Skip to main content

WordPress Adminbereich mit .htaccess absichern

Adminbereich mit .htaccess absichern – geeignet für: Anfänger, Fortgeschrittene

Pro:

  • Absicherung des Administrationsbereichs von WordPress, Joomla, etc. unter Apache
  • Kein Zusatzplugin (und der damit verbundene Aufwand von Updates) notwendig
  • Einfache Handhabung, einmal richtig installiert funktioniert diese Lösung unabhängig von der CMS-Version
  • Funktioniert bei den meisten Webhostern
  • Keine Performanceeinbußen (siehe Einsatz von Zusatzplugins)

Contra: keine

Wie sichere ich am Besten meine Administrationsbereich von WordPress gegen Hackerangriffe ab?

Auf die WordPressdateien wp-login.php und wp-admin.php werden täglich zig Angriffe verübt, je beliebter und bekannter die eigene Website ist umso mehr Angriffe muss die Website weg stecken. Eine einfache und beliebte Methode für den Schutz des Administrationsbereichs ist die Möglichkeit, mit einer sogenannten .htaccess-Datei und dem dazugehörigen Gegenstück. der .htpasswd, die Angreifer auszusperren.

Schritt 1 – Vorbereitungen
Als erstes muss der Pfad ermittelt werden, in dem das Administrationsverzeichnis liegt. Hierfür erstellt man eine Datei mit der Endung .php, der Dateiname selbst kann beliebig gewählt werden. Ich nenne sie pfad.php. Der Inhalt dieser Datei sieht folgendermaßen aus:

<?php
$p = getcwd();
echo $p;
?>

Anschließend lade ich die Datei per FTP-Client (z.B. Filezilla) in das „wp-admin“-Verzeichnis meiner WordPressinstallation und rufe die Datei im Browser auf:
Bsp: www.torsten-lachnitt.de/wp-admin/pfad.php

Der Browser gibt mir anschließend den Pfad in diesem Format zurück: /das/ist/der/pfad/wp-admin

Diesen Pfad merke ich mir bzw. kopiere ihn in die Zwischenablage, da ich ihn für den nächsten Schritt benötige. Die Datei pfad.php können Sie auch hier auf meiner Website herunterladen: htaccess.zip.

Schritt 2 – .htaccess und .htpasswd erstellen
Jetzt müssen die beiden Dateien .htaccess und .htpasswd erstellt werden. Wichtig ist, das die beiden Dateien genauso geschrieben werden wie hier dargestellt (.htaccess, .htpasswd).
Die .htpasswd kann man hier erstellen: https://www.ruhr-uni-bochum.de/system/tools/htpasswd

Die .htaccess hat den folgenden Inhalt:

AuthUserFile "/das/ist/der/pfad/zur/.htpasswd"
AuthName "Restricted Area"
AuthType Basic
require valid-user

In die Zeile „AuthUserFile“schreibe ich den Pfad, den ich unter Punkt 1 ausgelesen habe.

Alle in diesem Artikel genannten Dateien (pfad.php, .htaccess und .htpasswd) können Sie hier herunterladen: htaccess.zip. Die Dateien müssen nach dem Download natürlich noch bearbeitet werden, indem Sie den Pfad zu Ihrem „wp-admin“-Verzeichnis eintragen.

Schritt 3 – Dateien hochladen und testen

Abschließend laden Sie die beiden Dateien .htaccess und .htpasswd mit Ihrem FTP-Client in ihr „wp-admin“-Verzeichnis:

wordpress schutz des wp admin verzeichnisses mit htaccess und htpasswd

So sieht das Resultat aus, nach Aufruf des Adminverzeichnisses erscheint die Anmeldemaske:

anmeldemaske adminbereich wordpress

Latest Articles