WordPress Bruteforce Attacken abfangen

Webdesign

Verzeichnisschutz für /wp-admin aktivieren

Wenn Sie sich an Ihrem Dashboard anmelden, lädt WordPress die dafür benötigten Seiten – bzw. Dateien – aus dem Unterverzeichnis /wp-admin nach. Daher ist dies der geeignete Ort, um hier den Verzeichnisschutz einzurichten.

Bei aktiviertem Verzeichnisschutz öffnet sich nach dem Klick auf den Anmelde-Button bereits ein zusätzliches Anmeldefenster.

 

Die Dateien .htaccess und .htpasswd erstellen

Für die Umsetzung ist zusätzlich zur .htaccess auch eine Datei mit Namen .htpasswd erforderlich. Diese enthält den (oder die) Benutzernamen und das zugehörige Passwort. Beginnen Sie jedoch zunächst mit der Erstellung der .htaccess-Datei:

Wenn Sie bereits eine .htaccess-Datei verwenden: Falls Sie schon aus anderen Gründen eine eigene .htaccess für das Verzeichnis /wp-admin nutzen, dann würden Sie diese im weiteren Verlauf dieser Anleitung überschreiben. Sie können jedoch Ihre bisherige .htaccess einfach herunterladen, dort die neuen Zeilen ergänzen, diese anpassen und die Datei dann wieder hochladen.

.htaccess erstellen
  • Erstellen Sie mittels einem Texteditor lokal auf Ihrem PC eine Datei namens .htaccess (der Punkt ist wichtig!)

  • Kopieren Sie die nachfolgenden Code-Zeilen in Ihre .htaccess-Datei hinein:

AuthType Basic
AuthName "Passwortgeschützter Bereich"
AuthUserFile /homepages/xx/xxxxxxxxx/htdocs/[Ordner]/wp-admin/.htpasswd
require user [Username]
 
 
 
 
 
 
 
 

Pfad zur WordPress-Installation eintragen

Jetzt ist es noch notwendig, dass Sie den kopierten Code an Ihre WordPress-Installation anpassen:

  • Die Zeichenfolge /homepages/xx/xxxxxxxxx/htdocs/ steht exemplarisch für das Document Root, also den absoluten Pfad zu Ihrer Internet-Präsenz (d.h. die oberste Verzeichnisebene). Diesen können Sie in Ihrem Control-Center herausfinden.
  • Ersetzen Sie [Ordner] durch den Verzeichnispfad, unter dem sich Ihre WordPress-Installation befindet. Wenn sie Ihren WordPress-Blog bspw. in einem gleichnamigen Verzeichnis “wordpress” installiert haben, ersetzen Sie “[Ordner]” mit wordpress. Achten Sie dabei auf Groß- und Kleinschreibung.
  • Den Text [Username] ersetzen Sie durch einen beliebigen Usernamen, zum Beispiel usertest oder ähnlich. Sie können, um mehreren Leuten den Zugang zu ermöglichen, auch mehrere Namen durch Leerzeichen getrennt angeben.
  • Den Text Passwortgeschützter Bereich können Sie durch einen beliebigen Text ersetzen, zum Beispiel Nur für Insider oder ähnliches.

Die bearbeitete .htaccess könnte dann bspw. so aussehen:

 

.htpasswd erstellen

Erstellen Sie auf Ihrem PC eine neue Datei mit dem Namen .htpasswd (Punkt nicht vergessen).
Tragen Sie dort den (oder die) Benutzernamen mit Passwort in der folgenden Form ein:

[Username]:[VerschlüsseltesPasswort]
 
 
 
 
 
 
 
 

Das verschlüsselte Passwort können Sie leicht online selbst generieren. Geben Sie dazu den Suchbegriff „.htpasswd generieren“ in eine Suchmaschine ein und es werden Ihnen Tools und Webseiten vorgeschlagen, mit denen Sie das verschlüsselte Passwort schnell selbst generieren können. >>> klick hier

Falls Sie mehrere Benutzer einrichten, muss jeder Benutzername in einer neuen Zeile beginnen.

Das folgende Beispiel enthält die Benutzer user und test:

 

 

.htaccess und .htpasswd auf Webspace hochladen >>> Verzeichnis /wp-admin (nicht root!)

Nachdem Sie die .htaccess und .htpasswd erstellt und angepasst haben, müssen Sie diese noch in das Verzeichnis /wp-admin unterhalb Ihres WordPress-Verzeichnisses auf dem Webspace hochladen. Der Passwortschutz ist dann sofort aktiv.

Wichtig: Laden Sie diese beiden Dateien im ASCII (Text)-Modus (eine entsprechende Option sollte in Ihrem FTP-Programm enthalten sein, wenn nicht, wird es automatisch richtig gemacht) in die Ordner auf Ihrem Webspace hoch.

 

 

Sollte der Passwortschutz nicht funktionieren

Sollte der Passwortschutz nicht funktionieren, sind das die häufigsten Fehlerquellen:

  • Ist der in der Datei “.htaccess” angegebenen Dateipfad zur Datei “.htpasswd” korrekt angegeben?
  • Stimmen der bzw. die Benutzername(n) in der Datei “.htaccess” und “.htpasswd wirklich überein (Groß- Kleinschreibung beachtet)?
  • Haben Sie das Passwort auch in der verschlüsselten Form (crypt) in die Datei .htpassd angegeben?
  • Haben Sie die Dateien in das richtige Verzeichnis (/wp-admin) hochgeladen?
  • Haben Sie das Passwort auch in der verschlüssten Form in die Datei .htpassd angegeben?