WordPress-Login (wp-admin) schützen: .htaccess-Passwort/Verzeichnisschutz
Erfahren Sie, wie Sie den Administrationsbereich Ihres WordPress-Blogs mit einem .htaccess-Verzeichnisschutz effektiv vor Hackern und Brute-Force-Angriffen schützen.
Sie können die Sicherheit Ihrer Website verbessern, indem Sie einen Passwortwortschutz mittels einer .htaccess-Datei für das Verzeichnis /wp-admin und damit für die Datei wp-login.php aktivieren. Anschließend sind zum Aufruf des WordPress-Admins zwei unterschiedliche Logins notwendig.
- In Sekunden zur professionellen WordPress Website mit KI-Tools
- Jetzt bis zu 3x schneller dank SSD, Caching & optimierter Plattform
- Tägliche Sicherheits-Scans, DDoS-Schutz und 99,98 % Verfügbarkeit
Was ist eine .htaccess-Datei?
Eine .htaccess-Datei ist eine Konfigurationsdatei, mit der Sie verzeichnisspezifische Einstellungen auf einem kompatiblen Webserver (z.B. der im IONOS Hosting verwendete Apache-Webserver) vornehmen können. Dazu zählt die Möglichkeit, Verzeichnisse auf dem Webspace mit einer Passwortabfrage zu schützen.
Um eine .htacces-Datei zu erstellen benötigen Sie lediglich einen Texteditor wie z.B. Notepad.
Verzeichnisschutz für /wp-admin aktivieren
Wenn Sie sich an Ihrem Dashboard anmelden, lädt WordPress die dafür benötigten Seiten – bzw. Dateien – aus dem Unterverzeichnis /wp-admin nach. Daher ist dies der geeignete Ort, um hier den Verzeichnisschutz einzurichten.
Bei aktiviertem Verzeichnisschutz öffnet sich nach dem Klick auf den Anmelde-Button bereits ein zusätzliches Anmeldefenster. Das sieht bspw. so aus:
Im Folgenden erfahren Sie, wie Sie diesen zusätzlichen Passwortschutz für Ihren WordPress-Blog einrichten können.
Die Dateien .htaccess und .htpasswd erstellen
Für die Umsetzung ist zusätzlich zur .htaccess auch eine Datei mit Namen .htpasswd erforderlich. Diese enthält den (oder die) Benutzernamen und das zugehörige Passwort. Beginnen Sie jedoch zunächst mit der Erstellung der .htaccess-Datei:
Wenn Sie bereits eine .htaccess-Datei verwenden: Falls Sie schon aus anderen Gründen eine eigene .htaccess für das Verzeichnis /wp-admin nutzen, dann würden Sie diese im weiteren Verlauf dieser Anleitung überschreiben. Sie können jedoch Ihre bisherige .htaccess einfach herunterladen, dort die neuen Zeilen ergänzen, diese anpassen und die Datei dann wieder hochladen.
.htaccess erstellen
- Erstellen Sie mittels einem Texteditor lokal auf Ihrem PC eine Datei namens .htaccess (der Punkt ist wichtig!)
-
Kopieren Sie die nachfolgenden Code-Zeilen in Ihre .htaccess-Datei hinein:
AuthType Basic
AuthName "Passwortgeschützter Bereich"
AuthUserFile /homepages/xx/xxxxxxxxx/htdocs/[Ordner]/wp-admin/.htpasswd
require user [Username]
Pfad zur WordPress-Installation eintragen
Jetzt ist es noch notwendig, dass Sie den kopierten Code an Ihre WordPress-Installation anpassen:
- Die Zeichenfolge /homepages/xx/xxxxxxxxx/htdocs/ steht exemplarisch für das Document Root, also den absoluten Pfad zu Ihrer Internet-Präsenz (d.h. die oberste Verzeichnisebene). Diesen können Sie in Ihrem Control-Center herausfinden.
- Ersetzen Sie [Ordner] durch den Verzeichnispfad, unter dem sich Ihre WordPress-Installation befindet. Wenn sie Ihren WordPress-Blog bspw. in einem gleichnamigen Verzeichnis “wordpress” installiert haben, ersetzen Sie “[Ordner]” mit wordpress. Achten Sie dabei auf Groß- und Kleinschreibung.
- Den Text [Username] ersetzen Sie durch einen beliebigen Usernamen, zum Beispiel user, test oder ähnlich. Sie können, um mehreren Leuten den Zugang zu ermöglichen, auch mehrere Namen durch Leerzeichen getrennt angeben.
- Den Text Passwortgeschützter Bereich können Sie durch einen beliebigen Text ersetzen, zum Beispiel Nur für Insider oder ähnliches.
Die bearbeitete .htaccess könnte dann bspw. so aussehen:
.htpasswd erstellen
Erstellen Sie auf Ihrem PC eine neue Datei mit dem Namen .htpasswd (Punkt nicht vergessen).
Tragen Sie dort den (oder die) Benutzernamen mit Passwort in der folgenden Form ein:
[Username]:[VerschlüsseltesPasswort]
Das verschlüsselte Passwort können Sie leicht online selbst generieren. Geben Sie dazu den Suchbegriff ".htpasswd generieren" in eine Suchmaschine ein und es werden Ihnen Tools und Webseiten vorgeschlagen, mit denen Sie das verschlüsselte Passwort schnell selbst generieren können.
Falls Sie mehrere Benutzer einrichten, muss jeder Benutzername in einer neuen Zeile beginnen.
Das folgende Beispiel enthält die Benutzer user und test:
.htaccess und .htpasswd auf Webspace hochladen
Nachdem Sie die .htaccess und .htpasswd erstellt und angepasst haben, müssen Sie diese noch in das Verzeichnis /wp-admin unterhalb Ihres WordPress-Verzeichnisses auf dem Webspace hochladen. Der Passwortschutz ist dann sofort aktiv.
Wichtig: Laden Sie diese beiden Dateien im ASCII (Text)-Modus (eine entsprechende Option sollte in Ihrem FTP-Programm enthalten sein, wenn nicht, wird es automatisch richtig gemacht) in die Ordner auf Ihrem Webspace hoch.
Hochladen mit FileZilla
Im Folgenden zeigen wir Ihnen am Beispiel des FTP-Programmes FileZilla, wie Sie Daten auf Ihren Webspace hochladen können.
- Starten Sie FileZilla.
- Rufen Sie dort über Bearbeiten > Einstellungen die Einstellungen auf und stellen Sie hier im Unterpunkt Übertragungen > Dateitypen als Standard-Transfertyp ASCII ein. Der Dateityp txt ist bei den Dateitypen bereits voreingestellt.
- Klicken Sie zum Speichern auf OK.
- Tragen Sie Ihre FTP-Zugangsdaten ein und klicken Sie auf Verbinden
- FTP-Verbindung zum Webspace herstellen:
- - Server: Autom. eingerichtete IONOS Subdomain
- - Benutzername: Ihr FTP-Benutzername
- - Passwort: Ihr FTP-Passwort
- - Port: Keine Angabe notwendig
- Suchen und öffnen Sie auf dem Webspace das Verzeichnis /wp-admin (A) und kopieren Sie die .haccess– und .htpasswd-Datei von Ihrem PC in das Verzeichnis, indem Sie diese mit der Maus dorthin ziehen (B):
Der Passwortschutz ist anschließend sofort aktiv. Falls Sie diesen später deaktivieren möchten, löschen Sie die .haccess– und htpasswd-Dateien aus dem Verzeichnis auf Ihrem Webspace.
SSL-Zertifikat-Checker
Sollte der Passwortschutz nicht funktionieren
Sollte der Passwortschutz nicht funktionieren, sind das die häufigsten Fehlerquellen:
- Ist der in der Datei “.htaccess” angegebenen Dateipfad zur Datei “.htpasswd” korrekt angegeben?
- Stimmen der bzw. die Benutzername(n) in der Datei “.htaccess” und “.htpasswd wirklich überein (Groß- Kleinschreibung beachtet)?
- Haben Sie das Passwort auch in der verschlüsselten Form (crypt) in die Datei .htpassd angegeben?
- Haben Sie die Dateien in das richtige Verzeichnis (/wp-admin) hochgeladen?
- Haben Sie das Passwort auch in der verschlüssten Form in die Datei .htpassd angegeben?