Von Haus aus ist der Admin-Bereich von WordPress durch eine Passworteingabe geschützt. Um zusätzliche Sicherheit einzubauen, ist es möglich eine weitere Abfrage einzubauen, noch bevor überhaupt auf den Admin-Bereich zugegriffen wird.
Durch eine Datei namens „.htaccess“ lässt sich WordPress schützen, indem der komplette Ordner „wp-admin“ mit einem zusätzlichen Passwort verschlüsselt wird.
WordPress schützen durch .htaccess und .htpasswd
Möchte man seine WordPress-Installation mit einer zusätzlichen Passworteingabe schützen, müssen lediglich zwei Dateien erstellt und auf den Webserver hochgeladen werden.
Eine Datei names „.htaccess“ beschreibt dabei die Anweisungen für den Webserver, während in der Datei „.htpasswd“ Passwort und zugehörige(r) Benutzer hinterlegt sind.
Conversion-Plugins: Flytools | Vorteile: |
|
Erstellen einer Datei namens „.htpasswd“
Welche der beiden Dateien zuerst erstellt werden spielt keine Rolle, der Logik halber wird hier mit der Erstellung der „.htpasswd“-Datei begonnen.
Der einfachste Weg führt über einen der Generatoren, die im Internet frei aufrufbar sind. Google bietet als ersten Treffer beispielsweise folgenden an: http://www.htaccesstools.com/htpasswd-generator/
Die Vorgehensweise ist selbsterklärend. Unter „Username“ trägt man den gewünschten Benutzernamen ein, während in der Zeile „Password“ ein beliebiges Passwort eingegeben werden kann. Im Anschluss wird ein Code produziert:
Weshalb man einen Generator benutzen sollte erkennt man an der verschlüsselten Ausgabe des gewählten Passworts. Diese Verschlüsselung wird vom Generator automatisch übernommen.
Um die Erstellung der Datei abzuschließen, nimmt man den soeben generierten Code und fügt ihn in eine Textdatei ein, die als „.htpasswd“ abgespeichert wird.
Erstellen der „.htaccess“
Wieder erstellt man eine Textdatei und beschreibt sie mit folgendem Inhalt:
In der ersten Zeile „AuthUserFile“ muss der Pfad angegeben werden, unter dem die Datei „htpasswd“ später auf dem Server abgelegt wird. Je nach Webhoster des Blogs und angelegter Ordnerstruktur durch den Benutzer sind diese Pfade immer unterschiedlich.
Möglichkeit 1:
Möchte man erhöhte Sicherheit speichert man die „htpasswd“ in einem Oberverzeichnis zur eigentlichen Domain ab.
Liegt die eigene WordPress-Installation auf dem Webserver z.B. auf einem Pfad wie:
„/www/domainXY/wordpressdateien/…“
dann speichert man seine „htpasswd“ unter einem Pfad wie:
„/www/passwd/.htpasswd“
Der Sinn dahinter besteht darin, dass ein möglicher Angreifer durch das Aufrufen der Domain nie in dieses Oberverzeichnis gelangt und dadurch auch nie die „.htpasswd“ auslesen kann.
Möglichkeit 2:
Wem das zu aufwendig ist kann beide Dateien auch in das gleiche Verzeichnis, also in das Verzeichnis „wp-admin“ seiner WordPress-Installation hochladen. Der zusätzliche Passwortschutz wird dadurch immer noch erreicht!
Der Text, der dann in die Datei „htaccess“ eingetragen werden muss, sieht in etwa so aus:
Conversion-Plugins: Flytools | Vorteile: |
|
Hochladen von .htpasswd und .htaccess
Nachdem beide Dateien erstellt und abgespeichert sind lädt man sie auf den Webserver. Je nach gewählter Verzeichnisstruktur ist es wichtig die Dateien in den korrekten Ordnern abzulegen. Andernfalls kommt es nicht zum gewünschten Effekt. Hat alles funktioniert wird der Benutzer beim Aufrufen des Admin-Bereichs nun durch folgende Authentifizierung überprüft:
Pingback: Wordpress - Sicherheit erhöhen - Blogs optimieren | Blogs optimieren
Pingback: Birdflymedia – Under Attack
Pingback: GTA V ONLINE | Motivey.de
Pingback: Sicherheitsbedenken | blog.sichtverbindung.de