Tutorial – Wir erstellen eine Webseite/Homepage – WordPress Login absichern (#5.1)

Nachdem wir im letzten Beitrag die WordPress Software auf unserem Webspace installiert haben ist nun ein geeigneter Zeitpunkt gekommen einige Sicherheitsvorkehrungen zu treffen. Nicht wenige Blogs hatten schon einmal das Vergnügen mit unangenehmen Cyber-Attacken wie bspw. einem Brute-Force-Angriff, bei dem es die Angreifer auf das “Knacken” der angelegten WordPress-Logindaten abgesehen haben. Bei einem Brute-Force-Angriff werdem vom Angreifer in kürzester Zeit Massen an Nutzer- und Passwortkombinationen


an die Loginschnittstelle des Blogs gesendet. Ein gut gewähltes Passwort aus Gross- und Kleinbuchstaben sowie Sonderzeichen und Zahlen sollte einem solchen Angriff standhalten, allerdings kann es durch die Angriffswelle vorkommen, dass der Server auf dem sich die Webseite befindet dem ständigen Datenfluss nicht mehr standhalten kann. Die Folge ist eine Nichterreichbarkeit der Webseite und Frust beim Blogbetreiber (ich spreche aus Erfahrung ;)).

In diesem Beitrag stelle ich euch 2 einfache Methoden vor, mit denen Ihr euren Blog sicherer gestalten könnt, um es potentiellen Angreifern schwerer zu machen Eure Logininformationen zu entschlüsseln.

Öffentlich angezeigten Namen abändern

Eine Standardeinstellung in WordPress ist die Tatsache, dass der bei der Installation gewählte Loginnutzername gleichzeitig auch der Name ist, der öffentlich angezeigt wird sobald man die ersten Artikel im Blog postet.

Screenshot öffentlicher Name - WordPress Blog
Screenshot öffentlicher Name – WordPress Blog

Das ist natürlich alles andere als ideal, den potentiellen Angreifern einen Teil der Nutzername/Passwort-Kombination öffentlich zugänglich zu machen. Deshalb sollte Sie hier gleich zu Anfang Vorkehrungen treffen und den öffentlich angezeigten Namen ändern.

dein profilDazu loggen wir uns in unseren WordPress-Blog ein und klicken links in der Navigation auf “Benutzer” und anschliessend auf “Dein Profil”. Hier können wir nun unterschiedliche Einstellungen bezüglich Kontaktinformationen, eMail, Social-Media oder auch Passwortänderungen vornehmen.

Nach kurzem Scrollen haben wir auch die Möglichkeit einen Vornamen, Nachnamen sowie Spitznamen anzugeben. Der bei der Installation gewählte Benutzername kann hingegen nicht mehr verändert werden.

Vorname, Nachname, Spitzname ändern
Vorname, Nachname, Spitzname ändern

Wenn man allerdings Vorname, Nachname und Spitzname dort ausfüllt, kann man im Scrollmenue “Öffentlicher Name” einen anderen als den Loginusernamen auswählen und hat so mit einem einfachen Schritt seinen Blog sicherer gemacht. Denn der hier ausgewählte Name ist danach nicht mehr gleichzeitig auch der Admin-Login-Username für den Blog.

Weitere Massnahmen

Neben dem Ändern des öffentlich angezeigten Nutzernamen lohnt sich eine weitere Massnahme zum Schutz Ihres WordPress-Logins. Es gibt eine Reihe von Plugins, die vor Hackerangriffen schützen sollen. Beispielsweise sperrt das Plugin “Limit Login Attempts” IP-Adressen, die zu oft hintereinander eine falsche Benutzer/Passwort-Kombination in die Login-Eingabemaske des Blogs eingetragen haben. Hört sich auf den ersten Blick gut an, ich finde dieses Plugin jedoch nicht so hilfreich.


Angreifer verfügen meist sowieso über eine grosse Anzahl an unterschiedlichen IPs, von denen die Angriffe gesteuern werden. Ist die eine IP Adresse gesperrt, wird einfach mit einer weiteren der Angriff fortgesetzt. Das kann dann endlos so weiter gehen, bis die Daten geknackt worden sind oder der Angreifer keine Lust mehr hat. Ich habe mich dann gefragt, wieso sollte einem Angreifer überhaupt der Zugang zur Loginmaske gestattet werden? Wieso sollte ich Dritten überhaupt die Möglichkeit geben sich in meinen Admin-Bereich einloggen zu können? Ich sehe da keinen guten Grund und empfehle die “wp-login.php” bzw. den Admin Bereich mittels htaccess zu schützen.

Hierzu müssen im Prinzip nur 2 Dateien in das Hauptverzeichnis der WordPress-Installation hochgeladen werden. Danach ist der Login-Bereich nur noch nach voriger Authentifizierung erreichbar.

htaccess/htpasswd Dateien erstellen

Zunächst hier wieder eine sehr kleine Liste der benötigten Hilfsprogramme ;):

Im ersten Schritt erstellen wir 3 einfache Textdateien auf unserem Computer (entweder mittels Rechtsklick –> Neu –> Textdokument oder im NotePad++ Editor) und benennen diese nacheinander in “htpasswd”, “htaccess” und “serverpfad_ermitteln.php” um. Danach wechseln wir in unseren Web-Browser und besuchen die Webseite: http://www.htaccesstools.com/htpasswd-generator/

Screenshot htpasswd erstellen - htaccesstools.com
Screenshot htpasswd erstellen – htaccesstools.com

Hier nun einfach einen Benutzernamen und das gewünschte Passwort eintragen, danach auf den Button “Create .htpasswd file” klicken.

Screenshot htpasswd Code - htaccesstools.com
Screenshot htpasswd Code – htaccesstools.com

Den soeben erstellten Code kopieren und in die auf dem Computer erstellte htpasswd-Textdatei einfügen und danach abspeichern.

In die erstellte htaccess-Datei anschliessend folgenden Code einfügen:

<Files wp-login.php>
  AuthName “Admin Bereich”
  AuthType Basic
  AuthUserFile ~/.htpasswd
  Require valid-user
</Files>
 
<FilesMatch “(\.htaccess|\.htpasswd)>
  Order deny,allow
  Deny from all
</FilesMatch>

Jetzt muss hier lediglich noch der Serverpfad für die htpasswd-Datei richtig angegeben werden. Hier müssen wir in Zeile 4 “~/.htpasswd” gegen den eigentlichen Serverpfad ersetzen in dem auch die “wp-login.php” Datei auf dem Webspace liegt. Solltet Ihr den Serverpfad nicht kennen, könnt Ihr diesen mit Hilfe eines kleinen PHP-Scripts anzeigen lassen.

Serverpfad anzeigen lassen

Dazu folgenden Code in die zuvor erstellte Datei “serverpfad_ermitteln.php” einfügen und abspeichern.

<?php
$dir = dirname(__FILE__);
echo “” . $dir ./.htpasswd” . “”;
?>

Danach in das Programm FileZilla wechseln, eine Verbindung zum Webspace herstellen und die 3 soeben erstellten Dateien zunächst folgendermaßen umbenennen:

Aus htpasswd.txt –> .htpasswd (Der Punkt am Anfang ist gewollt!)
Aus htaccess.txt –> .htaccess (Der Punkt am Anfang ist gewollt!)
Aus serverpfad_ermitteln.php.txt –> serverpfad_ermitteln.php

Screenshot Dateien umbenennen - FileZilla
Screenshot Dateien umbenennen – FileZilla

Anschliessend alle Dateien in das gleiche Verzeichnis hochladen, in dem auch die Datei “wp-login.php” liegt.

Screenshot Datein hochladen - FileZilla
Screenshot Datein hochladen – FileZilla

Nun einen Web-Browser öffnen und die serverpfad_ermitteln.php Datei in diesem aufrufen. Also einfach “http://deinedomain.de/serverpfad_ermitteln.php” im Browser aufrufen (bzw. den Unterordner aufrufen, in dem die Datei auf dem Webspace abgelegt wurde). Daraufhin sollten Wir einen Pfad ausgegeben bekommen, wie unten auf dem Screenshot zu sehen:

Screenshot Serverpfad ermitteln
Screenshot Serverpfad ermitteln

Diesen Pfad komplett markieren, kopieren und anschliessend wiederum in das Programm FileZilla wechseln. Hier die “.htaccess”-Datei auf dem Webspace mit einem Rechtsklick auf “Ansehen/Bearbeiten” öffnen und den soeben kopierten Serverpfad gegen den Platzhalter “~/.htpasswd” ersetzen.

Die Codezeile sollte dann unserem Beispiel nach folgendermaßen aussehen:

AuthUserFile /srv/www/htdocs/web18/html/html/.htpasswd

Zum Schluss muss die Datei nur noch abgespeichert und wieder hochgeladen werden. Um zu testen ob alle Schritte korrekt ausgeführt wurden einfach mal die Login-Page des WordPress Blogs öffnen. Sollte sich folgende Servermeldung vor den Loginbildschirm schieben, haben Wir alles richtig gemacht.

Screenshot Authentifizierung
Screenshot Authentifizierung

Video-Tutorial

Alle die sich das Ganze für ein besseres Verständnis nochmal in bewegtem Bild ansehen wollen, können dies hier tun:

Alle Artikel der Serie

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)

3 thoughts on “Tutorial – Wir erstellen eine Webseite/Homepage – WordPress Login absichern (#5.1)

Leave a Reply

Your email address will not be published. Required fields are marked *

*