Ritter von .htaccess

Ein einfacher Weg WordPress etwas sicherer zu machen und dabei gleichzeitig den aktuellen Punkt 1 der Smilie-Wunschliste abzuarbeiten ist es, eine .htaccess-Datei im WordPress-Admin-Verzeichnis abzulegen und damit eine Passwortabfrage einzubauen, um lästige Besucher abzuwehren.

Wie geht das nun?

Eine ausführliche Anleitung findet ihr auf SELFHTML. Im Wesentlichen basiert der Schutz auf zwei Dateien, zum einen die Datei .htaccess, welche in das zu schützende Verzeichnis kommt und zum anderen auf die Datei .htpasswd, in welcher Username und das verschlüsselte Passwort stehen. Beide Dateien können mit einem Texteditor angelegt und anschließend auf den Server geladen werden.

Wer Shell-Zugriff besitzt, kann auch über das Programm htpasswd eine .htpasswd-Datei anlegen. Alternativ nutzt man einen Online-Generator dafür, wie er zum Beispiel hier zu finden ist.

Inhalt der beiden Dateien

Speicherort: .htpasswd

USERNAME:jd18zdgh7shuj

Speicherort: /wp-admin/.htaccess

AuthUserFile /SERVER_PFAD/.htpasswd
AuthGroupFile /dev/null
AuthName Intern
AuthType Basic
<Limit GET>
require user USERNAME
</Limit>

Damit es beim Kommentieren nicht zu Passwortabfragen kommt, müssen zwei Verzeichnisse vom .htaccess Schutz ausgenommen werden:

Speicherort: /wp-admin/css/.htaccess

Order Deny,Allow
Allow From All
Satisfy Any

Speicherort: /wp-admin/images/.htaccess

Order Deny,Allow
Allow From All
Satisfy Any

Die beiden .htaccess-Datein zum Schluss hebeln den Schutz für die beiden Verzeichnisse wieder aus. Der Punkt vor htaccess bzw. htpasswd muss gesetzt werden! Eine zwingende Voraussetzung, das der Schutz funktioniert, ist ein Apache Webserver und ein Provider, der diese Funktion aktiviert hat. Sollte das nicht der Fall sein, lohnt es sich nachzufragen.