Ich weiss nicht ob diese der richtige Ort ist für meine Frage.
wen nicht bitte einfach bescheid geben.


Ich habe eine Wordpress-Webseite auf einem Server (strato) gehostet und sie funktkoniert prima.
Nun jetzt würde ich sie gerne gegen Hacker-Angriffe mit htpasswd schützen.
Darüber habe ich einiges gelesen und wollte loslegen.

Mein Serverspace benutze ich für 5 Domains und für die jeweilige 5 Webseiten.

Auf der oberste Ebene, ausserhalb der Webseiten liegen eine .htuser, .htgroup und .htaccess diese wurden von Server erzeugt.
In den Ordner meiner Webseiten exisitert bereits auch jeweils eine htaccess.
Es sieht so aus:



Frage: wo soll ich folgenden Code einfügen damit es bei Änderungen von Wordpress nichts verloren geht?
In welcher htaccess-Datei?

Besten Dank

Erstmal eine Frage: Was hast du überhaupt vor? Willst du deine gesamte Wordpress-Installation mit einem Passwort absichern?

Wenn ja, dann muss der Auth-Code-Snippet in die .htaccess des Rootverzeichnisses deiner Wordpress-Installation.

Hallo,
ich habe vor folgendes vor:
Bevor man auf die eigentliche Wordpress Maske für die Angabe der User und Passwort von Wordpress Admin bereich die sich unter www.meindomain.de/wp-login.php befindet, möchte ich eine zusätzliche User und Passwortanfrage einbauen.

htaccess ist ein Verzeichnisschutz. Wenn du das nur für die Login-Seite anwenden möchtest, dann musst du wp-login.php in ein eigenes Verzeichnis «schieben». Dafür gibt es Plugins.

Ich würde die ganze Aktion aus den folgenden Gründen lassen:

1. Wenn du dein Wordpress richtig abgesichert hast (ordentliche Usernamen und Passwörter, SSL, wenige Plugins, alles aktuell halten, Rechte richtig setzen, BackUps machen, Anzahl der Logins einschränken, evtl. Zwei-Wege-Authentifizierung, …), dann hast du alles gemacht, was man machen kann.

2. Änderungen an der Filestruktur, .htaccess, bedeutet auch immer, dass du bei Updates aufpassen musst.

3. Die größten Sicherheitsprobleme bei allen CMS entstehen durch falsche Dateirechte und manipulierte Plugins/Themes und nicht durch die Login-Seite. Deshalb teste deine Seite dahingehend.

4. Wenn deine Inhalte wirklich sehr wichtig sind, dann hole dir jemanden, der sich mit Sicherheitsfragen auskennt. Das selber zumachen reißt schnell größere Löcher auf, als man welche stopft.

Zusätzlich gibt es für Wordpress schöne Plugins, die sich um einen Großteil der Sicherheits-Feineinstellungen kümmern, zum Beispiel Wordfence.

Hallo

Ein anderer Ansatz wäre die Absicherung durch ein One Time Password. Ich habe das mit einem Yubi-Key , realisiert und natürlich gilt die Abfrage nur für die Anmeldung im Backend. Du kannst den Yubi-Key für beliebig viele Seiten einsetzen. Allerdings ist der Key nicht gerade ganz billig.

Für die Integration in die Wordpress-Installation gibt es entsprechende Plugins (z.B: ).

Das Plugin lässt übrigens auch die Integration von z.B. dem Google Authenticator zu. Damit wäre dann auch eine kostenlose Umsetzung möglich.

Vielleicht hilft dir das weiter?

Ich habe meine Websiten die auf Wordpress basieren ebenso via .htaccess geschützt. (ist eine empfohlene Methode)

Die folgenden Anweisungen habe ich nach dem #END Wordpress eingefügt (.htaccess im root folder). Keine Probleme damit bei Updates. Seit dem ist Ruhe mit unbefugten Loginversuchen.
Wichtig: die xmlrpc Schnittstelle ebenfalls sperren, sonst hast du weiterhin unbefugte Loginversuche. Wenn du den Zugriff für die Wordpress Apps aber zulassen willst, dann die Ausnahmen so wie unten angegeben.

Vielen dank, ich fnde trotzden die sicherung über die htaccess die bessere lösung.
JagDriver
sieht sehr versprechned aus, .... ich werden probieren sobald ich wieder Luft habe.

Besten Dank auch an alle andere für die Infos und für die Hinweisen auf die Plugins.

Hallo JagDriver,
vielen dank es hat perfekt funktioniert ... bis jetzt.
Mal abwarten wie es isch verhält bei Updates.

Ich habe allerdings die alte htaccess gesichert. Man weiß ja nie.

den Pfad AuthUserFile /pathToYourWordpressDirectory/.htusers
habe ich allerdings auf .htpasswd gesetzt.

Und die Users und Passworts mit diesem Tool verschlüsselt:
http://www.htaccesstools.com/htpasswd-generator/