WordPress Adminbereich zusätzlich absichern

WordPress Adminbereich zusätzlich absichern

In diesem Artikel wird gezeigt, wie man mit der .htaccess-Datei die eigene WordPress-Seite um eine zusätzliche Sicherheitsbarriere gegen Brute-Force-Attacken, Zero-Day-Lücken oder Scanning erweitert.

Das Verzeichnis wp-admin der WordPress-Installation beinhaltet die Seiten und Dateien des WordPress Adminbereichs. Ohne Schutz kann das Verzeichnis (www.ihre_wordpress_seite.de/wp-admin) ganz normal im Browser aufgerufen werden. Es erscheint ein Login-Dialog, um auf das Adminmenü zuzugreifen.

Authentifizierung

Zugriff unterbinden

Durch eine .htaccess-Datei kann der Zugriff auf Bereiche einer Website begrenzt werden. So können sensible Bereiche (Adminmenü, Login-Dialog, etc.) vor potenziellen Angreifern zusätzlich abgesichert werden.

Passwortschutz

Zunächst wird eine .htpasswd-Datei erstellt. Darin werden die Login-Daten der autorisierten User verwaltet. Diese Passwortdateien können mit Hilfe von Onlinegeneratoren erstellt werden.

Die Passwortdatei hat folgende Form:

%USER%:%PASSWORTHASH%

Pro Zeile kann ein User angegeben werden.

.htaccess erstellen

Die .htaccess-Dateien hat folgenden Inhalt:

AuthType Basic
AuthName "Gesperrter Bereich"
AuthUserFile /absoluter/pfad/zur/.htpasswd
require valid-user
                                        

Damit wird eine einfache HTTP Basic Authentification aktiviert. Die Internetseite sollte über eine erzwungene HTTPS-Verbindung verfügen, um eine Übertragung der Daten im Klartext zu verhindern! AuthUserFile definiert den absoluten Pfad zu .htpasswd. Der letzte Befehl erlaubt jedem definierten User den Zugriff.

.htaccess hochladen

Authentifizierung

Die .htaccess und .htpasswd-Dateien werden dann in das wp-admin Verzeichnis mittels FTP-Programm hochgeladen. Wird die Seite nun erstmalig aufgerufen, verlangt Ihr Browser einen Benutzernamen und Passwort um auf das Adminmenü zuzugreifen. Als weiterer Schutz könnte die wp-login.php im Rootverzeichnis ebenfalls geschützt werden.