WordPress-Login absichern – zweite Variante
von caschy | 16 Kommentare
Vor kurzem erst hatte ich beschrieben wie man WordPress (beziehungsweise den Login-Vorgang) etwas sicherer gestaltet. Ohne Plugins , ohne Schnick-Schnack. Einfach per .htaccess. Unter Umständen kann es aber Probleme geben den kompletten Administrationsordner mittels einer .htaccess zu sichern. Man kann zwar bestimmte Dateitypen und/oder Ordner vom Schutz ausklammern – doch das macht die Sache natürlich nicht übersichtlicher. Nachdem ich in diesem Blog wie in meiner eigenen Beschreibung vorgegangen war merkte ich (bzw. bekam eine E-Mail von einem Leser), dass es da noch einen Fehler gab: der Subscriptions-Manager (der dafür sorgt, dass ich euch bei neuen Kommentaren per E-Mails benachrichtigen lassen könnt) war nämlich durch die .htaccess auch geschützt. Was also tun um das Loginformular von WordPress zusätzlich abzusichern (und das ohne großen Aufwand, für jeden nachvollziehbar)?
Zuständig für den Aufruf der Loginseite ist die wp-login.php die sich im Root-Verzeichnis deines Blogs befindet. Sie muss (natürlich nur wenn du meinst, dies sei nötig) geschützt werden.
Als Basis nehmen wir den ersten Beitrag von mir zu diesem Thema. Wir können jetzt allerdings auf eine bereits existente .htaccess-Datei zugreifen die sich im Root-Verzeichnis eurer WordPress-Installation befinden sollte. Diese könnt ihr mit einem beliebigen Text-Editor öffnen und folgenden Code eingeben:
<files wp-login.php>
AuthName „Admin-Bereich“
AuthType Basic
AuthUserFile /pfad/zur/.htpasswd
require valid-user
</files>
Beachtet in der vierten Zeile, dass ihr den korrekten Pfad zu eurer .htpasswd eingebt. Diesen erhaltet ihr wenn ihr die entsprechende Info per PHP-Info (siehe erster Beitrag) abruft.
Wenn ihr alles richtig gemacht habt, dann wird in Zukunft das Login-Formular separat geschützt – alles andere bleibt unberührt.
Wer das jetzt langweilig fand, der kann gerne zusätzlich bei Sergej 10 Schritte zum Schutz des Admin-Bereiches (in dem “mein” Schritt auch beschrieben ist) lesen.
Wer das Thema generell uninteressant findet kann sich gerne einen Schrank anschauen der sich wie Chewbacca anhört 😉
Ach ja – schönes Wochenende an euch alle da draussen!
Wird geladen ...
Also für ne weitere Absicherung per .htaccess find ich mich nicht wichtig genug – bei dir macht das sicher schon mehr Sinn.
Aber der Schrank ist der Hammer! 😀
Mir fehlt da vielleicht der Überblick, aber ist die zusätzliche Absicherung nötig? Reicht das Login von WP nicht aus? Muss ich mir ohne zusätzliche Absicherung jetzt Sorgen machen?
Ich habe schon ein paar WordPress beherrscht und das half mir sehr viel von Ihrer Beratung. Vielen Dank, freuen uns auf neue Artikel.
Der Schrank ist klasse. Ich glaube fast, dass die echten Chewbaccageräusche tatsächlich so erstellt wurden. Die Lichtschwertgeräusche wurden ja beispielsweise auch erstellt, in dem man mit nem Mikrofon über einem alten Fernseher drüber gewedelt hat :-).
Das ganze hat einen riesen Schönheitsfehler.
Nämlich wenn sich auch andere User einloggen wollen. Diese Methode ist schlechter als die aus dem ersten Beitrag.
Wichtig wäre es, nur den ADMIN Bereich extra abzusichern, anstatt das komplette login. Wo sich auch andere User anmelden können.
Der Schrank ist ja genial, hab richtig gelacht, wie kann man nur so was Filmen und dann ins Internet reinstellen
Das mit dem Login absichern hatte ich auch bei mir testweise so gemacht… Für nen Single Login gut geeignet.
Aber inzwischen läuft nur noch Login Attempts, sicher ist man aber glaub eh nie, deswegen mach ich täglich mein DB-Backup, welches mir per Mail eintrudelt.
Hm…wie sieht es den mit dem SWFUpload innerhalb von wp 2.7 aus? Funktioniert der bei einer .htaccess Sicherung? Ich hab zwar kein Blog aber ich weiß das SWFUpload mit .htaccess Probleme macht.
Nur das Sichern der wp-login.php klingt gut; zur Zeit habe ich noch den kompletten wp-admin-Ordner gesperrt…
Grundsätzlich hört sich das nache einer vergleichsweise einfachen und wirkungsvollen Möglichkeit an, den Admin-Bereich abzusichern. Aber ehrlich gesagt, bin ich ein Freund der Plugin-Lösung. Alleine aufgrund der Tatsache, das Plugins bei Problemen, die sich erst in der Praxis zeigen, weiterentwickelt werden. Für mich, der nur zwei Gehirnzellen mehr hat als ein DAU ist das so sicherer (mit einem Plugin zerschiesse ich mir i.D.R. nix.)
Habe nur ich das Problem oder habe ich einen Fehler gemacht?
Ich möchte nur den Zugang zum Adminbereich sperren. Wenn ich das aber wie beschrieben mache dann kann sich auch kein user mehr auf meiner Seite registrieren und einloggen ohne dass dieser .htaccess login erscheint.