Work in Progress

Sicherheit fürs WordPress-Backend

WordPress macht es Hackern leicht: Das Backend ist stets über den gleichen Aufruf zu erreichen und der Standardnutzer „admin“ existiert wohl zu 90 Prozent in allen Installationen. Damit sind Tür und Tor weit genug geöffnet, um Unsinn anzustellen.

Um das Backend abzusichern könnte man nun natürlich aufwändige Plugins erwerben und / oder installieren und sicherlich mit reichlich Kopfzerbrechen eine Lösung finden. Aber warum das Rad neu erfinden, wenn es eine simple, aber ungemein effektive Lösung gibt, die in wenigen Schritten von jedem in wenigen Minuten selbst durchgeführt werden kann.

1. Eine .htpasswd-Datei erzeugen

Über einen kostenlosen Passwort-Generator erzeugt man zunächst einen Benutzernamen mit Passwort und speichert das Ergebnis zum Beispiel mit dem guten, alten Notepad++  in einer neuen Datei als .htpasswd ab.

2. Den Verzeichnispfad herausfinden

Zur Absicherung eines Verzeichnisses muss die exakte Ordnerstruktur angegeben werden. In aller Regel weiß man diese nicht auswendig, kann dies aber über einen php-Schnipsel herausfinden. Auch hierzu wird eine einfache Datei erzeugt und, etwa als „fullpath.php“, abgespeichert:

<?php
$dir = dirname(__FILE__);
echo "<p>Verzeichnisstruktur zur .htpasswd-Datei: " . $dir . "/wp-admin/.htpasswd</p>";
?>

Diese wird nun via FTP in das Hauptverzeichnis der Installation hochgeladen und entsprechend im Browser aufgerufen. Anschließend kann die Datei wieder entfernt werden.

3. Alles in einer .htaccess-Datei zusammenfügen

Jetzt benötigt man eine dritte Datei: Die .htaccess. Dort wird in der ersten Zeile „AuthUserFile“ die gerade ermittelte Struktur, die geschützt werden soll, angegeben, die übrigen folgenden Zeilen werden einfach übernommen:

AuthUserFile /www/xxxx/yyyyy/htdocs/zzzzzz/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthName „Password Protected Area“
AuthType Basic
<limit GET POST>
require valid-user
</limit>

Abschließend werden die .htaccess- und die .htpasswd-Datei in das „wp-admin“ – Verzeichnis hochgeladen. Wird nun das Backend aufgerufen, erscheint, bevor etwas anderes passiert, ein Fenster, über das sich der Benutzer zunächst authentifizieren muss. Einfach, aber effektiv.

 

Schwerpunkt: , ,