WordPress: Schutz des Administrationsbereiches (web-admin)

Der Administrationsbereich von WordPress ist standardmäßig unter dem Pfad /wp-admin zu erreichen. Das erleichtert die Angriffe auf Ihre Webseite, das Backend und Ihre Daten erheblich, denn der Zugang (Eingang) muss garnicht erst gesucht werden. Ein Angriff kann sofort und einfach beginnen. Meist wird dabei versucht, Ihr Passwort zu erraten oder alternative Benutzer (deren Namen man in Ihren Artikeln auf der Webseite findet) durchprobiert (Brute-Force-Angriffe). Ein guter, einfacher und kostenloser zusätzlicher Schutz ist die Zugangskontrolle durch Ihren eigenen Webserver. Dabei ist diese Methode durch eine .htaccess Datei auf den Apache Server ausgelegt. Der IIS unterstützt derzeit diese Technik nicht ohne Zusatzprogramme. Das folgende (kostenlos) PHP Script übernimmt die Erstellung der entsprechenden beiden Dateien (.htaccess und .htpasswd) für Sie. Dabei läuft das Programm direkt auf Ihrem Server und übermittelt keinerlei Daten. Natürlich erhalten Sie das uncodierte PHP Script im Sourcecode (Klartext) und können daher die Sicherheit kontrollieren. Ihre Fragen oder Wünsche nehmen wir immer gerne an und setzen sie um. Wir hoffen, Ihnen dadurch immer ein passendes und aktuelles Tool liefern zu können: Installation:

  1. Laden Sie sich das PHP Script herunter: Downloadseite für das PHP Tool (Freeware)
  2. Entpacken und speichern Sie das Script auf Ihrem WebServer im Verzeichnis /wp-admin
  3. Starten Sie das Programm durch Aufruf im Browser: http://www.ihr_server.de/wp-admin/wordpress-secure-admin.php
  4. Tragen Sie einen Benutzer und das gewünschte (geheime !) Passwort in die Felder ein und klicken Sie auf "Speichern".
  5. Bevor Ihnen das Formular wieder angezeigt wird, sehen Sie bereits die Schutzabfrage: Geben Sie den in Schritt 4 erstellen Benutzer und das Kennwort ein.
Deinstallation: Sie können den zusätzlichen Schutz jederzeit ohne Schaden für Ihre WordPress-Installation entfernen. Da weder das Script noch die .htaccess / .htpasswd Dateien weitere Daten auf die Festplatte oder in die Datenbank schreiben, reicht zum vollständigen Entfernen folgendes:
  • Öffnen Sie das Formular über die URL: http://www.ihr_server.de/wp-admin/wordpress-secure-admin.php
  • Klicken Sie unten auf dem Formular auf "Komplette Sicherung entfernen"
... oder manuell (z.Bsp. per FTP):
  • Löschen Sie im /wp-admin Verzeichnis die folgenden Dateien:
    • .htaccess
    • .htpasswd
    • wordpress-secure-admin.php
Hinweise: Möchten Sie einige der Unterverzeichnisse von wp-admin ("css" und "images") trotzdem freigeben, beachten Sie bitte auch unseren Artikel ".htaccess: Zugriff auf ein Unterverzeichnis erlauben". Dort beschreiben wir die .htacees Technik, die die Freigabe von Unterverzeichnissen innerhalb von geschützten Verzeichnissen erlaubt.