WordPress-Login (wp-admin) schützen: .htaccess-Passwort / Verzeichnisschutz

Erfahren Sie, wie Sie den Administrationsbereich Ihres WordPress-Blogs mit einem .htaccess-Verzeichnisschutz effektiv vor Hackern und Brute-Force-Angriffen schützen.

Sie können die Sicherheit Ihrer Website verbessern, indem Sie einen Passwortwortschutz mittels einer .htaccess-Datei für das Verzeichnis /wp-admin und damit für die Datei wp-login.php aktivieren.

Anschließend sind zum Aufruf des WordPress-Admins  zwei unterschiedliche Logins notwendig.

Dieser Beitrag ist ursprünglich im 1&1 Hilfe-Center erschienen (Quelle).

Was ist eine .htaccess-Datei?

Eine .htaccess-Datei ist eine Konfigurationsdatei, mit der Sie verzeichnisspezifische Einstellungen auf einem kompatiblen Webserver (z.B. der im 1&1 Hosting verwendete Apache-Webserver) vornehmen können. Dazu zählt die Möglichkeit, Verzeichnisse auf dem Webspace mit einer Passwortabfrage zu schützen.

Um eine .htacces-Datei zu erstellen benötigen Sie lediglich einen Texteditor wie z.B. Notepad.

Verzeichnisschutz für /wp-admin aktivieren

Wenn Sie sich an Ihrem Dashboard anmelden, lädt WordPress die dafür benötigten Seiten – bzw. Dateien – aus dem Unterverzeichnis /wp-admin nach. Daher ist dies der geeignete Ort, um hier den Verzeichnisschutz einzurichten.

Bei aktiviertem Verzeichnisschutz öffnet sich nach dem Klick auf den Anmelde-Button bereits ein zusätzliches Anmeldefenster. Das sieht bspw. so aus:

Im Folgenden erfahren Sie, wie Sie diesen zusätzlichen Passwortschutz für Ihren WordPress-Blog einrichten können:

Die Dateien .htaccess und .htpasswd erstellen

Für die Umsetzung ist zusätzlich zur .htaccess auch eine Datei mit Namen .htpasswd erforderlich. Diese enthält den (oder die) Benutzernamen und das zugehörige Passwort. Beginnen Sie jedoch zunächst mit der Erstellung der .htaccess-Datei:

Wenn Sie bereits eine .htaccess-Datei verwenden: Falls Sie schon aus anderen Gründen eine eigene .htaccess für das Verzeichnis /wp-admin nutzen, dann würden Sie diese im weiteren Verlauf dieser Anleitung überschreiben. Sie können jedoch Ihre bisherige .htaccess einfach herunterladen, dort die neuen Zeilen ergänzen, diese anpassen und die Datei dann wieder hochladen.

Neue .htaccess-Datei.htaccess erstellen

AuthType Basic
AuthName "Passwortgeschützter Bereich"
AuthUserFile /homepages/xx/xxxxxxxxx/htdocs/[Ordner]/wp-admin/.htpasswd
require user [Username]

Eingefügte Code-Zeilen

Pfad zur WordPress-Installation eintragen

Jetzt ist es noch notwendig, dass Sie den kopierten Code an Ihre WordPress-Installation anpassen:

  • Die Zeichenfolge /homepages/xx/xxxxxxxxx/htdocs/ steht exemplarisch für das Document Root, also den absoluten Pfad zu Ihrer Internet-Präsenz (d.h. die oberste Verzeichnisebene). Diesen können Sie in Ihrem 1&1 Control-Center herausfinden.
  • Ersetzen Sie [Ordner] durch den Verzeichnispfad, unter dem sich Ihre WordPress-Installation befindet. Wenn sie Ihren WordPress-Blog bspw. in einem gleichnamigen Verzeichnis “wordpress” installiert haben, ersetzen Sie “[Ordner]” mit wordpress. Achten Sie dabei auf Groß- und Kleinschreibung.
  • Den Text [Username] ersetzen Sie durch einen beliebigen Usernamen, zum Beispiel user, test oder ähnlich. Sie können, um mehreren Leuten den Zugang zu ermöglichen, auch mehrere Namen durch Leerzeichen getrennt angeben.
  • Den Text Passwortgeschützter Bereich können Sie durch einen beliebigen Text ersetzen, zum Beispiel Nur für Insider oder ähnliches.

Die bearbeitete .htaccess könnte dann bspw. so aussehen:

Angepasste .htaccess

.htpasswd erstellen

Erstellen Sie auf Ihrem PC eine neue Datei mit dem Namen .htpasswd (Punkt nicht vergessen).
Tragen Sie dort den (oder die) Benutzernamen mit Passwort in der folgenden Form ein:

[Username]:[VerschlüsseltesPasswort]

Das verschlüsselte Passwort bekommen Sie zum Beispiel unter der Adresse http://ihre-webhosting-domain.de/php/1und1/md5enc.php. Falls Sie mehrere Benutzer einrichten, muss jeder Benutzername in einer neuen Zeile beginnen.

Das folgende Beispiel enthält die Benutzer user und test:

Benutzer und Passwort stehen in der .htpasswd

.htaccess und .htpasswd auf Webspace hochladen

Nachdem Sie die .htaccess und .htpasswd erstellt und angepasst haben, müssen Sie diese noch in das Verzeichnis /wp-admin unterhalb Ihrs WordPress-Verzeichnisses auf dem Webspace hochladen. Der Passwortschutz ist dann sofort aktiv.

Wichtig: Laden Sie diese beiden Dateien im ASCII (Text)-Modus (eine entsprechende Option sollte in Ihrem FTP-Programm enthalten sein, wenn nicht, wird es automatisch richtig gemacht) in die Ordner auf Ihrem Webspace hoch.

Hochladen mit FileZilla

Im Folgenden zeigen wir Ihnen am Beispiel des FTP-Programmes FileZilla, wie Sie Daten auf Ihren Webspace hochladen können.

  • Starten Sie FileZilla.
  • Rufen Sie dort über Bearbeiten > Einstellungen die Einstellungen auf und stellen Sie hier im Unterpunkt Übertragungen > Dateitypen als Standard-Transfertyp ASCII ein. Der Dateityp txt ist bei den Dateitypen bereits voreingestellt.

ASCII als Standard-Transfertyp setzen

  • Klicken Sie zum Speichern auf OK.
  • Tragen Sie Ihre FTP-Zugangsdaten ein und klicken Sie auf Verbinden

FTP-Verbindung zum Webspace starten

  • FTP-Verbindung zum Webspace herstellen:
    • Server: Autom. eingerichtete 1&1 Subdomain
    • Benutzername: Ihr FTP-Benutzername
    • Passwort: Ihr FTP-Passwort
    • Port: Keine Angabe notwendig
  • Suchen und öffnen Sie auf dem Webspace das Verzeichnis /wp-admin (A) und kopieren Sie die .haccess– und .htpasswd-Datei von Ihrem PC in das Verzeichnis, indem Sie diese mit der Maus dorthin ziehen (B).

.htaccess-Datei auf Webspace hochladen

Der Passwortschutz ist anschließend sofort aktiv. Falls Sie diesen später deaktivieren möchten, löschen Sie die .haccess– und htpasswd-Dateien aus dem Verzeichnis auf Ihrem Webspace.

Sollte der Passwortschutz nicht funktionieren

Sollte der Passwortschutz nicht funktionieren, sind das die häufigsten Fehlerquellen:

  • Ist der in der Datei “.htaccess” angegebenen Dateipfad zur Datei “.htpasswd” korrekt angegeben?
  • Stimmen der bzw. die Benutzername(n) in der Datei “.htaccess” und “.htpasswd wirklich überein (Groß- Kleinschreibung beachtet)?
  • Haben Sie das Passwort auch in der verschlüsselten Form (crypt) in die Datei .htpassd angegeben?
  • Haben Sie die Dateien in das richtige Verzeichnis (/wp-admin) hochgeladen?
  • Haben Sie das Passwort auch in der verschlüssten Form in die Datei .htpassd angegeben?
Diesen Beitrag bewerten:

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *