WordPress-Adminbereich mit .htaccess sichern
Die Sicherheit einer WordPress-Installation lässt sich ohne großen Aufwand über eine zusätzliche Anmeldung erhöhen. Meldet man sich über /wp-admin an, kommt vorher ein separates Anmelde-Popup.
Der Zugriff auf die WordPress-Anmeldeseite wird durch den Webserver zusätzlich abgeschirmt. Erst nach der Eingabe des Benutzernamens und des Passworts wird der Benutzer auf die Login-Seite weitergeleitet.
Es wird dazu auf dem Server im Hauptverzeichnis von WordPress die Datei .htaccess angelegt. Zusätzlich ist eine Datei mit dem Namen .htpasswd dort zu speichern. Diese Datei enthält einen Benutzernamen und einen Passwort-Hash. Bei einer zukünftigen Anmeldung sind dann beide Credentials einzutragen.
Es können in der .htpasswd für mehrere Benutzer die Anmeldedaten hinterlegt werden. Es ist also auch Multiuser fähig.
.htaccess
Der Aufbau der htaccess-Datei sieht wie folgt auf:
<Files ~ "^\.(js|php)|^idxsec\.php">
Allow from all
Satisfy any
</Files>
<Files wp-login.php>
AuthUserFile <Pfad-zur-Datei-auf-dem-Server/.htpasswd
AuthType Basic
AuthName "Name"
Require valid-user
</Files>
.htpasswd
In der Datei ist der Benutzername und der Passwort-Hash in dem Format einzutragen
benutzername:passwort
Der Passwort-Hash lässt sich über das Apache Werkzeug htpasswd auf dem eigenen PC erzeugen.
htpasswd -m
Weitere Infos gibt es auch im wiki.ubuntuusers.de
Sollen mehrere Benutzer mit unterschiedlichen Passwörtern auf die WordPress-Adminbereich zugreifen, dann sind Benutzernamen und Passwörter fortlaufend untereinander zu schreiben.
benutzername1:passwort
benutzername2:passwort
benutzername3:passwort
benutzername4:passwort
Die Rechte für beide Dateien sind auf 640 einzustellen:
rwx-Format = rw-r-----
Oktalschreibweise = 640
Gib mir gerne einen Kaffee ☕ aus ❗️
Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕️ ausgeben.
• 
Bitcoin Address: bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj
Follow Me❗️