In diesem Artikel möchten wir kurz erklären, warum es Sinn macht, seine WordPress Installation mit Hilfe einer .htaccess Datei zu schützen und wie dieser zusätzliche Passwort-Schutz eingerichtet werden kann.
Warum ein zusätzlicher Passwort-Schutz mit Hilfe der .htaccess Datei?
Kurz gesagt – durch einen zusätzlichen Passwort-Schutz wird der Zugriff auf die eigentliche WordPress Login Oberfläche verhindert bzw. stark erschwert, sodass dadurch u.a. Brute Force-Angriffe bereits vor dem eigentlichen Angriffsversuch abgeblockt werden können. Solche Brute-Force-Attacken können je nach Umfang und Intensität die Aufrufe auf den Webserver massiv erhöhen und dadurch die eigentliche Seite lahm legen. Zudem ist das eigentliche Risiko solcher Attacken (dass nämlich das Passwort durch zufälliges probieren aller Passwort-Varianten herausgefunden wird) minimiert.
Zusätzliche Passwort-Abfrage über die .htaccess Datei einrichten
Zusätzliche Passwort-Abfrage vor der WordPress Login-Oberfläche
Die Einrichtung einer zusätzlichen Passwort-Abfrage ist relativ einfach. Alles was dafür benötigt wird, ist ein FTP-Zugang und einen Code-Editor, um die .htaccess zu bearbeiten und eine neue .htpasswd Datei (in dieser wird der Benutzername und das Passwort gespeichert) zu erstellen.
.htpasswd Passwort-Datei anlegen
Als erstes legen wir eine leere Datei mit dem Namen .htpasswd im Hauptverzeichnis deiner WordPress Installation an (also da, wo sich auch bereits die .htaccess Datei befinden sollte) an. Die neue,aktuell noch leere Datei laden wir uns dann auf unseren Computer herunter und öffnen sie in einem Code-Editor. Mit Hilfe des Online htpasswd Generators können wir jetzt einen Benutzername und ein Passwort eingeben und den Inhalt für die .htpasswd Datei erstellen. Den Code kopieren wir in die .htpasswd Datei und laden diese wieder auf den Webserver hoch bzw. überschreiben die leere vorhandene Datei.
Screenshot: http://www.htaccesstools.com/htpasswd-generator/
.htaccess Datei anlegen
Jetzt erstellen wir noch den Code für die .htaccess Datei. Der folgende Code zeigt, welche Inhalte/Zeilen hierbei benötigt werden. Wichtig ist, dass allerdings noch der eigene AuthUserFile-Pfad zu der .htpasswd Datei ermittelt und im Code ersetzt wird. Um den Pfad herauszufinden, kann die Anleitung „How to find the full path to a file using PHP“ verwendet werden.
<Files wp-login.php>
AuthType Basic
AuthName "Geschützter Bereich"
AuthUserFile /path/to/.htpasswd
Require valid-user
</Files>Wenn dieser Code zusätzlich in die WordPress .htaccess Datei eingefügt wurde, wird nun auch diese .htaccess Datei wieder in das Hauptverzeichnis deine Webseite hochgeladen.
Wenn alles korrekt eingerichtet ist, sollte nun beim Aufruf der WordPress Login-Maske eine Passwort-Abfrage erscheinen.
Probleme bei der Einrichtung oder sonstige Fragen zur Sicherheit bei WordPress?
Wir helfen gerne – rufen Sie uns an oder kontaktieren Sie uns auf digitalem Wege.
Jetzt kontaktieren!
