In diesem Artikel wird gezeigt, wie man mit der .htaccess-Datei die eigene WordPress-Seite um eine zusätzliche Sicherheitsbarriere gegen Brute-Force-Attacken, Zero-Day-Lücken oder Scanning erweitert.
Das Verzeichnis wp-admin
der WordPress-Installation beinhaltet die Seiten und Dateien des WordPress Adminbereichs.
Ohne Schutz kann das Verzeichnis (www.ihre_wordpress_seite.de/wp-admin) ganz normal im Browser aufgerufen werden. Es erscheint
ein Login-Dialog, um auf das Adminmenü zuzugreifen.
Durch eine .htaccess
-Datei kann der Zugriff auf Bereiche einer Website begrenzt werden. So können sensible
Bereiche (Adminmenü, Login-Dialog, etc.) vor potenziellen Angreifern zusätzlich abgesichert werden.
Zunächst wird eine .htpasswd
-Datei erstellt. Darin werden die Login-Daten der autorisierten User verwaltet.
Diese Passwortdateien können mit Hilfe von Onlinegeneratoren erstellt werden.
Die Passwortdatei hat folgende Form:
%USER%:%PASSWORTHASH%
Pro Zeile kann ein User angegeben werden.
Die .htaccess
-Dateien hat folgenden Inhalt:
AuthType Basic AuthName "Gesperrter Bereich" AuthUserFile /absoluter/pfad/zur/.htpasswd require valid-user
Damit wird eine einfache HTTP Basic Authentification aktiviert.
Die Internetseite sollte über eine erzwungene HTTPS-Verbindung verfügen, um eine Übertragung der Daten im Klartext zu verhindern!
AuthUserFile definiert den absoluten Pfad zu .htpasswd
.
Der letzte Befehl erlaubt jedem definierten User den Zugriff.
Die .htaccess
und .htpasswd
-Dateien werden dann in das wp-admin
Verzeichnis mittels FTP-Programm hochgeladen.
Wird die Seite nun erstmalig aufgerufen, verlangt Ihr Browser einen Benutzernamen und Passwort um auf das Adminmenü zuzugreifen. Als weiterer Schutz könnte
die wp-login.php
im Rootverzeichnis ebenfalls geschützt werden.