• Über BlogTimes
    • Mein Buch
      • BlogTimes ND-Filterkarte
  • Meine Fotos
  • Fototasche
  • Kontakt
    • Werben
    • Impressum
    • Datenschutzerklärung
  • de

BlogTimes – Tagebuch eines Fotografen

Nachgedacht, Offtopic

WordPress sicher machen – Schutz vor Brute Force Login per .htaccess und .htpasswd

20. Mai 2015

wordpress_wallpaper

Da es ja doch den einen oder anderen von euch gab, hier mal meine Anleitung um sich von bösen Brute Force Attacken zu schützen. Schützen ist vielleicht das falsche Wort, eher das „vorzeitige“ Laden des Admin-Panels wird verhindert. Nun, wie ihr wisst, hatte ich die Tage tiersiche Problem mit meinem Blog und war kurz davor ihn zu löschen…

Keine Angst, die Geschichte kaue ich nicht nochmal durch. Der Blog läuft nun wieder und gut ist. .htaccess und htpasswd sind die Stichwörter hier. Die WordPress betreiben, kennen die .htaccess schon. Meist sitzt diese im Rootverzeichnis und bestimmt unter anderem wie die Links (Permalinks) angezeigt werden. Für den Schutz des Admin-Panel erzeugen wir ein kleines Pop-Up Fenster, welches nach einen Nutzernamen und fragt um zum eigentlichen WordPress Login zu gelangen. Es gibt unzählige Anleitungen und auch Generatoren im Netz um die passenden Dateien zu erstellen. Ich habe askapache.com genommen, weil hier gleich beide Inhalte der Dateien erzeugt werden.  (Achtung, es werden nur die Inhalte generiert)

Htaccess und htpasswd erstellen-1

So schaut das Ganze hier aus.  Ich empfehle jeweils einen anderen Benutzernamen und ein anderes Passwort, welches sich vom WordPress Login unterscheidet, zu nehmen.

  • Username: Einfach einen beliebigen Username auswählen
  • Password: Könnt ihr selbst vergeben und müsste nicht das bereits erstellte nutzen
  • Realm or Popup Name: Könnt ihr auch beliebig auswählen.
  • DigistDomain: bleibt so wie es ist.
  • Auch den ausgewählte Algorithmus und das Schema mit dem das Passwort in die htpasswd geschrieben so belassen.

Dann auf erzeugen gehen und schon werden die Inhalte der beiden Dateien erzeugt.

Htaccess und htpasswd erstellen

Diese notwendigen Dateien werden nun mit einem Texteditor oder mit PSPad Editor erstellt. Verwendet ihr den stinknormalen Windows Texteditor werden die beiden Dateien als TXT-Datei gespeichert (Den Punkt am Dateianfang nicht vergessen). Der Name dürfte dann .htaccess.txt und .htpasswd.txt lauten. Das passt erstmal so. Beim PSPad Editor können diese Datei-Endungen bereits vor dem erstellen und einfügen des Inhaltes ausgewählt werden. Wer sich mit PSPad nicht ausgekennt, dem würde ich dennoch den Windows Texteditor empfehlen. Nach dem Hochladen der TXT Dateien wird das Suffix .txt einfach gelöscht und schon habt ihr eure richtigen .htaccess und .htpasswd.

Bevor es soweit ist, muss noch eine kleine Änderung des Inhalts vorgenommen werden. In der htaccess steht zweimal die Zeile „AuthUserFile /full/path/to/.htpasswd. Hier müsste ihr den vollen Pfad zur htpasswd Datei angeben. Ich empfehle diese Datei getrennt in einem anderen Ordner auf dem Server anzulegen. Beispielsweise im Ordner „loginsicherheit“. Der volle Pfad ist manchmal nur schwer zu finden. Am einfachsten geht das mit einer kleinen PHP Datei (fullpath.php – muss noch entpackt werden – Anleitung gibts auch hier htaccesstools.com) , die ihr in euren Ordner legt, in dem sich die zukünftige .htpasswd befinden soll. Danach öffnet ihr ein neues Browserfenster und gebt die Adresse zur fullpath.php an (euerblog.de/loginsicherheit/fullpath.php). Die php Datei zeigt euch dann den vollen Pfad zu diesem Ordner. Diesen tragt ihr dann anschließen zweimal in die .htaccess ein.

Die .htaccesswird übrigens in den wp-admin Ordner gespeichert, während sich unsere .htpasswd in dem neu erstellten Ordner befindet. Speichert ihr versehentlich die .htaccess in eurem Hauptverzeichnis der WordPress Installation wird die originäre Datei überschrieben. Problem ist hier, dass sich dann jeder Leser eures Blogs vorher anmelden muss um die Seite aufzurufen. Das wollen wir natürlich nicht, denn das Popup Fenster soll sich ja nur auf das Admin-Panel auswirken.

Popup Fenster WordPress Login

Sobald ihr nun zum ersten Mal euer wp-admin oder auch wp-login aufruft, kommt dieses kleine Anmeldefenster. Erst nach Eingabe der richtigen Werte kommt ihr auf euer WordPress Login. Das wars eigentlich schon. Auch wenn man sich nun zweimal anmelden muss um beispielsweise einen neuen Beitrag zu schreiben, aber das extra plus an Sicherheit lohnt sich auf jeden Fall. Abhängig der Serverkonfiguration kann diese Kombination beider Dateien auch zu einem Serverfehler (Error 500) führen. Hier müsstet ihr dann mal bei euren Provider nachfragen, warum dieser das Dateihändling per .htaccess nicht zulässt. Aber keine Angst, löscht ihr die Dateien auf dem Server, funktioniert wieder alles. Dennoch gebe ich hier keine Gewähr auf irgendwas und die Erstellung und Einbindung dieser Dateien geschieht auf eigene Gefahr. Sorry, ich muss das hier schreiben, nicht dass einer auf die Idee kommt mich anzukacken, nur weil seine Webseite die Grätsche gemacht hat.

Das wars schon zum Thema Sicherheit und WordPress. Viel Spass dabei…

Brute Force LoginOfftopicSicherWordpress
6

Vielleicht interessiert dich das hier auch...

Lohnt sich ein Adobe Abo…

21. März 2014

Eigene Arbeit bei fokussiert.com in der Kritik

23. August 2009

Neuer 2012er iMac für die Bildbearbeitung geeignet??? – Update

24. Oktober 2012

6 Kommentare

  • Antwort Matthias 20. Mai 2015 um 14:39

    Wird ja fast noch ein IT-Blog hier 😉

  • Antwort Richard 20. Mai 2015 um 16:36

    Vielen Dank Ronny!

  • Antwort Andreas 20. Mai 2015 um 19:02

    Super! Danke schön.

    Gruß

    Andreas Ohse

  • Antwort Mai 2015 | hiacynta jelen | photography 10. Juni 2015 um 16:03

    […] wie man wordpress sicherer […]

  • Antwort milan 23. Juni 2015 um 16:57

    Besten Dank für die ausführliche Beschreibung. Ich habe in der Tat auch seit Monaten damit zu kämpfen und auch bereits nach einer Lösung gegooglet. Bin aber recht schnell ausgestiegen und war jetzt über diese Anleitung ganz froh.
    Zwar gab es bei mir diesen beschriebenen „500 Server Error“, aber ich habe nun einen Schutzmechanismus über meinen Webhost-Anbieter bekommen.
    Somit war dieser von dir beschriebene Weg nicht ganz erfolgreich, aber immerhin der Stein des Anstoßes zu einer guten Lösung!

    Gruß
    milan

    • Antwort BlogTimes 24. Juni 2015 um 19:19

      Freut mich, einen Denkanstoß gegeben zu haben.

    Kommentar verfassen Abbrechen :(

    Vorheriger Beitrag
    BlogTimes lebt wieder…
    Nächster Beitrag
    Sony a7R II – Es tut sich was auf dem Kameramarkt!

    Social Media

    Über mich – Also, derjenige der hier alles verbockt!

    Über mich – Also, derjenige der hier alles verbockt!

    Moin, Moin.... Auch wenn ich aktuell in Kanada lebe, so bleib ich meiner Wahlstadt Hamburg treu. Kurz und knapp, ich bin der Ronny - Fotograf, Blogger, Bestseller-Autor (ja, wirklich), Workshop-Leader und Gründer von Thread Work Apparel - That's it for now! " Life isn't about yourself, it's about creating yourself!"

    Kommentare

    • BlogTimes zu Zweitausendsiebzehn – Fotografische Pläne und so…
    • BlogTimes zu Zweitausendsiebzehn – Fotografische Pläne und so…
    • Bruno Toussaint zu Was brauche ich alles für die Arbeit mit Resin?
    • Bruno Toussaint zu Was brauche ich alles für die Arbeit mit Resin?
    • Richard Grando zu Zweitausendsiebzehn – Fotografische Pläne und so…

    Meine Empfehlungen

    Meine Links

    • Chris Ruiz Photography
    • Der Stilpirat
    • F5PUNKT6
    • Frank Lava Photography
    • Hochzeitsfotograf Hamburg
    • Jeriko
    • Köln Format

    Categories

    • Featured (15)
    • Fotografie (735)
      • Analog (20)
      • Bildbearbeitung (2)
      • Bücher (23)
      • Dies und Das (147)
      • Equipment (79)
      • Foto-Aufgabe (18)
      • Foto-Workshops (9)
      • Großformat (18)
      • Hochzeit (3)
      • Interviews (28)
      • Nikon D800 (20)
      • People (3)
      • Testberichte (47)
    • Fotogruppe (10)
    • Marketing (1)
    • Mitgemacht (149)
    • Nachgedacht (82)
    • Offtopic (2)
    • Unterwegs (61)

    Finde mich…

    Dir auch schon passiert?

    Du hast die letzten Artikel verpasst? Das muss nicht sein. Ich schicke dir eine Mail, wenn es was neues gibt!

    BlogTimes auf Facebook

    Top Beiträge

    • Fazit nach zwei Jahren Bilder verkaufen...
      Fazit nach zwei Jahren Bilder verkaufen...
    • Was brauche ich alles für die Arbeit mit Resin?
      Was brauche ich alles für die Arbeit mit Resin?
    • So viel wie möglich und so wenig wie nötig…Welches Objektiv für welches Reiseziel?
      So viel wie möglich und so wenig wie nötig…Welches Objektiv für welches Reiseziel?
    • Analoge Langzeitbelichtungen - So klappts auch mit den Negativen
      Analoge Langzeitbelichtungen - So klappts auch mit den Negativen
    • Nikon D800 vs 4x5 Großformat Negativ...
      Nikon D800 vs 4x5 Großformat Negativ...
    • Equipment fürs Großformat...
      Equipment fürs Großformat...
    • Die beste Fototasche, die ich bisher hatte - Der Tilopa BC von F-Stop
      Die beste Fototasche, die ich bisher hatte - Der Tilopa BC von F-Stop
    • Alles RESIN oder was?
      Alles RESIN oder was?
    • Cross Processing und reduzierte Farben - Weniger ist manchmal mehr
      Cross Processing und reduzierte Farben - Weniger ist manchmal mehr
    • Zweitausendsiebzehn - Fotografische Pläne und so...
      Zweitausendsiebzehn - Fotografische Pläne und so...
    Facebook Twitter Instagram Pinterest Google Plus Tumblr RSS
    BlogTimes – Tagebuch eines Fotografen

    Written with in Canada

    © 2015 BlogTimes - Fotografieblog, Alle Rechte vorbehalten

    Zurück zum Anfang
    Diese Website verwendet Cookies von Google, um ihre Dienste bereitzustellen, Anzeigen zu personalisieren und Zugriffe zu analysieren. Informationen darüber, wie Sie die Website verwenden, werden an Google weitergegeben. Durch die Nutzung dieser Website erklären Sie sich damit einverstanden, dass sie Cookies verwendet. Akzeptieren Info