WordPress Adminbereich mit .htaccess absichern
Geschrieben von Torsten Lachnitt am .
Artikel zuletzt geändert am 27. Mai 2024
Adminbereich mit .htaccess absichern – geeignet für: Anfänger, Fortgeschrittene
Pro:
Contra: keine
Auf die WordPressdateien wp-login.php und wp-admin.php werden täglich zig Angriffe verübt, je beliebter und bekannter die eigene Website ist umso mehr Angriffe muss die Website weg stecken. Eine einfache und beliebte Methode für den Schutz des Administrationsbereichs ist die Möglichkeit, mit einer sogenannten .htaccess-Datei und dem dazugehörigen Gegenstück. der .htpasswd, die Angreifer auszusperren.
Als erstes muss der Pfad ermittelt werden, in dem das Administrationsverzeichnis liegt. Hierfür erstellt man eine Datei mit der Endung .php, der Dateiname selbst kann beliebig gewählt werden. Ich nenne sie pfad.php. Der Inhalt dieser Datei sieht folgendermaßen aus:
<?php
$p = getcwd();
echo $p;
?>
Anschließend lade ich die Datei per FTP-Client (z.B. Filezilla) in das „wp-admin“-Verzeichnis meiner WordPressinstallation und rufe die Datei im Browser auf:
Bsp: www.torsten-lachnitt.de/wp-admin/pfad.php
Der Browser gibt mir anschließend den Pfad in diesem Format zurück: /das/ist/der/pfad/wp-admin
Diesen Pfad merke ich mir bzw. kopiere ihn in die Zwischenablage, da ich ihn für den nächsten Schritt benötige. Die Datei pfad.php können Sie auch hier auf meiner Website herunterladen: htaccess.zip.
Jetzt müssen die beiden Dateien .htaccess und .htpasswd erstellt werden. Wichtig ist, das die beiden Dateien genauso geschrieben werden wie hier dargestellt (.htaccess, .htpasswd).
Die .htpasswd kann man hier erstellen: https://www.ruhr-uni-bochum.de/system/tools/htpasswd
Die .htaccess hat den folgenden Inhalt:
AuthUserFile "/das/ist/der/pfad/zur/.htpasswd"
AuthName "Restricted Area"
AuthType Basic
require valid-user
In die Zeile „AuthUserFile“schreibe ich den Pfad, den ich unter Punkt 1 ausgelesen habe.
Alle in diesem Artikel genannten Dateien (pfad.php, .htaccess und .htpasswd) können Sie hier herunterladen: htaccess.zip. Die Dateien müssen nach dem Download natürlich noch bearbeitet werden, indem Sie den Pfad zu Ihrem „wp-admin“-Verzeichnis eintragen.
Abschließend laden Sie die beiden Dateien .htaccess und .htpasswd mit Ihrem FTP-Client in ihr „wp-admin“-Verzeichnis:
So sieht das Resultat aus, nach Aufruf des Adminverzeichnisses erscheint die Anmeldemaske:
Inhalt