Erik: htaccess und Wordpress-Login-Schutz

Hallo zusammen,

ich möchte den Admin-Login von Wordpress mit htaccess absichern.
Sobald ich aber in Wordpress die Option anschalte, Titel als URL zu nehmen (auch: "sprechende" URLs), ist meine Webseite offline, Browser (Firefox, Chrome) versuchen Umleitungen und bricht dann irgendwann ab.

Ich kann beide Code-Blöcke getrennt voneinander super einsetzen, bloß nicht zusammen. Die Reihenfolge ändert auch nichts.

Warum ist das so? Und was kann ich ändern, damit es klappt?

  
# BEGIN WordPress  
<IfModule mod_rewrite.c>  
RewriteEngine On  
RewriteBase /  
RewriteRule ^index\.php$ - [L]  
RewriteCond %{REQUEST_FILENAME} !-f  
RewriteCond %{REQUEST_FILENAME} !-d  
RewriteRule . /index.php [L]  
</IfModule>  
# END WordPress  
  
<Files wp-login.php>  
  AuthName "Wordpress Login"  
  AuthType Basic  
  AuthUserFile /anonymisierter/pfad/zur/.htpasswd  
  Require valid-user  
</Files>  

Vielen Dank und Grüße
Erik

  1. Warum ist das so? Und was kann ich ändern, damit es klappt?

    Keine Ahnung. Um das zu wissen habe ich zu wenig gesehen.

    Aber das hier:

    <Files wp-login.php>

    ist Unsinn, weil sich die meisten Angriffe auf Skripte beziehen, welche mit diversen Plugins im Ordner /wp-admin/ einziehen und nicht die eigentliche wp-login.php angreifen.

    Das

    AuthName "Wordpress Login"
      AuthType Basic
      AuthUserFile /anonymisierter/pfad/zur/.htpasswd
      Require valid-user

    also nach ~/wp-admin/.htaccess umziehen.

    Jörg Reinholz

    1. Hallo Jörg,

      Warum ist das so? Und was kann ich ändern, damit es klappt?

      Keine Ahnung. Um das zu wissen habe ich zu wenig gesehen.

      Was könnte ich an Informationen noch hinzufügen?
      Zugriff auf das Error-Log habe ich leider nicht.

      Aber das hier:

      <Files wp-login.php>

      ist Unsinn, weil sich die meisten Angriffe auf Skripte beziehen, welche mit diversen Plugins im Ordner /wp-admin/ einziehen und nicht die eigentliche wp-login.php angreifen.

      Das

      AuthName "Wordpress Login"
        AuthType Basic
        AuthUserFile /anonymisierter/pfad/zur/.htpasswd
        Require valid-user

      also nach ~/wp-admin/.htaccess umziehen.

      Davon wird auf diversen Seiten abgeraten, weil scheinbar keine saubere Trennung zwischen der Blog-Oberfläche und dem wp-admin Verzeichnis gibt.

      Im Moment geht es nur darum, Bruteforce-Attacken auf den Login zu unterbinden.

      Viele Grüße
      Erik

      1. Davon wird auf diversen Seiten abgeraten, weil scheinbar keine saubere Trennung zwischen der Blog-Oberfläche und dem wp-admin Verzeichnis gibt.

        Moin!

        Bei einem sauberen Wordpress schon. Plugins oder anderer Stuff, welcher das aufhebt, sollte deinstalliert werden, weil sich wordpress inzwischen dank der "ruhmreichen" Tätigkeit einiger Hobbyprogger zur Wurm- und Virenschleuder Nr. 2 (nach Installationen) nach Windows bzw. Nr. 1 (nach Infektionsverbreitung) entwickelt hat.

        Im Moment geht es nur darum, Bruteforce-Attacken auf den Login zu unterbinden.

        Hm. Da genügt htaccess alleine aber nicht. Auch htaccess ist vom Prinzip her Bruteforce-anfällig. Wenn es nur darum geht würde es wohl schon helfen mit einem einfachen sleep die Antwort der wp-login.php um 1 Sekunde zu verzögern. Bruteforce braucht bei guten Passwörtern sehr viele Versuche...

        Jörg Reinholz

  2. Vielleicht hilft der Link.

    playground.ebiene.de/adminbereich-in-wordpress-schuetzen/

    1. Vielleicht hilft der Link.

      playground.ebiene.de/adminbereich-in-wordpress-schuetzen/

      Danke!