• Blogs

WordPress-Login (wp-admin) schützen: .htaccess-Passwort/Verzeichnisschutz

Erfahren Sie, wie Sie den Administrationsbereich Ihres WordPress-Blogs mit einem .htaccess-Verzeichnisschutz effektiv vor Hackern und Brute-Force-Angriffen schützen.

Sie können die Sicherheit Ihrer Website verbessern, indem Sie einen Passwortwortschutz mittels einer .htaccess-Datei für das Verzeichnis /wp-admin und damit für die Datei wp-login.php aktivieren. Anschließend sind zum Aufruf des WordPress-Admins  zwei unterschiedliche Logins notwendig.

Managed WordPress-Hosting mit IONOS!

Schneller, einfacher und sicherer. Hochgradig optimiertes WordPress-Hosting mit IONOS!

Kostenlose Domain
SSL-Zertifikat
24/7 Support

Was ist eine .htaccess-Datei?

Eine .htaccess-Datei ist eine Konfigurationsdatei, mit der Sie verzeichnisspezifische Einstellungen auf einem kompatiblen Webserver (z.B. der im IONOS Hosting verwendete Apache-Webserver) vornehmen können. Dazu zählt die Möglichkeit, Verzeichnisse auf dem Webspace mit einer Passwortabfrage zu schützen.

Um eine .htacces-Datei zu erstellen benötigen Sie lediglich einen Texteditor wie z.B. Notepad.

Verzeichnisschutz für /wp-admin aktivieren

Wenn Sie sich an Ihrem Dashboard anmelden, lädt WordPress die dafür benötigten Seiten – bzw. Dateien – aus dem Unterverzeichnis /wp-admin nach. Daher ist dies der geeignete Ort, um hier den Verzeichnisschutz einzurichten.

Bei aktiviertem Verzeichnisschutz öffnet sich nach dem Klick auf den Anmelde-Button bereits ein zusätzliches Anmeldefenster. Das sieht bspw. so aus:

WordPress Verzeichnisschutz
WordPress Verzeichnisschutz

Im Folgenden erfahren Sie, wie Sie diesen zusätzlichen Passwortschutz für Ihren WordPress-Blog einrichten können.

Die Dateien .htaccess und .htpasswd erstellen

Für die Umsetzung ist zusätzlich zur .htaccess auch eine Datei mit Namen .htpasswd erforderlich. Diese enthält den (oder die) Benutzernamen und das zugehörige Passwort. Beginnen Sie jedoch zunächst mit der Erstellung der .htaccess-Datei:

Wenn Sie bereits eine .htaccess-Datei verwenden: Falls Sie schon aus anderen Gründen eine eigene .htaccess für das Verzeichnis /wp-admin nutzen, dann würden Sie diese im weiteren Verlauf dieser Anleitung überschreiben. Sie können jedoch Ihre bisherige .htaccess einfach herunterladen, dort die neuen Zeilen ergänzen, diese anpassen und die Datei dann wieder hochladen.

.htaccess erstellen
  • Erstellen Sie mittels einem Texteditor lokal auf Ihrem PC eine Datei namens .htaccess (der Punkt ist wichtig!)

  • Kopieren Sie die nachfolgenden Code-Zeilen in Ihre .htaccess-Datei hinein:

AuthType Basic
AuthName "Passwortgeschützter Bereich"
AuthUserFile /homepages/xx/xxxxxxxxx/htdocs/[Ordner]/wp-admin/.htpasswd
require user [Username]

Pfad zur WordPress-Installation eintragen

Jetzt ist es noch notwendig, dass Sie den kopierten Code an Ihre WordPress-Installation anpassen:

  • Die Zeichenfolge /homepages/xx/xxxxxxxxx/htdocs/ steht exemplarisch für das Document Root, also den absoluten Pfad zu Ihrer Internet-Präsenz (d.h. die oberste Verzeichnisebene). Diesen können Sie in Ihrem Control-Center herausfinden.
  • Ersetzen Sie [Ordner] durch den Verzeichnispfad, unter dem sich Ihre WordPress-Installation befindet. Wenn sie Ihren WordPress-Blog bspw. in einem gleichnamigen Verzeichnis “wordpress” installiert haben, ersetzen Sie “[Ordner]” mit wordpress. Achten Sie dabei auf Groß- und Kleinschreibung.
  • Den Text [Username] ersetzen Sie durch einen beliebigen Usernamen, zum Beispiel usertest oder ähnlich. Sie können, um mehreren Leuten den Zugang zu ermöglichen, auch mehrere Namen durch Leerzeichen getrennt angeben.
  • Den Text Passwortgeschützter Bereich können Sie durch einen beliebigen Text ersetzen, zum Beispiel Nur für Insider oder ähnliches.

Die bearbeitete .htaccess könnte dann bspw. so aussehen:

.htaccess-Datei
.htaccess-Datei

.htpasswd erstellen

Erstellen Sie auf Ihrem PC eine neue Datei mit dem Namen .htpasswd (Punkt nicht vergessen).
Tragen Sie dort den (oder die) Benutzernamen mit Passwort in der folgenden Form ein:

[Username]:[VerschlüsseltesPasswort]

Das verschlüsselte Passwort können Sie leicht online selbst generieren. Geben Sie dazu den Suchbegriff ".htpasswd generieren" in eine Suchmaschine ein und es werden Ihnen Tools und Webseiten vorgeschlagen, mit denen Sie das verschlüsselte Passwort schnell selbst generieren können.

Falls Sie mehrere Benutzer einrichten, muss jeder Benutzername in einer neuen Zeile beginnen.

Das folgende Beispiel enthält die Benutzer user und test:

.htpasswd-Datei
.htpasswd-Datei

.htaccess und .htpasswd auf Webspace hochladen

Nachdem Sie die .htaccess und .htpasswd erstellt und angepasst haben, müssen Sie diese noch in das Verzeichnis /wp-admin unterhalb Ihres WordPress-Verzeichnisses auf dem Webspace hochladen. Der Passwortschutz ist dann sofort aktiv.

Wichtig: Laden Sie diese beiden Dateien im ASCII (Text)-Modus (eine entsprechende Option sollte in Ihrem FTP-Programm enthalten sein, wenn nicht, wird es automatisch richtig gemacht) in die Ordner auf Ihrem Webspace hoch.

Hochladen mit FileZilla

Im Folgenden zeigen wir Ihnen am Beispiel des FTP-Programmes FileZilla, wie Sie Daten auf Ihren Webspace hochladen können.

  • Starten Sie FileZilla.
  • Rufen Sie dort über Bearbeiten > Einstellungen die Einstellungen auf und stellen Sie hier im Unterpunkt Übertragungen > Dateitypen als Standard-Transfertyp ASCII ein. Der Dateityp txt ist bei den Dateitypen bereits voreingestellt.
FileZilla Upload-Fenster
Hochladen mit FileZilla
  • Klicken Sie zum Speichern auf OK.
  • Tragen Sie Ihre FTP-Zugangsdaten ein und klicken Sie auf Verbinden
FileZilla - mit Server verbinden
Hochladen mit FileZilla: Mit Server verbinden
  • FTP-Verbindung zum Webspace herstellen:
    • - Server: Autom. eingerichtete IONOS Subdomain
    • - Benutzername: Ihr FTP-Benutzername
    • - Passwort: Ihr FTP-Passwort
    • - Port: Keine Angabe notwendig
  • Suchen und öffnen Sie auf dem Webspace das Verzeichnis /wp-admin (A) und kopieren Sie die .haccess– und .htpasswd-Datei von Ihrem PC in das Verzeichnis, indem Sie diese mit der Maus dorthin ziehen (B):
Dateien auswählen und hochladen
Dateien auswählen und hochladen

Der Passwortschutz ist anschließend sofort aktiv. Falls Sie diesen später deaktivieren möchten, löschen Sie die .haccess– und htpasswd-Dateien aus dem Verzeichnis auf Ihrem Webspace.

SSL-Check

Sollte der Passwortschutz nicht funktionieren

Sollte der Passwortschutz nicht funktionieren, sind das die häufigsten Fehlerquellen:

  • Ist der in der Datei “.htaccess” angegebenen Dateipfad zur Datei “.htpasswd” korrekt angegeben?
  • Stimmen der bzw. die Benutzername(n) in der Datei “.htaccess” und “.htpasswd wirklich überein (Groß- Kleinschreibung beachtet)?
  • Haben Sie das Passwort auch in der verschlüsselten Form (crypt) in die Datei .htpassd angegeben?
  • Haben Sie die Dateien in das richtige Verzeichnis (/wp-admin) hochgeladen?
  • Haben Sie das Passwort auch in der verschlüssten Form in die Datei .htpassd angegeben?
  • Blogs

Ähnliche Artikel

WordPress Nutzer-Konto mit Google Authenticator schützen

WordPress Nutzer-Konto mit Google Authenticator schützen

Mit Google Authenticator können Sie die klassische Anmeldung an Ihrer WordPress-Website über Benutzername und Passwort mit einem zusätzlichen Sicherheitscode kombinieren. So erhöhen Sie die Sicherheit Ihrer Website.

WordPress Nutzer-Konto mit Google Authenticator schützen
So installieren und konfigurieren Sie den Apache für WordPress

So installieren und konfigurieren Sie den Apache für WordPress

Erfahren Sie, wie Sie den Apache für WordPress installieren und konfigurieren. In unserer Anleitung zeigen wir Ihnen, welche Anforderungen zu erfüllen sind und wie Sie den Apache für WordPress unter Linux (Ubuntu, Debian, RHEL, Fedora und CentOS) vorbereiten oder das Modul mod_rewrite aktivieren.

So installieren und konfigurieren Sie den Apache für WordPress
Zehn .htaccess-Tricks, die jeder kennen sollte

Zehn .htaccess-Tricks, die jeder kennen sollte

Sind Sie Webmaster eines Apache-Servers? Dann sollten Sie unbedingt von .htaccess Gebrauch machen. Die textbasierte Konfigurationsdatei stellt eine schnelle und einfache Methode dar, die Einstellungen des Servers zu verändern. Sie müssen lediglich wissen, wie Sie die Datei erstellen und ein paar .htaccess-Tricks anwenden, und die Konfiguration Ihres Servers kann beginnen.

Zehn .htaccess-Tricks, die jeder kennen sollte
robots.txt bei WordPress: So richten Sie die Datei einWillyam BradberryShutterstock

robots.txt bei WordPress: So richten Sie die Datei ein

Suchmaschinen nutzen Crawler, um neue Seiten zu finden und diese für die Suche zu indizieren. Was grundsätzlich eine gute Sache ist, wird störend, wenn auch Bereiche berücksichtigt werden, die nicht für die Öffentlichkeit gedacht sind. Mit robots.txt schließen Sie WordPress-Seiten für den Crawler aus. Wir erklären Ihnen, wie das geht.

robots.txt bei WordPress: So richten Sie die Datei ein
WordPress-Admin-Login: So loggen Sie sich bei WordPress ein

WordPress-Admin-Login: So loggen Sie sich bei WordPress ein

WordPress ist ein flexibles Content Management System, das sich vielfältig erweitern und konfigurieren lässt. Allerdings kann es verwirrend sein, wenn Funktionen zwischen verschiedenen WordPress-Installationen unterschiedlich sind. Wir zeigen, welche Fallstricke es bei der WordPress-Anmeldung gibt, und erklären, wie man als Nutzer oder Admin den WordPress-Login vereinfacht.

WordPress-Admin-Login: So loggen Sie sich bei WordPress ein