WordPress Backend mit .htaccess schützen

WordPress ist das bekannteste Blogging System, aus diesem Grund ist es auch für Cracker und/oder Hacker, als Angriffsziel attraktive. Viele Installationen gleich viele Ziele, offen einsehbarer Code und bekannte Sicherheitslücken. Durch faule oder unerfahrene Administratoren gibt es immer Installationen die nicht, die aktuellen Sicherheitsupdates installiert bzw. auf die aktuelle Version aktualisiert haben – lohnende Angriffsziele. Deshalb sollte der Login zum Admin-Bereich extra geschützt werden. Sicherlich gibt es einige Plugin’s, die das ermöglichen, aber es wenn keine Möglichkeit zum direkten Login gibt um so besser. Hier kommt der serverseitige Schutz via .htaccess ins Spiel.

Der .htaccess Passwortschutz ermöglicht es ganze Webserver mit einem User/Passwort ganz abzusichern oder wie in diesem Fall einzelne Dateien.

Voraussetzung

  • .htaccess sollte eingerichtet sein und funktionieren. Hier
  • .htaccess User/Passwort Datei auf dem Server abliegen. (z.B. /etc/.htpasswd)

Anleitung

In dem Verzeichnis der WordPress Installation ist eine .htaccess Datei zu erstellen.

Anschließend die .htaccess Datei bearbeiten und folgende Zeilen einfügen.

Erklärung

Files – Hier wird die Datei angegeben auf welche die Regeln angewendet werden sollen.
AuthName – Bezeichnung des Bereichs, wenn der .htaccess Login angezeigt wird.
AuthType – Art der Authentifizierung. Basic oder Diggest (benötigt weiteres Apache Modul)
AuthUserFile – Datei wo die Usernamen und Passwörter (MD5) enthalten sind.
Require – Angabe wer sich hier einloggen darf. Valid-user bedeutet alle in dem AuthUserFile, allerdings können auch einzelne User aufgezählt werden.

Hinweis
Bei dem AuthType Basic ist ein mit Sniffen bei Nutzung ohne SSL/TLS möglich. Bei Diggest funktioniert das sniffen auch ohne SSL/TLS nicht.

Resultat

Abschließend wird nur beim aufrufen der wp-login.php Datei, jetzt immer erst eine Authentifizierung am Server abgefragt.
Zugang .htaccess


Extra Sicherheit

Um zusätzlich sicherzustellen das über die URL nicht die .htaccess oder .htpasswd Datei aufgerufen werden könnte, kann folgendes in die jeweilige .htaccess Datei eingefügt werden.

Diese Zeilen führen dazu das von überall die beiden Dateien vor dem Zugriff von aussen via HTTP/S unterbunden wird.

(Visited 77 times, 1 visits today)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.