Skip to main content

WordPress Adminbereich mit .htaccess absichern

Geschrieben von Torsten Lachnitt am .
Artikel zuletzt geändert am 27. Mai 2024

Adminbereich mit .htaccess absichern – geeignet für: Anfänger, Fortgeschrittene

Pro und Contra

Pro:

  • Absicherung des Administrationsbereichs von WordPress, Joomla, etc. unter Apache
  • Kein Zusatzplugin (und der damit verbundene Aufwand von Updates) notwendig
  • Einfache Handhabung, einmal richtig installiert funktioniert diese Lösung unabhängig von der CMS-Version
  • Funktioniert bei den meisten Webhostern
  • Keine Performanceeinbußen (siehe Einsatz von Zusatzplugins)

Contra: keine

Wie sichere ich am Besten meinen Administrationsbereich von WordPress gegen Hackerangriffe ab?

Auf die WordPressdateien wp-login.php und wp-admin.php werden täglich zig Angriffe verübt, je beliebter und bekannter die eigene Website ist umso mehr Angriffe muss die Website weg stecken. Eine einfache und beliebte Methode für den Schutz des Administrationsbereichs ist die Möglichkeit, mit einer sogenannten .htaccess-Datei und dem dazugehörigen Gegenstück. der .htpasswd, die Angreifer auszusperren.

Schritt 1 – Vorbereitungen

Als erstes muss der Pfad ermittelt werden, in dem das Administrationsverzeichnis liegt. Hierfür erstellt man eine Datei mit der Endung .php, der Dateiname selbst kann beliebig gewählt werden. Ich nenne sie pfad.php. Der Inhalt dieser Datei sieht folgendermaßen aus:

<?php
$p = getcwd();
echo $p;
?>

Anschließend lade ich die Datei per FTP-Client (z.B. Filezilla) in das „wp-admin“-Verzeichnis meiner WordPressinstallation und rufe die Datei im Browser auf:
Bsp: www.torsten-lachnitt.de/wp-admin/pfad.php

Der Browser gibt mir anschließend den Pfad in diesem Format zurück: /das/ist/der/pfad/wp-admin

Diesen Pfad merke ich mir bzw. kopiere ihn in die Zwischenablage, da ich ihn für den nächsten Schritt benötige. Die Datei pfad.php können Sie auch hier auf meiner Website herunterladen: htaccess.zip.

Schritt 2 – .htaccess und .htpasswd erstellen

Jetzt müssen die beiden Dateien .htaccess und .htpasswd erstellt werden. Wichtig ist, das die beiden Dateien genauso geschrieben werden wie hier dargestellt (.htaccess, .htpasswd).
Die .htpasswd kann man hier erstellen: https://www.ruhr-uni-bochum.de/system/tools/htpasswd

Die .htaccess hat den folgenden Inhalt:

AuthUserFile "/das/ist/der/pfad/zur/.htpasswd"
AuthName "Restricted Area"
AuthType Basic
require valid-user

In die Zeile „AuthUserFile“schreibe ich den Pfad, den ich unter Punkt 1 ausgelesen habe.

Alle in diesem Artikel genannten Dateien (pfad.php, .htaccess und .htpasswd) können Sie hier herunterladen: htaccess.zip. Die Dateien müssen nach dem Download natürlich noch bearbeitet werden, indem Sie den Pfad zu Ihrem „wp-admin“-Verzeichnis eintragen.

Schritt 3 – Dateien hochladen und testen

Abschließend laden Sie die beiden Dateien .htaccess und .htpasswd mit Ihrem FTP-Client in ihr „wp-admin“-Verzeichnis:

WordPress: Schutz des wp-admin-Verzeichnisses mit .htaccess und .htpasswd

Das Resultat

So sieht das Resultat aus, nach Aufruf des Adminverzeichnisses erscheint die Anmeldemaske:

Anmeldemaske Adminbereich WordPress

Latest Articles

Welche Tools und Programme benötige ich als Webdesigner? - Torsten Lachnitt Webdesign

Welche Tools benötige ich als Webdesigner?

| Torsten Lachnitt |
10 Tipps für die eigene Webseite

10 Tipps für die eigene Webseite 🚀direkt umsetzbar

| Torsten Lachnitt |
In WordPress die Zwei-Faktor-Authentifizierung (2FA) einrichten

WordPress Aktivieren der Zwei-Faktor-Authentifizierung (2FA)

| Torsten Lachnitt |

DSGVO & Cookie-Check zum Sonderpreis von 39€

| Torsten Lachnitt |

DSGVO-konformes Hosting für WordPress & Joomla-Websites mit Serverstandort Deutschland

| Torsten Lachnitt |