• Über BlogTimes
    • Mein Buch
      • BlogTimes ND-Filterkarte
  • Meine Fotos
  • Fototasche
  • Kontakt
    • Werben
    • Impressum
    • Datenschutzerklärung
  • de

BlogTimes – Tagebuch eines Fotografen

Nachgedacht, Offtopic

WordPress sicher machen – Schutz vor Brute Force Login per .htaccess und .htpasswd

20. Mai 2015

wordpress_wallpaper

Da es ja doch den einen oder anderen von euch gab, hier mal meine Anleitung um sich von bösen Brute Force Attacken zu schützen. Schützen ist vielleicht das falsche Wort, eher das „vorzeitige“ Laden des Admin-Panels wird verhindert. Nun, wie ihr wisst, hatte ich die Tage tiersiche Problem mit meinem Blog und war kurz davor ihn zu löschen…

Keine Angst, die Geschichte kaue ich nicht nochmal durch. Der Blog läuft nun wieder und gut ist. .htaccess und htpasswd sind die Stichwörter hier. Die WordPress betreiben, kennen die .htaccess schon. Meist sitzt diese im Rootverzeichnis und bestimmt unter anderem wie die Links (Permalinks) angezeigt werden. Für den Schutz des Admin-Panel erzeugen wir ein kleines Pop-Up Fenster, welches nach einen Nutzernamen und fragt um zum eigentlichen WordPress Login zu gelangen. Es gibt unzählige Anleitungen und auch Generatoren im Netz um die passenden Dateien zu erstellen. Ich habe askapache.com genommen, weil hier gleich beide Inhalte der Dateien erzeugt werden.  (Achtung, es werden nur die Inhalte generiert)

Htaccess und htpasswd erstellen-1

So schaut das Ganze hier aus.  Ich empfehle jeweils einen anderen Benutzernamen und ein anderes Passwort, welches sich vom WordPress Login unterscheidet, zu nehmen.

  • Username: Einfach einen beliebigen Username auswählen
  • Password: Könnt ihr selbst vergeben und müsste nicht das bereits erstellte nutzen
  • Realm or Popup Name: Könnt ihr auch beliebig auswählen.
  • DigistDomain: bleibt so wie es ist.
  • Auch den ausgewählte Algorithmus und das Schema mit dem das Passwort in die htpasswd geschrieben so belassen.

Dann auf erzeugen gehen und schon werden die Inhalte der beiden Dateien erzeugt.

Htaccess und htpasswd erstellen

Diese notwendigen Dateien werden nun mit einem Texteditor oder mit PSPad Editor erstellt. Verwendet ihr den stinknormalen Windows Texteditor werden die beiden Dateien als TXT-Datei gespeichert (Den Punkt am Dateianfang nicht vergessen). Der Name dürfte dann .htaccess.txt und .htpasswd.txt lauten. Das passt erstmal so. Beim PSPad Editor können diese Datei-Endungen bereits vor dem erstellen und einfügen des Inhaltes ausgewählt werden. Wer sich mit PSPad nicht ausgekennt, dem würde ich dennoch den Windows Texteditor empfehlen. Nach dem Hochladen der TXT Dateien wird das Suffix .txt einfach gelöscht und schon habt ihr eure richtigen .htaccess und .htpasswd.

Bevor es soweit ist, muss noch eine kleine Änderung des Inhalts vorgenommen werden. In der htaccess steht zweimal die Zeile „AuthUserFile /full/path/to/.htpasswd. Hier müsste ihr den vollen Pfad zur htpasswd Datei angeben. Ich empfehle diese Datei getrennt in einem anderen Ordner auf dem Server anzulegen. Beispielsweise im Ordner „loginsicherheit“. Der volle Pfad ist manchmal nur schwer zu finden. Am einfachsten geht das mit einer kleinen PHP Datei (fullpath.php – muss noch entpackt werden – Anleitung gibts auch hier htaccesstools.com) , die ihr in euren Ordner legt, in dem sich die zukünftige .htpasswd befinden soll. Danach öffnet ihr ein neues Browserfenster und gebt die Adresse zur fullpath.php an (euerblog.de/loginsicherheit/fullpath.php). Die php Datei zeigt euch dann den vollen Pfad zu diesem Ordner. Diesen tragt ihr dann anschließen zweimal in die .htaccess ein.

Die .htaccesswird übrigens in den wp-admin Ordner gespeichert, während sich unsere .htpasswd in dem neu erstellten Ordner befindet. Speichert ihr versehentlich die .htaccess in eurem Hauptverzeichnis der WordPress Installation wird die originäre Datei überschrieben. Problem ist hier, dass sich dann jeder Leser eures Blogs vorher anmelden muss um die Seite aufzurufen. Das wollen wir natürlich nicht, denn das Popup Fenster soll sich ja nur auf das Admin-Panel auswirken.

Popup Fenster WordPress Login

Sobald ihr nun zum ersten Mal euer wp-admin oder auch wp-login aufruft, kommt dieses kleine Anmeldefenster. Erst nach Eingabe der richtigen Werte kommt ihr auf euer WordPress Login. Das wars eigentlich schon. Auch wenn man sich nun zweimal anmelden muss um beispielsweise einen neuen Beitrag zu schreiben, aber das extra plus an Sicherheit lohnt sich auf jeden Fall. Abhängig der Serverkonfiguration kann diese Kombination beider Dateien auch zu einem Serverfehler (Error 500) führen. Hier müsstet ihr dann mal bei euren Provider nachfragen, warum dieser das Dateihändling per .htaccess nicht zulässt. Aber keine Angst, löscht ihr die Dateien auf dem Server, funktioniert wieder alles. Dennoch gebe ich hier keine Gewähr auf irgendwas und die Erstellung und Einbindung dieser Dateien geschieht auf eigene Gefahr. Sorry, ich muss das hier schreiben, nicht dass einer auf die Idee kommt mich anzukacken, nur weil seine Webseite die Grätsche gemacht hat.

Das wars schon zum Thema Sicherheit und WordPress. Viel Spass dabei…

Brute Force LoginOfftopicSicherWordpress
6

Vielleicht interessiert dich das hier auch...

Island Impressionen – Was für ein Abenteuer…

21. Juli 2011

Croppen – Ja oder Nein?

23. April 2013

Flugreisen und die liebe Kameraausrüstung

23. März 2013

6 Kommentare

  • Antwort Matthias 20. Mai 2015 um 14:39

    Wird ja fast noch ein IT-Blog hier 😉

  • Antwort Richard 20. Mai 2015 um 16:36

    Vielen Dank Ronny!

  • Antwort Andreas 20. Mai 2015 um 19:02

    Super! Danke schön.

    Gruß

    Andreas Ohse

  • Antwort Mai 2015 | hiacynta jelen | photography 10. Juni 2015 um 16:03

    […] wie man wordpress sicherer […]

  • Antwort milan 23. Juni 2015 um 16:57

    Besten Dank für die ausführliche Beschreibung. Ich habe in der Tat auch seit Monaten damit zu kämpfen und auch bereits nach einer Lösung gegooglet. Bin aber recht schnell ausgestiegen und war jetzt über diese Anleitung ganz froh.
    Zwar gab es bei mir diesen beschriebenen „500 Server Error“, aber ich habe nun einen Schutzmechanismus über meinen Webhost-Anbieter bekommen.
    Somit war dieser von dir beschriebene Weg nicht ganz erfolgreich, aber immerhin der Stein des Anstoßes zu einer guten Lösung!

    Gruß
    milan

    • Antwort BlogTimes 24. Juni 2015 um 19:19

      Freut mich, einen Denkanstoß gegeben zu haben.

    Kommentar verfassen Abbrechen :(

    Vorheriger Beitrag
    BlogTimes lebt wieder…
    Nächster Beitrag
    Sony a7R II – Es tut sich was auf dem Kameramarkt!

    Social Media

    Über mich – Also, derjenige der hier alles verbockt!

    Über mich – Also, derjenige der hier alles verbockt!

    Moin, Moin.... Auch wenn ich aktuell in Kanada lebe, so bleib ich meiner Wahlstadt Hamburg treu. Kurz und knapp, ich bin der Ronny - Fotograf, Blogger, Bestseller-Autor (ja, wirklich), Workshop-Leader und Gründer von Thread Work Apparel - That's it for now! " Life isn't about yourself, it's about creating yourself!"

    Kommentare

    • BlogTimes zu Zweitausendsiebzehn – Fotografische Pläne und so…
    • BlogTimes zu Zweitausendsiebzehn – Fotografische Pläne und so…
    • BlogTimes zu Rotes Leder, Analoger Messsucher und etwas Chrom – Polaroid 110A/B 4×5 Conversion
    • BlogTimes zu Analoge Langzeitbelichtungen – So klappts auch mit den Negativen
    • BlogTimes zu Gartenhochzeit in Kanada – Kaitlyn and Jonathan

    Meine Empfehlungen

    Meine Links

    • Chris Ruiz Photography
    • Der Stilpirat
    • F5PUNKT6
    • Frank Lava Photography
    • Hochzeitsfotograf Hamburg
    • Jeriko
    • Köln Format

    Categories

    • Featured (15)
    • Fotografie (735)
      • Analog (20)
      • Bildbearbeitung (2)
      • Bücher (23)
      • Dies und Das (147)
      • Equipment (79)
      • Foto-Aufgabe (18)
      • Foto-Workshops (9)
      • Großformat (18)
      • Hochzeit (3)
      • Interviews (28)
      • Nikon D800 (20)
      • People (3)
      • Testberichte (47)
    • Fotogruppe (10)
    • Marketing (1)
    • Mitgemacht (149)
    • Nachgedacht (82)
    • Offtopic (2)
    • Unterwegs (61)

    Finde mich…

    Dir auch schon passiert?

    Du hast die letzten Artikel verpasst? Das muss nicht sein. Ich schicke dir eine Mail, wenn es was neues gibt!

    BlogTimes auf Facebook

    Top Beiträge

    • Was brauche ich alles für die Arbeit mit Resin?
      Was brauche ich alles für die Arbeit mit Resin?
    • Fazit nach zwei Jahren Bilder verkaufen...
      Fazit nach zwei Jahren Bilder verkaufen...
    • Fotograf Sven Fennema im Interview
      Fotograf Sven Fennema im Interview
    • Equipment fürs Großformat...
      Equipment fürs Großformat...
    • Was fotografierst du am Liebsten...?
      Was fotografierst du am Liebsten...?
    • Analoge Langzeitbelichtungen - So klappts auch mit den Negativen
      Analoge Langzeitbelichtungen - So klappts auch mit den Negativen
    • Alles RESIN oder was?
      Alles RESIN oder was?
    • 330 Sekunden Belichtungszeit - Großformat geht in die zweite Runde
      330 Sekunden Belichtungszeit - Großformat geht in die zweite Runde
    • Das Bildformat - ich kann mich nicht entscheiden!
      Das Bildformat - ich kann mich nicht entscheiden!
    • Die eigenen Fotografien vermarkten - keine Stockfotos!
      Die eigenen Fotografien vermarkten - keine Stockfotos!
    Facebook Twitter Instagram Pinterest Google Plus Tumblr RSS
    BlogTimes – Tagebuch eines Fotografen

    Written with in Canada

    © 2015 BlogTimes - Fotografieblog, Alle Rechte vorbehalten

    Zurück zum Anfang
    Diese Website verwendet Cookies von Google, um ihre Dienste bereitzustellen, Anzeigen zu personalisieren und Zugriffe zu analysieren. Informationen darüber, wie Sie die Website verwenden, werden an Google weitergegeben. Durch die Nutzung dieser Website erklären Sie sich damit einverstanden, dass sie Cookies verwendet. Akzeptieren Info