In diesem Artikel wird gezeigt, wie man mit der .htaccess-Datei die eigene WordPress-Seite um eine zusätzliche Sicherheitsbarriere gegen Brute-Force-Attacken, Zero-Day-Lücken oder Scanning erweitert.
Das Verzeichnis wp-admin der WordPress-Installation beinhaltet die Seiten und Dateien des WordPress Adminbereichs.
Ohne Schutz kann das Verzeichnis (www.ihre_wordpress_seite.de/wp-admin) ganz normal im Browser aufgerufen werden. Es erscheint
ein Login-Dialog, um auf das Adminmenü zuzugreifen.
Durch eine .htaccess-Datei kann der Zugriff auf Bereiche einer Website begrenzt werden. So können sensible
Bereiche (Adminmenü, Login-Dialog, etc.) vor potenziellen Angreifern zusätzlich abgesichert werden.
Zunächst wird eine .htpasswd-Datei erstellt. Darin werden die Login-Daten der autorisierten User verwaltet.
Diese Passwortdateien können mit Hilfe von Onlinegeneratoren erstellt werden.
Die Passwortdatei hat folgende Form:
%USER%:%PASSWORTHASH%
Pro Zeile kann ein User angegeben werden.
Die .htaccess-Dateien hat folgenden Inhalt:
AuthType Basic
AuthName "Gesperrter Bereich"
AuthUserFile /absoluter/pfad/zur/.htpasswd
require valid-user
Damit wird eine einfache HTTP Basic Authentification aktiviert.
Die Internetseite sollte über eine erzwungene HTTPS-Verbindung verfügen, um eine Übertragung der Daten im Klartext zu verhindern!
AuthUserFile definiert den absoluten Pfad zu .htpasswd.
Der letzte Befehl erlaubt jedem definierten User den Zugriff.
Die .htaccess und .htpasswd-Dateien werden dann in das wp-admin Verzeichnis mittels FTP-Programm hochgeladen.
Wird die Seite nun erstmalig aufgerufen, verlangt Ihr Browser einen Benutzernamen und Passwort um auf das Adminmenü zuzugreifen. Als weiterer Schutz könnte
die wp-login.php im Rootverzeichnis ebenfalls geschützt werden.