WordPress-Login absichern – zweite Variante

20. Februar 2009 Kategorie: Internet, Spass muss sein, WordPress, geschrieben von:

Vor kurzem erst hatte ich beschrieben wie man WordPress (beziehungsweise den Login-Vorgang) etwas sicherer gestaltet. Ohne Plugins , ohne Schnick-Schnack. Einfach per .htaccess. Unter Umständen kann es aber Probleme geben den kompletten Administrationsordner mittels einer .htaccess zu sichern. Man kann zwar bestimmte Dateitypen und/oder Ordner vom Schutz ausklammern – doch das macht die Sache natürlich nicht übersichtlicher. Nachdem ich in diesem Blog wie in meiner eigenen Beschreibung vorgegangen war merkte ich (bzw. bekam eine E-Mail von einem Leser), dass es da noch einen Fehler gab: der Subscriptions-Manager (der dafür sorgt, dass ich euch bei neuen Kommentaren per E-Mails benachrichtigen lassen könnt) war nämlich durch die .htaccess auch geschützt. Was also tun um das Loginformular von WordPress zusätzlich abzusichern (und das ohne großen Aufwand, für jeden nachvollziehbar)?



Zuständig für den Aufruf der Loginseite ist die wp-login.php die sich im Root-Verzeichnis deines Blogs befindet. Sie muss (natürlich nur wenn du meinst, dies sei nötig) geschützt werden.

wplogin3

Als Basis nehmen wir den ersten Beitrag von mir zu diesem Thema. Wir können jetzt allerdings auf eine bereits existente .htaccess-Datei zugreifen die sich im Root-Verzeichnis eurer WordPress-Installation befinden sollte. Diese könnt ihr mit einem beliebigen Text-Editor öffnen und folgenden Code eingeben:

<files wp-login.php>
AuthName „Admin-Bereich“
AuthType Basic
AuthUserFile /pfad/zur/.htpasswd
require valid-user
</files>

Beachtet in der vierten Zeile, dass ihr den korrekten Pfad zu eurer .htpasswd eingebt. Diesen erhaltet ihr wenn ihr die entsprechende Info per PHP-Info (siehe erster Beitrag) abruft.

Wenn ihr alles richtig gemacht habt, dann wird in Zukunft das Login-Formular separat geschützt – alles andere bleibt unberührt.

wplogin2

Wer das jetzt langweilig fand, der kann gerne zusätzlich bei Sergej 10 Schritte zum Schutz des Admin-Bereiches (in dem “mein” Schritt auch beschrieben ist) lesen.

Wer das Thema generell uninteressant findet kann sich gerne einen Schrank anschauen der sich wie Chewbacca anhört 😉

Ach ja – schönes Wochenende an euch alle da draussen!


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25480 Artikel geschrieben.