WordPress 5.5 ist da: Optimierungen an Performance, SEO und Sicherheit

htaccess Schutz für WordPress – Die Datei wp-login.php vor Zugriffen schützen

Diego Hinz
04. Juli 2016

In diesem Artikel möchten wir kurz erklären, warum es Sinn macht, seine WordPress Installation mit Hilfe einer .htaccess Datei zu schützen und wie dieser zusätzliche Passwort-Schutz eingerichtet werden kann.

Warum ein zusätzlicher Passwort-Schutz mit Hilfe der .htaccess Datei?

Kurz gesagt – durch einen zusätzlichen Passwort-Schutz wird der Zugriff auf die eigentliche WordPress Login Oberfläche verhindert bzw. stark erschwert, sodass dadurch u.a. Brute Force-Angriffe bereits vor dem eigentlichen Angriffsversuch abgeblockt werden können. Solche Brute-Force-Attacken können je nach Umfang und Intensität die Aufrufe auf den Webserver massiv erhöhen und dadurch die eigentliche Seite lahm legen. Zudem ist das eigentliche Risiko solcher Attacken (dass nämlich das Passwort durch zufälliges probieren aller Passwort-Varianten herausgefunden wird) minimiert.

Zusätzliche Passwort-Abfrage über die .htaccess Datei einrichten

Zusätzliche Passwort-Abfrage vor der WordPress Login-Oberfläche
Zusätzliche Passwort-Abfrage vor der WordPress Login-Oberfläche

Die Einrichtung einer zusätzlichen Passwort-Abfrage ist relativ einfach. Alles was dafür benötigt wird, ist ein FTP-Zugang und einen Code-Editor, um die .htaccess zu bearbeiten und eine neue .htpasswd Datei (in dieser wird der Benutzername und das Passwort gespeichert) zu erstellen.

.htpasswd Passwort-Datei anlegen

Als erstes legen wir eine leere Datei mit dem Namen .htpasswd im Hauptverzeichnis deiner WordPress Installation an (also da, wo sich auch bereits die .htaccess Datei befinden sollte) an. Die neue,aktuell noch leere Datei laden wir uns dann auf unseren Computer herunter und öffnen sie in einem Code-Editor. Mit Hilfe des Online htpasswd Generators können wir jetzt einen Benutzername und ein Passwort eingeben und den Inhalt für die .htpasswd Datei erstellen. Den Code kopieren wir in die .htpasswd Datei und laden diese wieder auf den Webserver hoch bzw. überschreiben die leere vorhandene Datei.

htpasswd Datei WordPress
Screenshot: http://www.htaccesstools.com/htpasswd-generator/

.htaccess Datei anlegen

Jetzt erstellen wir noch den Code für die .htaccess Datei. Der folgende Code zeigt, welche Inhalte/Zeilen hierbei benötigt werden. Wichtig ist, dass allerdings noch der eigene AuthUserFile-Pfad zu der .htpasswd Datei ermittelt und im Code ersetzt wird. Um den Pfad herauszufinden, kann die Anleitung „How to find the full path to a file using PHP“ verwendet werden.

<Files wp-login.php>
AuthType Basic
AuthName "Geschützter Bereich"
AuthUserFile /path/to/.htpasswd
Require valid-user
</Files>

Wenn dieser Code zusätzlich in die WordPress .htaccess Datei eingefügt wurde, wird nun auch diese .htaccess Datei wieder in das Hauptverzeichnis deine Webseite hochgeladen.

Wenn alles korrekt eingerichtet ist, sollte nun beim Aufruf der WordPress Login-Maske eine Passwort-Abfrage erscheinen.

Teilen Sie unser Wissen mit anderen
Benötigen Sie Unterstützung bei Ihrer Website oder anderen Marketing-Themen?
Über den Autor
Diego Hinz
Diego hat MEWIGO im Jahr 2007 gegründet. Er arbeitet seit vielen Jahren mit WordPress und übernimmt aktuell primär die Beratung der Neukunden. Zudem unterstützt er das Entwicklerteam mit seinem umfangreichen technischem Know-How.