Mehrere Schreiber: wp-login.php vor Brute-Force Angriffen sichern

.htpasswd generieren lassen

Artikel wurde aktualisiert am 16.08.2015

In den letzten Monaten ist es echt schlimm mit den Brute-Force Angriffen geworden. So richtig merke ich da erst, seit dem ich das Plugin Limit Login Attempts, mit eMail-Benachrichtigung, aktiv habe. Ich bekomme täglich mehrere, bis unzählige, Mails mit der Information über gesperrte IP-Adressen von meinen Blogs. Das nervt und außerdem wäre es doch besser diese Bots gar nicht erst so weit kommen zu lassen.

Schutz für Multisite und mehrere Autoren


Nun stand ich aber vor einem Problem. Ich habe externe Schreiber auf meinen Blogs, die auch regelmäßig wechseln. Darum kommt eine Sperre auf IP-Ebene oder mit .htaccess Usern nicht in Frage. Das wäre viel zu umständlich zu warten.
Jetzt habe ich aber eine andere, sehr einfache Lösung gefunden. Ich nutze einfach einen Standard .htaccess User, den ich auch in der Login-Meldung am Bildschirm anzeige. Das geschieht ganz einfach über AuthName. Somit sieht jeder meiner Schreiberlinge wie er sich einloggen kann und die Bots sind ausgesperrt. Die sind ja nur darauf programmiert sich über die wp-login.php Zugang zu beschaffen.

Das Ganze funktioniert bestens. Seit dem ich diese Lösung online habe, hat es kein Bot mehr bis zum WordPress Login geschafft. Das erhöht extrem die Sicherheit meiner WP-Installationen und spart sehr viel an Systemressourcen. Perfekt!
Mit einer Texterin hab ich die Sperre auch schon durchgespielt. Stellt überhaupt kein Problem für sie dar.

So gehts

Für diesen Schutz benötigt ihr zwei Dateien. Nämlich die .htaccess und die .htpasswd. Die erstere Datei ist ja schon bei jedem WordPress System vorhanden.
In der .htaccess müsst ihr lediglich folgenden Code ganz oben einfügen:

ErrorDocument 401 default
# Sichere wp-login.php
‹Files wp-login.php›
AuthName "Anmelden mit Benutzer: heimlich und Passwort: anmelden"
AuthType Basic
AuthUserFile /$path$/.htpasswd
require valid-user
‹/Files›

Ich habe hier einfach „heimlich“ als Benutzer und „anmelden“ als Passwort verwendet. Das könnt ihr so übernehmen, oder auch nach Belieben ändern.
$path$ müsst ihr mit dem absoluten Pfad zum WordPress Verzeichnis ersetzten. Könnte zb. so aussehen: /home/web15/public_html/

.htpasswd generieren lassen
.htpasswd generieren lassen

Die Datei .htpasswd müsst ihr neu erstellen und dann in euer WordPress-Root kopieren. Also dort hin wo die .htaccess auch liegt.
Den Inhalt für diese Datei könnt ihr euch hier generieren lassen. Den Text aus dem Feld Ergebnis kopiert ihr in eure neu erstellte .htpasswd Datei. Damit seid ihr auch schon fertig.

Hier sehr ihr nun wie der zusätzliche Login-Screen aussieht:

.htaccess Login
Bildschirm vor dem WordPress Login

Direkt in dem Fenster seht ihr den Hinweis auf den Benutzernamen und das Passwort für eure Autoren und WordPress Multisite Benutzer.
Gesichert und trotzdem für alle zugänglich.

Edit: Mehr über Sicherheit mit .htaccess findet ihr bei David.

Verfasst in: WordpressTags: , ,

Willst du an der Diskussion teilnehmen?


Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kommentar *

Name *
E-Mail *
Webseite