WordPress Login mit .htaccess absichern
Für Hacker ist es relativ einfach, sogenannte Brute-Force Attacken auf WordPress (WP) Installationen zu starten. Damit wird die Seite www.domain.com/wp-admin aufgerufen und unterschiedliche Passwortkombinationen ausprobiert.
Dies passiert zum Teil im Sekundentakt.
Das ist wenig ideal, denn fast alle WordPress Installationen lassen sich über wp-admin aufrufen.
Eine gute Methode um hier für mehr Sicherheit zu sorgen ist es, einen weiteren Login für die wp-admin einzurichten.
Dies lässt sich einfach durch die .htaccess Datei erreichen. Hier eine kurze Anleitung, um diese effektive Absicherung vorzunehmen.
Hinweis: Wichtig ist es ein Backup der .htaccess Datei zu machen, falls etwas falsch eingegeben wird. Zusätzlich macht auch ein Backup der Datenbank und der WP Installation Sinn. Für dies eignen sich Werkzeuge wie BackupBuddy und MySQLDumper. Wir übernehmen zudem keine Gewähr für die Angaben in diesem Beitrag
1) .htaccess Datei einrichten
In den meisten Fällen ist die .htaccess Datei bereits im Root Verzeichnis der WP Installation vorhanden.
Falls diese nicht vorhanden sein sollte, kann man diese ganz einfach erstellen. Eine Notepad Datei öffnen und dann als .htaccess abspeichern (diese wird später in das Root Verzeichnis hochgeladen).
Danach sollte man diesen Code hineinkopieren:
Wichtig: /path/to in diesem Code muss mit dem eigenen Pfad zum Webserver ausgetauscht werden. Bei Fragen, kann man sich auch an den Webhosting-Support wenden. Diese werden einem den richtigen Pfad nennen.
2) Passwort und Benutzername für das Login festlegen
Es braucht eine zweite Datei namens .htpasswd
Auch diese lässt sich mit Notepad anlegen. Einfach Notepad öffnen und als .htpasswd speichern.
Es gibt einen Online Passwort Generator der die Erstellung des Passworts und des Benutzernamens vereinfacht http://www.htaccesstools.com/htpasswd-generator/
Dort kann man beide, Passwort und Benutzernamen, eingegeben und diese sollte man sich notieren (mit diesen loggt man sich später ein).
Wenn man auf den Button “Create a .htpasswd file” klickt, erhält man einen Code. Diesen kopiert man in die .htpasswd Datei und speichert das Ganze.
3) Beide Dateien hochladen
Nun lädt man die geänderte .htaccess und .htpasswd Datei in das Rootverzeichnis hoch.
Resultat
Ruft man nun die WordPress Login Seite unter www.domain.com/wp-admin auf, erhält man folgendes Popup:
Dort kann man nun den vorher notierten Benutzernamen und Passwort eingeben und kommt dann zur normalen Anmeldung.
Fazit
Es ist definitiv eine gute und einfache Lösung, um sich vor unliebsamen wp-admin Login versuchen zu schützen.
Zudem kann man auch Plugins wie iThemes Security nutzen. Diese bieten zusätzlichen Schutz.
Troubleshooting: Sollte das Ganze nicht geklappt haben, dann einfach die .htpasswd Datei löschen und die zuvor gesicherte .htaccess Datei hochladen. Dann ist wieder alles beim Alten.
Bildquelle: Canva.com/ kostenfreie Lizenz
Autor: Sascha Thattil interessiert sich für Blogging, WordPress und Outsourcing. Er ist Geschäftsführer bei YUHIRO, einem Unternehmen dass Softwareentwickler in deren Niederlassung in Kochi, Indien für Agenturen, IT Dienstleister und IT Abteilungen bereitstellt.
