hauter.de

Weblog über: Internet, Hardware, Software und Smartphones.

WordPress: Passwortschutz für Admin mit Hilfe von .htaccess und .htpasswd

| 1 Kommentar

Am 30.05. erfolgten innerhalb von einer Stunde fast 700 Angriffe auf dieses mit WordPress erstellte Blog. Ziel der Angriffe war es, sich unberechtigt Zugang zum Backend des Blogs zu verschaffen. Wie diese unberechtigten Zugriffsversuche mit Hilfe des Plugins Limit Login Attemps verhindert und dokumentiert werden können, habe ich in dem Artikel Ungültige Login Versuche auf WordPress-Blogs abwehren beschrieben. In dem Artikel Gehäufte Angriffe auf WordPress: Mit Hilfe der .htaccess bestimmte IP-Adressen für immer vom Zugriff auf ein Blog (Webseite) ausschließen habe ich erläutert, wie bestimmte IP-Adressen vom Zugang auf ein Blog (Webseite) ausgeschlossen werden können.
700 Angriffe in einer Stunde, das ist dann doch nochmal eine neue Quantität! Daher habe ich nach einem weiteren Weg gesucht, um den Zugang zum Blog zu sichern und mich entschlossen, einen zusätzlichen Passwortschutz einzubauen.

Wie dies funktioniert, hat Sergej Müller unter: http://playground.ebiene.de/initiative-wordpress-sicherheit beschrieben. Ist ganz einfach. Habe dafür nur fünf Minuten gebraucht und es funktionierte. Dann stellte ich jedoch fest, dass (warum auch immer) die nach der Installation des Passwortschutzes in die Mediathek hochgeladenen Bilder nicht mehr angezeigt wurden. Daraufhin habe ich die .htaccess und die .htpasswd aus dem Hauptverzeichnis in das Verzeichnis wp-admin verschoben (ACHTUNG: Der absolute Pfad in der .htaccess muss entsprechend angepasst werden). Nun funktioniert alles wieder einwandfrei.
So findet ihr den absoluten Pfad, welcher in der .htaccess angegeben werden muss:
Ein PHP-Script, z.B. mit dem Namen pfadabsolut.php, mit folgendem Inhalt erstellen:

 

Die Datei via ftp in das Rootverzeichnis des Servers hochladen und anschließend im Browser aufrufen (meinedomain.tld/pfadabsolut.php). Im Browser wird dann der absolute Pfad angezeigt. Sieht etwa so aus:

Anzeige absoluter Pfad

Anzeige absoluter Pfad

Wird die .htaccess wie oben beschrieben in das Verzeichnis wp-admin verschoben, muss der Pfad wie schon gesagt, entsprechend ergänzt werden: /www/htdocs/xyz046bz4/das/Verzeichnis/mit/der/.htaccess

Meines Erachtens bringt dieser in nur wenigen Minuten installierte zusätzliche Passwortschutz einen riesigen Sicherheitsgewinn gerade im Hinblick auf dieses zur Zeit aktive sch… Bot-Netz mit seinen Brute-Force-Attacken auf WordPress Blogs, das mir gewaltig auf die Nerven geht (ging?). Ich hoffe ich habe jetzt endlich Ruhe davor. Werde die weitere Entwicklung beobachten und in ein oder zwei Wochen diesen Artikel entsprechend ergänzen.

Falls ihr ähnliche Erfahrungen gemacht habt, bzw. euch entschließt euer Blog zusätzlich abzusichern, würde ich mich über eure Erfahrungen via Kommentar sehr freuen.

Dialogbox im Firefox

Dialogbox im Firefox

Dialogbox im IE

Dialogbox im IE

Fehlermeldung im Browser bei falschem Passwort oder Benutzername

Fehlermeldung im Browser bei falschem Passwort oder Benutzername

Empfehlung: http://playground.ebiene.de/adminbereich-in-wordpress-schuetzen zehn Tipps von Sergej zum Absichern eines WordPress-Blogs. Die werde ich ausprobieren.

Artikel verfasst von:

Hallo, ich bin Heiko aka Quack. Eine Liste meiner in diesem Blog veröffentlichten Artikel findest du hier. Du findest mich auch bei folgenden Social Media: Twitter, Facebook und Google+.

Ein Kommentar

  1. Ich hatte das Thema auch schon einmal bei mir Blog und noch ein paar Hinweise zu deinen Ausführungen.

    Ausreichend ist es die wp-login.php mit Passwortschutz zu versehen:

    AuthType Basic
    AuthName „Verzeichnisschutz“
    AuthUserFile /pfad/zur/.passwd
    Require valid-user

    Sperrt man das komplette Verzeichnis /wp-admin, kann es passieren, dass einige Plugins nicht mehr korrekt funktionieren.

    Die .passwd-Datei möglichst immer außerhalb eines per WWW erreichbaren Pfads ablegen.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.