In diesem Beitrag zeige ich dir Schritt-für-Schritt, wie du deine WordPress-Webseite effektiv und einfach schützen kannst. Mithilfe der htaccess richten wir einen zweiten Passwortschutz über eine htpasswd-Datei ein. So wird der Login-Bereich deiner Website doppelt abgesichert.
Warum ist zusätzliche Sicherheit beim WordPress-Login sinnvoll?
Als beliebtes Content-Management-System ist WordPress Grundlage für viele Internetseiten und damit ein beliebtes Ziel von Hackern. Kümmerst du dich nicht weiter um die Sicherheit deiner Seite, kann das zum Problem werden. Wird deine Seite gehackt, hast du im schlimmsten Fall keinen Zugang mehr zu den Inhalten und sie wird mit Malware und Spam infiziert.
Dafür müssen Hacker allerdings erst einmal in das Backend deiner Website. Aber wer sich ein bisschen bemüht, der kennt den Standard-Login von WordPress. Er ist immer gleich, wenn er nicht geändert wird: www.deine-website.de/wp-admin. Mithilfe von sogenannten Brute–Force-Angriffen kann der Hacker dann versuchen, Benutzername und Passwort deiner Webseite zu knacken. Und auch vermeintlich sichere Passwörter können so über kurz oder lang in die falschen Hände gelangen. Zusätzliche Sicherheit ist nie verkehrt. Und Hackern sollte man es immer so schwer wie möglich machen.
Dabei ist es eigentlich sehr einfach, einen effektiven, serverseitigen Schutz für deine Website einzurichten. So kommen Hacker erst gar nicht auf deine Login-Seite und Angriffe können nicht einfach ausgeführt werden. Unsinn mit deinen Login-Daten und deiner Internetseite kann dann auch keiner anstellen. Und das Beste: Dafür benötigst du keine fortgeschrittenen IT- oder Software-Kenntnisse. Lediglich einen FTP-Zugang, einen Text-Editor und den Pfad zu deiner Webseite.
Wie sichere ich meine WordPress-Webseite mit einer htpasswd ab?
Eine htpasswd mit verschlüsseltem Passwort erstellen
Um eine htpasswd-Datei zu erstellen benötigen wir einen Text-Editor. Das Microsoft Standard-Programm „Editor“ ist unter Windows bereits vorinstalliert. Alternativ funktionieren auch Programme wie das kostenlose Notepad++. Hinweis: Es funktioniert nicht mit Textbearbeitungsprogrammen wie Word oder OpenOffice.
Öffne den Editor und diesen Htpasswd Generator. Gib im Feld Username deinen gewünschten Login ein und im Feld Password dein gewünschtes Passwort. Drücke den Create-Button. Aus dem Benutzer „Lisa“ und dem gewählten Passwort wird so folgender verschlüsselte Code:
Lisa:$apr1$fkj75x9m$ihfKWAONQdheYakNpwZzR/
Kopiere den Code in den geöffneten Editor. Wenn du mehrere Benutzer mit verschiedenen Passwörtern anlegen willst, kopiere einfach jedes so verschlüsselte Passwort in eine neue Zeile. Anschließend speicherst du die Datei als „.htpasswd“ (punkthtpasswd) ab. Im Microsoft Editor unter Speichern unter wählst du bei Dateityp „Alle Dateien“ und gibst in das Feld Dateiname nun „.htpasswd“ ein, allerdings ohne die Anführungsstriche. Speichere die Datei auf deinem Computer.
Serververbindung mit FTP-Zugangsdaten herstellen
Als nächstes benötigst Du einen FTP-Zugang von deinem Hoster. Dieser gibt dir Zugang zu deinem Fileserver. FTP-Zugangsdaten bekommst du direkt von deinem Provider. Im Kundenlogin kannst du die entsprechenden Daten auch selbst herausfinden. Du benötigst einen FTP oder besser SFTP-Zugang. Dieser besteht aus folgenden Daten: Server und gegebenenfalls die Portnummer, Benutzername und Passwort.
Als nächstes installierst du ein FTP-Programm auf deinem Computer. Ich kann dir das kostenlose FTP-Programm FileZilla empfehlen. Einfach die aktuelle Version des FileZilla Client downloaden und installieren. Mit den FTP-Zugangsdaten stellst du anschließend eine Verbindung zum Server her.
htaccess und htpasswd verbinden
Als nächstes suchst du auf dem Server nach dem Hauptverzeichnis deiner WordPress-Installation. Dort sollte es neben den Ordnern wp-admin, wp-content und wp-includes eine Reihe verschiedener Dateien geben. Eine davon ist die .htaccess (punkthtaccess).
Lade die Datei auf deinen Computer runter, erstelle eine Sicherheitskopie mit anderem Namen und öffne das Original mit deinem Editor. Die Datei sollte bereits einige Zeilen Code enthalten, den wir so lassen wie er ist. Füge vor dem bestehenden Code folgende Zeilen Code ein:
<Files wp-login.php>
AuthName "Admin-Bereich"
AuthType Basic
AuthUserFile der/pfad/zu/deiner/wordpress/installation/.htpasswd
require valid-user
</Files>
<FilesMatch "(.htaccess|.htpasswd)">
Order allow,deny
Deny from all
</FilesMatch>
<files wp-config.php>
Order allow,deny
Deny from all
</files>
Pfad zur htpasswd-Datei ändern
In der vierten Zeile hinter AuthUserFile musst du jetzt nur noch den Pfad zu deiner htpasswd eintragen. Mit dem FTP-Zugang kopieren wir später sowohl die htaccess als auch die htpasswd wieder auf deinen Server ins Hauptverzeichnis deiner WordPress-Installation. Den Pfad zu diesem Verzeichnis finden wir im Dashboard deiner Website.
Log dich jetzt ins Backend deiner WordPress-Webseite ein. Im Dashboard unter Werkzeuge – Website Zustand findest du rechts neben Status den Punkt Berichte. Öffne dort den Unterpunkt Verzeichnisse und Größen und kopiere den Pfad neben dem Punkt Ort des WordPress-Verzeichnisses. Füge diesen Pfad in der vierten Zeile statt der/pfad/zu/deiner/wordpress/installation hinter AuthUserFile und direkt vor /.htpasswd ein. Speichern nicht vergessen.
htpasswd und htaccess auf den Server hochladen
Stelle mittels FTP-Zugang noch einmal eine Verbindung zu deinem Webserver her und kopiere beide Dateien (.htpasswd und .htaccess) zurück ins Hauptverzeichnis deiner WordPress-Installation. Die bestehende htaccess-Datei wird dabei überschrieben.
Und das wars schon. Wenn du dich in das Backend deiner Website einloggen willst, öffnet sich ein separates Login-Feld. Dort gibst du deinen gewählten Benutzernamen samt Passwort ein. Anschließend wirst du bei erfolgreicher Eingabe zum eigentlichen WordPress-Login weitergeleitet.