Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Entwickler>htaccess für htpasswd einrichten

htaccess für htpasswd einrichten

barbagianni
barbagianni17.05.1617:43
Ich weiss nicht ob diese der richtige Ort ist für meine Frage.
wen nicht bitte einfach bescheid geben.


Ich habe eine Wordpress-Webseite auf einem Server (strato) gehostet und sie funktkoniert prima.
Nun jetzt würde ich sie gerne gegen Hacker-Angriffe mit htpasswd schützen.
Darüber habe ich einiges gelesen und wollte loslegen.

Mein Serverspace benutze ich für 5 Domains und für die jeweilige 5 Webseiten.

Auf der oberste Ebene, ausserhalb der Webseiten liegen eine .htuser, .htgroup und .htaccess diese wurden von Server erzeugt.
In den Ordner meiner Webseiten exisitert bereits auch jeweils eine htaccess.
Es sieht so aus:
Options -Indexes
DirectoryIndex index.html index.php default.html
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress



Frage: wo soll ich folgenden Code einfügen damit es bei Änderungen von Wordpress nichts verloren geht?
In welcher htaccess-Datei?
<Files wp-login.php>
AuthType Basic
AuthName "Hier kommt her nicht hinein"
AuthUserFile /path/to/.htpasswd ( Hier kommt den Pfad zu meiner .htpasswd )
Require valid-user
</Files>

Besten Dank
0

Kommentare

Jörg H.17.05.1618:08
Erstmal eine Frage: Was hast du überhaupt vor? Willst du deine gesamte Wordpress-Installation mit einem Passwort absichern?

Wenn ja, dann muss der Auth-Code-Snippet in die .htaccess des Rootverzeichnisses deiner Wordpress-Installation.
0
barbagianni
barbagianni17.05.1620:50
Hallo,
ich habe vor folgendes vor:
Bevor man auf die eigentliche Wordpress Maske für die Angabe der User und Passwort von Wordpress Admin bereich die sich unter www.meindomain.de/wp-login.php befindet, möchte ich eine zusätzliche User und Passwortanfrage einbauen.
0
Jörg H.18.05.1607:48
htaccess ist ein Verzeichnisschutz. Wenn du das nur für die Login-Seite anwenden möchtest, dann musst du wp-login.php in ein eigenes Verzeichnis «schieben». Dafür gibt es Plugins.

Ich würde die ganze Aktion aus den folgenden Gründen lassen:

1. Wenn du dein Wordpress richtig abgesichert hast (ordentliche Usernamen und Passwörter, SSL, wenige Plugins, alles aktuell halten, Rechte richtig setzen, BackUps machen, Anzahl der Logins einschränken, evtl. Zwei-Wege-Authentifizierung, …), dann hast du alles gemacht, was man machen kann.

2. Änderungen an der Filestruktur, .htaccess, bedeutet auch immer, dass du bei Updates aufpassen musst.

3. Die größten Sicherheitsprobleme bei allen CMS entstehen durch falsche Dateirechte und manipulierte Plugins/Themes und nicht durch die Login-Seite. Deshalb teste deine Seite dahingehend.

4. Wenn deine Inhalte wirklich sehr wichtig sind, dann hole dir jemanden, der sich mit Sicherheitsfragen auskennt. Das selber zumachen reißt schnell größere Löcher auf, als man welche stopft.
0
arminhempel
arminhempel18.05.1608:34
Zusätzlich gibt es für Wordpress schöne Plugins, die sich um einen Großteil der Sicherheits-Feineinstellungen kümmern, zum Beispiel Wordfence.
0
suedmann
suedmann18.05.1608:43
Hallo

Ein anderer Ansatz wäre die Absicherung durch ein One Time Password. Ich habe das mit einem Yubi-Key , realisiert und natürlich gilt die Abfrage nur für die Anmeldung im Backend. Du kannst den Yubi-Key für beliebig viele Seiten einsetzen. Allerdings ist der Key nicht gerade ganz billig.

Für die Integration in die Wordpress-Installation gibt es entsprechende Plugins (z.B: ).

Das Plugin lässt übrigens auch die Integration von z.B. dem Google Authenticator zu. Damit wäre dann auch eine kostenlose Umsetzung möglich.

Vielleicht hilft dir das weiter?
0
JagDriver
JagDriver18.05.1609:07
Ich habe meine Websiten die auf Wordpress basieren ebenso via .htaccess geschützt. (ist eine empfohlene Methode)

Die folgenden Anweisungen habe ich nach dem #END Wordpress eingefügt (.htaccess im root folder). Keine Probleme damit bei Updates. Seit dem ist Ruhe mit unbefugten Loginversuchen.
Wichtig: die xmlrpc Schnittstelle ebenfalls sperren, sonst hast du weiterhin unbefugte Loginversuche. Wenn du den Zugriff für die Wordpress Apps aber zulassen willst, dann die Ausnahmen so wie unten angegeben.

# END WordPress


<Files wp-login.php>
  AuthName "Restricted Admin-Area"
  AuthType Basic
  AuthUserFile /pathToYourWordpressDirectory/.htusers
  Require valid-user
</Files>

<Files .htaccess>
 Order Allow,Deny
 Deny from all
</Files> 

<Files .htusers>
 Order Allow,Deny
 Deny from all
</Files>

<Files wp-config.php>
 Order Deny,Allow
 Deny from all
</Files>  

<IfModule mod_setenvif.c>
  <Files xmlrpc.php>
    BrowserMatch "Poster" allowed
    BrowserMatch "WordPress" allowed
    BrowserMatch "wp-iphone" allowed
    BrowserMatch "wp-android" allowed
    Order Deny,Allow
    Deny from All
    Allow from env=allowed
  </Files>
</IfModule>
0
barbagianni
barbagianni18.05.1611:13
Vielen dank, ich fnde trotzden die sicherung über die htaccess die bessere lösung.
JagDriver
sieht sehr versprechned aus, .... ich werden probieren sobald ich wieder Luft habe.

Besten Dank auch an alle andere für die Infos und für die Hinweisen auf die Plugins.
0
barbagianni
barbagianni07.06.1612:45
Hallo JagDriver,
vielen dank es hat perfekt funktioniert ... bis jetzt.
Mal abwarten wie es isch verhält bei Updates.

Ich habe allerdings die alte htaccess gesichert. Man weiß ja nie.

den Pfad AuthUserFile /pathToYourWordpressDirectory/.htusers
habe ich allerdings auf .htpasswd gesetzt.

Und die Users und Passworts mit diesem Tool verschlüsselt:
http://www.htaccesstools.com/htpasswd-generator/
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.