webmaster Tools betrifft nicht funktionieren kann und wird, da Google für diese Informationen auf Nutzer mit der Google Toolbar zugreift. Wer also selbst die Google Toolbar installiert hat und mit dieser auf seinen Adminbereich zugreift, liefert die Daten/Seiten unweigerlich an Google aus. Eigentlich müsste es ausreichen die PR Anzeige bei der Google Toolbar zu deaktiviert. Sicher bin ich mir dabei aber nicht. Ich für meinen Teil habe die Google Toolbar deativiert und anschließend auch deinstalliert.

An dieser Stelle noch mal Danke an meinen Kumpel. Ohne ihn wäre ich nie darauf gekommen 😉

Bewerte diesen Artikel
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne


Bis jetzt keine Bewertung
Loading...
Dieser Beitrag wurde unter How To's abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

How-to-WordPress.de unterstützt dofollow und ist somit nofollow frei.