WordPress-Login schützen (wp-admin, wp-login.php)

Der Administrationsbereich einer WordPress-Website ist standardmäßig über www.meine-domain.tld/wp-admin oder /wp-login.php erreichbar.
Angreifer nützen diesen Pfad als Angriffspunkt für Hacking Attacken per Brute-Force.

Anleitung wie Sie diesen Bereich Serverseitig zusätzlich mit .htaccess und .htpasswd Datei schützen.

Als erstes generieren Sie hierfür ein Benutzernamen und ein Passwort.

Benutzername:

(ohne Sonderzeichen)

Passwort:

 

Text für .htpasswd Datei

Copy

Jetzt die Dateien .htaccess und .htpasswd erstellen.
Im Hauptverzeichnis wo Ihr WordPress installiert ist, erstellen Sie zunächst eine Datei mit dem Namen .htpasswd, am einfachsten ist über Plesk Panel -> Dateien.
Falls Sie hierfür FTP nutzen, vorher prüfen ob Dateien bereits vorhanden und ggf. herunterladen.

Inhalt für .htpasswd, hier kommt generierte Benutzer und Passwort, kopieren und im .htpasswd einfügen. (falls .htpasswd bereits vorhanden einfach eine neue Zeile hinzufügen)... und speichern (im Plesk Code-Editor mit OK).

Beispiel:



Jetzt die zweite Datei .htaccess erstellen bzw. in den meisten Fällen ist diese Datei bereits vorhanden, somit einfach anpassen / ganz unten folgenden Text hinzufügen:

# Protect wp-login.php <Files "wp-login.php"> AuthName "Protected Area" AuthType Basic AuthUserFile /var/www/vhosts/hauptdomain.tld/httpdocs/.htpasswd Require valid-user </Files>
Copy

hauptdomain.tld/httpdocs, ergänzen durch Ihren Verzeichnis.

Beispiel im Plesk:


nun speichern (im Plesk mit OK).

Sollte der Passwortschutz nicht funktionieren, sind das die häufigsten Fehlerquellen:

- Ist der in der Datei .htaccess angegebenen Dateipfad zur Datei .htpasswd korrekt angegeben?
- Stimmt der Benutzername in der Datei .htpasswd wirklich überein (Groß- Kleinschreibung beachtet)?

---

Emfohlen: xmlrpc.php ebenfalls schützen, diese Datei hat eigentlich nichts mit WordPress wp-login.php zu tun, es wird aber empfohlen diese zu deaktivieren bzw. wie in diesem Fall denn zugriff nur von bestimmten IP-Adressen zu erlauben. Diese Datei ist ebenfalls ein grosser Angriffsziel.

in .htaccess hinzufügen:
# Block WordPress xmlrpc.php requests <Files "xmlrpc.php"> order deny,allow deny from all allow from 196.1.1.1 </Files>

Sie können hier eigene bzw. bestimmte IP-Adresse eintragen / erlauben, mehrere Zeilen sind ebenfalls möglich, z.B:
allow from 196.1.1.1
allow from 196.1.1.2
usw.
oder vorübergehend komplett erlauben: allow from all

Was ist die xmlrpc.php?
Unter XML-RPC (Extensible Markup Language Remote Procedure Call) versteht man eine Schnittstelle zwischen einem System (hier WordPress) und externen Funktionen. Sie kümmert sich beispielsweise um Pingbacks, also ein- und ausgehende Mitteilungen von anderen Webseiten. Außerdem greifen verschiedene Plugins (wie beispielsweise Jetpack) oder Apps darauf zu. Es ist sozusagen die Schnittstelle zur Außenwelt.