Hallo zusammen,
ich wollte heute eine Webseite bzw. eine Domain in meinem Hostingpaket von Strato, die ich lange deaktiviert hatte, nach fast 8 Jahren wieder reanimieren
Sehe aber gerade, dass die htaccess und htpaswd die ich als erste Barriere für die Wordpress-Login-Seite eingebaut hatte nicht mehr funktioniert, Intenal Server error.

Es hat früher so ausgesehen: <Files wp-login.php>
AuthName "Restricted Admin-Area"
AuthType Basic
AuthUserFile /home/strato/www/we(das sind die ersten 2 Buchstaben des Domain)/www.webseite-a.de/htdocs/webseite-a/.htpasswd
Require valid-user
</Files>

<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>

<Files .htusers>
Order Allow,Deny
Deny from all
</Files>

<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>

Hat jemand eine Idee, wie aktuell den Pfad aussehen sollte? Ich versuche es seit 3 Stunden zu lösen.
Was ich finden könnte und das bei mir nicht funktioniert ist das direkt bei Strato:

Keine Ahnung ob es wirklich am Pfad liegt, habe mich noch nie wirklich mit .htpasswd auseinandergesetzt. Um den genauen Pfad rauszufinden könntest du eine PHP Datei in das Verzeichnis legen.
Inhalt:
Dann die Datei im Browser aufrufen und der Pfad wird dir angezeigt.

Ich hatte damit auch probiert. Er gibt ein Pfad raus aber es funktioniert nicht. Ich denke ich schalte alle Plugin in Wordpress aus und teste es weiter.
Danke

Bei mir liegt die .htpasswd im Strato-Root und ist damit für alle unter diesem Account gehosteten Domains gültig
AuthUserFile /home/strato/www/we(das sind die ersten 2 Buchstaben des Domain)/www.webseite-a.de/htdocs/.htpasswd

a) Keine Ahnung, ob bei Strato die htpasswd-Datei in ein Unterverzeichnis verschoben werden darf…

b) we(das sind die ersten 2 Buchstaben des Domain): das stimmt nur, wenn es wirklich nur eine Domain in dem Vertrag gegeben hat. Wenn du www.hilfe.de als erste Hauptdomain bei Strato in dem Paket gebucht hast (auch wenn Du sie nicht mehr hast), dann wäre /hi/ der korrekte Verzeichnisname für alle weiteren Domains

Das würde ich auch so nicht mehr machen, wenn es nur um das Login geht, sofern wir hier vom Admin oder anderen Benutzern reden.
Zuerst bitte die Login URL abändern, so das diese nicht mehr Default ist. Dazu gibt es genügend Anleitungen im Netz. Wenn dies sauber funktioniert, dann aktiviere zusätzlich noch per Plugin 2FA.
https://www.strato.de/faq/hosting/mehr-sicherheit-mit-zwei-faktor-authentifizierung-in-wordpress/
Dazu vielleicht noch ein Plugin wie Wordfence oder ähnliches das Geo Blocking (Country Blocking) und automatische Blockierung von versuchten BruteForce Attacken blockiert (ip Block wenn x Anzahl Fehlversuche).
Gibt leider genügend Bots die im Hintergrund offene Schwachstellen oder alte WP Installationen abgrasen. Ohne Schutz bist du Ruck Zuck auf der Blacklist oder verteilst Spam.

Für das Login-Abändern benutze ich WPS Hide Login.
Als 2FA benutze ich WP 2F Two-factor authetification für wordPress

Ich dachte nicht, dass ein boot beide Hindernisse schnell überwinden kann.
Ich bekomme, die hinweise als Email von Limit Login Attempts Reloaded.
Mein vermutung ist dass einenr dieser Plugin nicht richtig funktioniert.

Vielleicht ist die ZEit gekommen z.B. einigen Plugin zu ersetzen wie das WP 2F Two-factor authetification für wordPress durch eines von Strato empfohlen.

Nicht das was Strato empfiehlt sondern Wordpress… das sollte deine erste Anlaufstelle sein!

Ich teste das Plugin "Two-Factor" eben von Strato, denn es steht "von WordPress.org-Mitwirkende"
Wenn jemand eine sicher funktionierende Lösung kennt, gerne.

Aber ich muss sagen, nachdem ich dieses Plugin installiert habe, haben sich die Anmeldeversuche aktuell gestoppt. Hoffe, dass es so bleibt

Danke für die Hilfestellung!

Normalerweise werden die Pfade in der .htaccess vom Ursprungsverzeichnis der Website ausgehend angegeben. Also dem Verzeichnis in dem sich die "index.php" befindet.

Schau mal hier vorbei:
https://blog.raidboxes.io/security/hide-wordpress-admin/