Erfahren Sie, wie Sie den Ad­mi­nis­tra­ti­ons­be­reich Ihres WordPress-Blogs mit einem .htaccess-Ver­zeich­nis­schutz effektiv vor Hackern und Brute-Force-Angriffen schützen.

Sie können die Si­cher­heit Ihrer Website ver­bes­sern, indem Sie einen Pass­wort­wort­schutz mittels einer .htaccess-Datei für das Ver­zeich­nis /wp-admin und damit für die Datei wp-login.php ak­ti­vie­ren. An­schlie­ßend sind zum Aufruf des WordPress-Admins  zwei un­ter­schied­li­che Logins notwendig.

Managed Hosting für WordPress
Erstellen Sie Ihre Website mit AI, wir über­neh­men den Rest
  • Keine Vor­kennt­nis­se nötig dank be­nut­zer­freund­li­cher AI-Tools
  • Voll­stän­dig anpassbar mit Themes und Plugins
  • Einfache Updates und minimaler Admin-Aufwand

Was ist eine .htaccess-Datei?

Eine .htaccess-Datei ist eine Kon­fi­gu­ra­ti­ons­da­tei, mit der Sie ver­zeich­nis­spe­zi­fi­sche Ein­stel­lun­gen auf einem kom­pa­ti­blen Webserver (z.B. der im IONOS Hosting ver­wen­de­te Apache-Webserver) vornehmen können. Dazu zählt die Mög­lich­keit, Ver­zeich­nis­se auf dem Webspace mit einer Pass­wort­ab­fra­ge zu schützen.

Um eine .htacces-Datei zu erstellen benötigen Sie lediglich einen Text­edi­tor wie z.B. Notepad.

Ver­zeich­nis­schutz für /wp-admin ak­ti­vie­ren

Wenn Sie sich an Ihrem Dashboard anmelden, lädt WordPress die dafür be­nö­tig­ten Seiten – bzw. Dateien – aus dem Un­ter­ver­zeich­nis /wp-admin nach. Daher ist dies der geeignete Ort, um hier den Ver­zeich­nis­schutz ein­zu­rich­ten.

Bei ak­ti­vier­tem Ver­zeich­nis­schutz öffnet sich nach dem Klick auf den Anmelde-Button bereits ein zu­sätz­li­ches An­mel­de­fens­ter. Das sieht bspw. so aus:

Bild: WordPress Verzeichnisschutz
WordPress Ver­zeich­nis­schutz

Im Folgenden erfahren Sie, wie Sie diesen zu­sätz­li­chen Pass­wort­schutz für Ihren WordPress-Blog ein­rich­ten können.

Die Dateien .htaccess und .htpasswd erstellen

Für die Umsetzung ist zu­sätz­lich zur .htaccess auch eine Datei mit Namen .htpasswd er­for­der­lich. Diese enthält den (oder die) Be­nut­zer­na­men und das zu­ge­hö­ri­ge Passwort. Beginnen Sie jedoch zunächst mit der Er­stel­lung der .htaccess-Datei:

Wenn Sie bereits eine .htaccess-Datei verwenden: Falls Sie schon aus anderen Gründen eine eigene .htaccess für das Ver­zeich­nis /wp-admin nutzen, dann würden Sie diese im weiteren Verlauf dieser Anleitung über­schrei­ben. Sie können jedoch Ihre bisherige .htaccess einfach her­un­ter­la­den, dort die neuen Zeilen ergänzen, diese anpassen und die Datei dann wieder hochladen.

.htaccess erstellen
  • Erstellen Sie mittels einem Text­edi­tor lokal auf Ihrem PC eine Datei namens .htaccess (der Punkt ist wichtig!)

  • Kopieren Sie die nach­fol­gen­den Code-Zeilen in Ihre .htaccess-Datei hinein:

AuthType Basic
AuthName "Passwortgeschützter Bereich"
AuthUserFile /homepages/xx/xxxxxxxxx/htdocs/[Ordner]/wp-admin/.htpasswd
require user [Username]

Pfad zur WordPress-In­stal­la­ti­on eintragen

Jetzt ist es noch notwendig, dass Sie den kopierten Code an Ihre WordPress-In­stal­la­ti­on anpassen:

  • Die Zei­chen­fol­ge /homepages/xx/xxxxxxxxx/htdocs/ steht ex­em­pla­risch für das Document Root, also den absoluten Pfad zu Ihrer Internet-Präsenz (d.h. die oberste Ver­zeich­nis­ebe­ne). Diesen können Sie in Ihrem Control-Center her­aus­fin­den.
  • Ersetzen Sie [Ordner] durch den Ver­zeich­nis­pfad, unter dem sich Ihre WordPress-In­stal­la­ti­on befindet. Wenn sie Ihren WordPress-Blog bspw. in einem gleich­na­mi­gen Ver­zeich­nis “wordpress” in­stal­liert haben, ersetzen Sie “[Ordner]” mit wordpress. Achten Sie dabei auf Groß- und Klein­schrei­bung.
  • Den Text [Username] ersetzen Sie durch einen be­lie­bi­gen Usernamen, zum Beispiel usertest oder ähnlich. Sie können, um mehreren Leuten den Zugang zu er­mög­li­chen, auch mehrere Namen durch Leer­zei­chen getrennt angeben.
  • Den Text Pass­wort­ge­schütz­ter Bereich können Sie durch einen be­lie­bi­gen Text ersetzen, zum Beispiel Nur für Insider oder ähnliches.

Die be­ar­bei­te­te .htaccess könnte dann bspw. so aussehen:

Bild: .htaccess-Datei
.htaccess-Datei

.htpasswd erstellen

Erstellen Sie auf Ihrem PC eine neue Datei mit dem Namen .htpasswd (Punkt nicht vergessen).
Tragen Sie dort den (oder die) Be­nut­zer­na­men mit Passwort in der folgenden Form ein:

[Username]:[VerschlüsseltesPasswort]

Das ver­schlüs­sel­te Passwort können Sie leicht online selbst ge­ne­rie­ren. Geben Sie dazu den Such­be­griff ".htpasswd ge­ne­rie­ren" in eine Such­ma­schi­ne ein und es werden Ihnen Tools und Webseiten vor­ge­schla­gen, mit denen Sie das ver­schlüs­sel­te Passwort schnell selbst ge­ne­rie­ren können.

Falls Sie mehrere Benutzer ein­rich­ten, muss jeder Be­nut­zer­na­me in einer neuen Zeile beginnen.

Das folgende Beispiel enthält die Benutzer user und test:

Bild: .htpasswd-Datei
.htpasswd-Datei

.htaccess und .htpasswd auf Webspace hochladen

Nachdem Sie die .htaccess und .htpasswd erstellt und angepasst haben, müssen Sie diese noch in das Ver­zeich­nis /wp-admin unterhalb Ihres WordPress-Ver­zeich­nis­ses auf dem Webspace hochladen. Der Pass­wort­schutz ist dann sofort aktiv.

Wichtig: Laden Sie diese beiden Dateien im ASCII (Text)-Modus (eine ent­spre­chen­de Option sollte in Ihrem FTP-Programm enthalten sein, wenn nicht, wird es au­to­ma­tisch richtig gemacht) in die Ordner auf Ihrem Webspace hoch.

Hochladen mit FileZilla

Im Folgenden zeigen wir Ihnen am Beispiel des FTP-Pro­gram­mes FileZilla, wie Sie Daten auf Ihren Webspace hochladen können.

  • Starten Sie FileZilla.
  • Rufen Sie dort über Be­ar­bei­ten > Ein­stel­lun­gen die Ein­stel­lun­gen auf und stellen Sie hier im Un­ter­punkt Über­tra­gun­gen > Da­tei­ty­pen als Standard-Trans­fer­typ ASCII ein. Der Dateityp txt ist bei den Da­tei­ty­pen bereits vor­ein­ge­stellt.
Bild: FileZilla Upload-Fenster
Hochladen mit FileZilla
  • Klicken Sie zum Speichern auf OK.
  • Tragen Sie Ihre FTP-Zu­gangs­da­ten ein und klicken Sie auf Verbinden
Bild: FileZilla - mit Server verbinden
Hochladen mit FileZilla: Mit Server verbinden
  • FTP-Ver­bin­dung zum Webspace her­stel­len:
    • - Server: Autom. ein­ge­rich­te­te IONOS Subdomain
    • - Be­nut­zer­na­me: Ihr FTP-Be­nut­zer­na­me
    • - Passwort: Ihr FTP-Passwort
    • - Port: Keine Angabe notwendig
  • Suchen und öffnen Sie auf dem Webspace das Ver­zeich­nis /wp-admin (A) und kopieren Sie die .haccess– und .htpasswd-Datei von Ihrem PC in das Ver­zeich­nis, indem Sie diese mit der Maus dorthin ziehen (B):
Bild: Dateien auswählen und hochladen
Dateien auswählen und hochladen

Der Pass­wort­schutz ist an­schlie­ßend sofort aktiv. Falls Sie diesen später de­ak­ti­vie­ren möchten, löschen Sie die .haccess– und htpasswd-Dateien aus dem Ver­zeich­nis auf Ihrem Webspace.

SSL-Zer­ti­fi­kat-Checker

Sollte der Pass­wort­schutz nicht funk­tio­nie­ren

Sollte der Pass­wort­schutz nicht funk­tio­nie­ren, sind das die häu­figs­ten Feh­ler­quel­len:

  • Ist der in der Datei “.htaccess” an­ge­ge­be­nen Dateipfad zur Datei “.htpasswd” korrekt angegeben?
  • Stimmen der bzw. die Be­nut­zer­na­me(n) in der Datei “.htaccess” und “.htpasswd wirklich überein (Groß- Klein­schrei­bung beachtet)?
  • Haben Sie das Passwort auch in der ver­schlüs­sel­ten Form (crypt) in die Datei .htpassd angegeben?
  • Haben Sie die Dateien in das richtige Ver­zeich­nis (/wp-admin) hoch­ge­la­den?
  • Haben Sie das Passwort auch in der ver­schlüss­ten Form in die Datei .htpassd angegeben?
Zum Hauptmenü