Wordpress Sicherheit: wp-admin durch .htaccess schützen
Die Sicherheit eines Blogs sollte für jeden Blogger an oberster Stelle stehen. Aus diesem Grunde habe ich die Serie “Wordpress Sicherheit” auf meinem Blog ins Leben gerufen um zu zeigen, wie man Wordpress noch sicherer machen kann. Heute zeige ich, wie man das Adminverzeichnis durch eine .htaccess schützt.
Der normale Login für Wordpress Blogs liegt im wp-admin Verzeichnis. Einmal sein Nutzername (zumeist leider admin) und Passwort eingegeben und schon ist man drinnen im Wordpress Paradies. Damit man es potenziellen Angreifern nicht einfach macht ist es selbstverständlich, dass man ein gutes Passwort wählt. Sollte dennoch mal ein größerer Bug in Wordpress sein, oder man eine veraltete Wordpressversion nutzen ist es hilfreich, den Zugriff auf das Verzeichnis erst einmal per .htaccess zu schützen. Das muss gar nicht kompliziert sein, verlängert maximal um 2 Sekunden den Login erhöht die Sicherheit aber ungemein.
Hier die Anleitung, wie du dein Adminmenü in Wordpress mit .htaccess schützt.
Verzeichnis durch .htaccess schützen
1.Schritt: .htaccess anlegen
Zunächst legst du die .htacess Datei (am besten im Editor und dann als .htaccess speichern) an und packst sie in dein wp-admin Verzeichnis. Diese sollte den folgenden Inhalt haben.
AuthName "Adminschutz"
AuthType Basic
AuthUserFile /pfad/zur/passwortdatei/.htpasswd
require valid-user
Kurze Erklärungen:
Authnahme:
Gibt dem Bereich den Namen und wird auch bei der Passwortabfrage angezeigt.
AuthType:
Gibt die Authentifizierungsart an. Sollte also bitte Basic sein.
AuthUserFile:
Gibt den Pfad zur Passwort/Nutzerdatei an, der .htpasswd in der der Nutzername sowie das Passwort verzeichnet ist. Dahinter kommt der relative Pfad deines Servers/Spaces. Normal sollte der apache auch den kurzen Weg können, also von der .htacces ausgehend /pass/.htpasswd können. Der relative Pfad ist aber auf jedenfall der sichere Weg.
Require valid-user:
Grob gesagt, lass nur den validen user rein, der in der .htpasswd steht.
2. Schritt: Die .htpasswd erstellen
Kommen wir also zur besagten .htpasswd. Euren Nutzernamen und Passwort hier eingeben und erzeugen lassen. Die .htpasswd für den Nutzer nutzer und dem Passwort passwort sähe so aus:
nutzer:$1$Nl7kqqbL$dAgZBbj/OA1WwDCM6PUEj1Dieses abspeichern in der .htpasswd und in ein gewünschtes Verzeichnis legen. Verzeichnis in der .htaccess festlegen und fertig.
Das wars, diese zwei Schritte ermöglichen, dass dein AdminVerzeichnis geschützt ist. Einmal eingeloggt fragt er dich nur wieder, sobald du das Browserfenster schließt.
Sollten eventuelle Probleme auftreten, die .htaccess nichts bewirken schaue bitte hier nach. Dort hatte ich unten mögliche Fehlerquellen analysiert und Lösungen präsentiert.
Findest du diese Absicherung sinnvoll? Nutzt du es auch, gibt es Probleme? Schreib mir in den Kommentarbereich.
Tags: htaccess, sicherheit, Wordpress
Am 10. Oktober 2008 um 14:38 Uhr
Wie immer sehr gut geschrieben.
Auch diesesmal hast du mich wieder voll erwischt. Ich habe bisher nicht mal meinen Admin gelöscht.
Gehen dann die Artikel verloren die von Admin geschrieben wurden? Bzw. welcher Name wird dann als Autor im Frontend angezeigt?
Uwes letzer Blogeintrag: rabattschlacht.de: swoopo.de für Langweiler?
Am 10. Oktober 2008 um 15:03 Uhr
@uwe:
Löschen brauchst du nicht. Du kannst dich als admin leider nur auch hiermit anmelden. Entweder du legst also einen zweiten admin mit Administratorrechten an, gibst dem einen anderen Namen als der im Blog erscheint oder du nutzt die Variante hier.
P.S. Hast du eigentlich meine Mail bekommen zum Code RSS?
Am 10. Oktober 2008 um 15:06 Uhr
Ich selber weiss jetzt nicht wie ich ein Passwort knacken kann, aber auf deine wp-login.php komm ich auch so rauf. Es kommt zwar immer das Fenster mit der Abfrage nach dem Benutzer und dem Passwort, aber nur zwei mal. Man muss nur zwei mal auf “Abbrechen” klicken und schon wird man weitergeleitet. Ich weiss jetzt nicht, ob ich so auch in die Administration kommen würde, wenn ich dein Passwort kennen würde. Hast du das schonmal ausprobiert? Einfach mal immer auf “Abbrechen” klicken und danach versuchen dich einzuloggen.
Pauls letzer Blogeintrag: easyComment Firefox Extension
Am 10. Oktober 2008 um 15:16 Uhr
Hey Paul,
mmh also ich habe jetzt mal getestet. Wenn ich auf http://www.reiffix.de/blog/wp-admin/gehe fragt er mich nach dem Benutzernamen + PW per htaccess. da kann ich soviel auf abbrechen klicken wie ich mag, ohne das komme ich nicht auf meine wp-login homepage. Ist es bei dir anders? Eigentlich dürfte es nicht sein, melde dich daher bitte nochmal.
Gruß und Danke!
PS. Ah, ich weiß was du meinst. die wp-login.php
Die ist weiterhin erreichbar, allerdings ohne css. Dafür kommt man nach erfolgreichem Login nicht weiter durch die .htaccess. Also ohne die läufts nicht, da das verzeichnis geschützt ist.
Am 10. Oktober 2008 um 15:18 Uhr
@Chris: Ja hab ich bekommen,vielen Dank dafür. Momentan bin ich aber so involviert in ein neues Projekt (spannend
), da komm ich auch nur selten zum Bloggen, geschweige denn an Alles2null.de rumzuschrauben. Mail folgt…
Uwes letzer Blogeintrag: rabattschlacht.de: swoopo.de für Langweiler?
Am 10. Oktober 2008 um 15:42 Uhr
@Chris: Achso, dann ist ja gut, wenn man nach einem erfolgreichen Login nicht mehr weiter kommt. Aber könnte man das nicht noch bisschen eleganter lösen? Also wenn man jetzt falsche oder überhaupt keine Daten eingibt, dass man dann auf eine Fehlerseite und nicht auf die wp-login.php weitergeleitet wird?
Am 10. Oktober 2008 um 15:53 Uhr
@Paul. Ja noch sicherer ist es wahrscheinlich, wenn man die wp-login.php einfach sperrt, dann kommt man ohne .htaccess an gar nichts mehr ran.
Am 30. Oktober 2008 um 14:06 Uhr
und wie funktioniert das mit dem kommentieren? ich mein, wenn die user sich regestrieren müsseen?
Am 30. Oktober 2008 um 15:39 Uhr
@harald:
Wo liegt denn das Problem?
Am 29. November 2008 um 20:56 Uhr
[...] weiteren Tipp für die WordPress-Sicherheit mittels der .htaccess gibt Reiffix. Dort wird gezeigt, wie man einen weiteren Passwortschutz zur Administrationsoberfläche [...]
Am 8. Mai 2009 um 11:45 Uhr
[...] hier kurz 3 Links, die ich auf die Schnelle gefunden habe: Passwortschutz mit Bezug zu Wordpress, Noch mal Wordpress Passwort Schutz (ist im Grunde alles immer identisch) und noch mal allgemeines zum Passwortschutz mit Links zu [...]
Am 14. November 2009 um 11:29 Uhr
[...] Verzeichnisse via htaccess zu schützen wie beispielsweise den wp-admin. Dies wird in diesem Beitrag gut erklärt und ist eine empfehlenswerte sowie effektive Methode. Für Suchmaschinen und Bots [...]
Am 26. Dezember 2009 um 09:15 Uhr
[...] .htaccess Passwortschutz für den Adminbereich Die einzig sinnvolle Lösung um Suchmaschinen vom Adminbereich fernzuhalten, scheint also ein weiterer Passwortschutz über die .htaccess zu sein. Eine ausführliche Beschreibung, wie das genau funktioniert, findet Ihr bei Chris. [...]
Am 2. April 2010 um 07:26 Uhr
[...] Sicherheitstipps findet man unter wp-admin durch .htaccess schützen und Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs [...]
Am 11. Mai 2010 um 11:50 Uhr
Hallo und einen wunderschönen Tag!
Nachdem mein WP gehackt wurde und als PAM-Schleuder verwendet wurde, bin ich nun dabei, meine Site sicherer zu machen. Ich stecke im htaccess-Schutz fürs wp-admin-Verzeichnis fest. Zwar findet eine Abfrage statt, aber er akzeptiert das PW nicht. Ich habe den PW-erzeuger von Dir verwendet. Was mir auffiel, bei gleichem Name und PW kam trotzdem jedesmal eine andere Kombination raus. Kann das stimmen?
Am 17. Mai 2010 um 19:41 Uhr
muss man die .htaccess datei selber erstellen oder ist es möglich die passwortschutzfunktion von confixx zu nehmen? ist doch das selbe oder?
Am 12. Juli 2010 um 01:53 Uhr
Ich finde das von Wordpress auch bisschen schlecht gelöst, es für den Anwender so kompliziert zu machen. Als ich noch WP nutzte, habe ich das hier auch gemacht was hier beschrieben ist.
http://www.infected-web.de/wordpress-php-dateien-schutzen/
Mit dem plugin bin ich nicht klar gekommen. War mir bisschen zu kompliziert.
Am 9. August 2010 um 17:38 Uhr
@tom: ja du kannst auch confixx zum erstellen und verwalten der zugangsberechtigung nehmen. das legt auch nur die oben genannten dateien an. hat sogar den vorteil das du es bequem über confixx verwalten kannst