Zugegeben: Eine WordPress-Installation hat viele möglichen Schwachstellen, über die ein potentieller Angreifer euch Schaden kann. Natürlich ist hier nicht nur die Installation an sich eine potentielle Gefahr, auch SQL-Injections und direkte Angriffe auf Server und/oder Datenbank sind natürlich möglich – das aber ist ein Thema, welches ganze Bücher füllen kann, dennoch kann man sich natürlich schon mit kleinen Tricks ein wenig absichern. Eine dieser Absicherungen betrifft zum Beispiel das Administrations-Backend: „wp-admin“. Im Grunde kann jeder Angreifer auf das Login-Formular zugreifen, dies ist bei allen WordPress-Installationen (standardmäßig) mit der gleichen URL ausgestattet: http://www.meinblog.de/wp-admin. Hier gibt es natürlich viele mögliche Wege, einen eventuellen Angriff durchzuführen, ist der unliebsame Besucher dann einmal im Backend drin, habt ihr eigentlich schon verloren.
Hierzu gibt es im WordPress-Plugin-Verzeichnis einige Möglichkeiten, sich vor BrutForce-Angriffen oder ähnlichem zu schützen. Das Plugin Limit Login Attempts zum Beispiel sperrt den Zugang nach drei fehlgeschlagenen Logins für eine bestimmte Zeit und IP, auch andere Plugins versuchen hier, für etwas Sicherheit zu sorgen.
WP-Appbox: Limit Login Attempts (Kostenlos, WordPress) →
Aber: Wieso einem potentiellen Kandidaten überhaupt erst den Zugang zum „wp-admin“-Ordner und der Login-Maske erlauben? Besser wäre es, schon vor dem Zugriff auf den Ordner die Erlaubnis einzuholen – spart unnötige Datenbankabfragen und im Zweifel kümmert sich der Server um den Eindringling und WordPress bekommt davon nicht einmal im Ansatz etwas mit. Und dieser Zugriffsschutz lässt sich mittels eine .htaccess ganz einfach einrichten, dauert keine 5 Minuten.
Zuerst einmal solltet ihr schon einmal die beiden benötigten Dateien in Form einer Textdatei (zum Beispiel Notepad) anlegen: .htaccess und .htpsswrd. Der Punkt vor dem Dateinamen ist korrekt so, sollte euer System das nicht erlauben, so lasst ihn weg und ändert den Dateinamen später auf dem Server (kann genauso gut sein, dass auf eurem Server bereits eine .htaccess existiert – dann müsst ihr nur die Zeilen hinein kopieren).
Nun öffnen wir zuerst einmal die .htaccess und geben dort den folgenden Inhalt ein:
<Files wp-login.php> AuthType Basic AuthUserFile /absoluter-pfad/.htpsswrd AuthName "Administrationsbereich" require valid-user </Files>
Den absoluten Ordner-Pfad könnt ihr ganz einfach ermitteln, indem ihr eine Datei absoluterpfad.php erstellt, die unten stehenden Zeilen hineinkopiert, auf euren Server hochladet und dort eben aufruft. Der gesamte Pfad sollte nun eben an der entsprechenden Stelle in der .htaccess eingefügt werden.
<?php echo $_SERVER['DOCUMENT_ROOT']; ?>
Haben wir das alles erledigt können wir unsere .htaccess schon einmal speichern und schließen. Als nächstes öffnen wir nun unsere Datei mit dem Namen .htpsswrd. Nun benötigen wir diesen htpasswrd Generator, da das Password natürlich verschlüsselt gespeichert werden sollte. Also Benutzernamen eingeben, Passwort eingeben (sollte natürlich sicher sein, sonst bringt das alles nichts) und die entsprechende Zeile in die .htpsswrd kopieren.
Habt ihr mehrere Autoren, so habt ihr natürlich die Wahl: Entweder ihr richtet lediglich einen Benutzer ein, über den sich alle für das Admin-Backend authentifizieren oder aber ihr legt ihr schon für jeden Nutzer eine gesonderte Zeile an. Ersteres dürfte aber in der Regel ausreichend sein.
Nun schiebt ihr beide Dateien in den Installations-Ordner eurer WordPress-Installation auf dem Server – vergesst nicht, dass ihr hier die Dateien nochmals umbenennen müsst und den führenden Punkt (.) vor den eigentlichen Dateinamen stellt. Sobald die Dateien hochgeladen und umbenannt worden sind, ist der Schutz auch schon aktiv – eigentlich ganz easy, oder?
bei 1038 Rezensionen
Das könnte Dich auch interessieren:
- Neues von Sergej Müller: WordPress mit der Two-Faktor-Authentication absichern
- WordPress 3.7 „Basie“ erschienen: Auto-Updates, Passwortüberprüfung und verbesserte Backend-Suche
- WordPress-Plugin MP6: Das WordPress-Dashboard in hübsch(er)
- Windows per USB-Stick entsperren
- de_DE.php · WordPress-Permalinks mit korrekter Umwandlung von Umlaute
Über & Kontakt • Facebook • Twitter • Google+
Zum Artikel im Blog: WordPress-Sicherheit: „wp-admin“ mittels htaccess per Passwort schützen
Copyright © 2005-2014ff. • Dieser Feed ist nur für den persönlichen, nicht gewerblichen Gebrauch bestimmt und Inhalt des Angebotes von tchgdns.de. (Digital Fingerprint: b368d1796fd2a6cb35bc3ace6c7ec3b1 (64.237.45.116) )
