WordPress mit .htaccess schützen

Wofür ein WordPress Verzeichnisschutz?

In der Regel sollen alle Bereiche Ihrer Website oder Ihres Webshops für jedermann zugänglich sein, aber es gibt Ausnahmen: Vielleicht möchten Sie Ihren WordPress Login-Bereich zusätzlich schützen oder Sie legen auf Ihrem Webspace Daten ab, auf die nicht jeder zugreifen soll. Wenn Sie Teile Ihrer Site unzugänglich machen wollen, benötigen Sie einen Verzeichnisschutz. Dieser sorgt dafür, dass der Zugriff zu bestimmten Bereichen der Website nur nach einer Passwortabfrage möglich ist. Einen solchen Verzeichnisschutz für WordPress richten Sie über die .htaccess-Datei ein.

Tutorial: WordPress-Verzeichnisschutz aktivieren

Um eine bestehende .htaccess-Datei zu öffnen, müssen Sie per FTP auf Ihren Webspace zugreifen. Dort sollten Sie die Datei direkt im obersten Verzeichnis der WordPress Installation finden. Sollte die Datei aus irgendeinem Grund doch nicht vorhanden sein, können Sie für WordPress .htaccess selbst erstellen. Über einen Texteditor kreieren Sie einfach eine neue Datei, die Sie .htaccess nennen. Achten Sie dabei darauf, dass diese Datei keine Dateiendung wie etwa .txt hat.

Die .htaccess-Datei bearbeiten

Egal ob Sie nun eine neue Datei erstellt haben oder auf eine bereits bestehende .htaccess zugreifen, Sie müssen folgenden Code in die Datei einfügen:

AuthType Basic

AuthName "Verzeichnisschutz"

AuthUserFile ABSOLUTERPFAD/.htpasswd

Require valid-user
                

Damit der Verzeichnisschutz funktioniert, müssen Sie noch folgende Dinge verändern:

1. Die Art der Authentifizierung können Sie auf Basic belassen. Mit dieser Einstellung kommen alle Browser zurecht.
2. Bei der Wahl des Namens für den geschützten Bereich haben Sie freie Wahl.
3. Sie müssen angeben, wo die Informationen zu Nutzernamen und Passwörtern zu finden sind. Hierfür ist der absolute Pfad notwendig, den Sie meist im Kundenkonto bei Ihrem Hosting-Anbieter einsehen können. Wenn Sie die entsprechende Datei nicht in das Root-Verzeichnis legen, müssen Sie noch die weitere Verzeichnisstruktur in den Pfad aufnehmen.
4. Schließlich legen Sie noch die Nutzernamen der Zugänge fest, welche auch in der Passwortdatei aufgeführt werden. Möchten Sie mehrere Nutzer anlegen, können Sie diese mit einem Leerzeichen voneinander trennen.

Um den absoluten Pfad zu ermitteln, können Sie sich auch eines Tricks bedienen. Dafür erstellen Sie eine PHP-Datei mit folgendem Inhalt (bitte den Code in eckige Klammern setzen, ganz an den Anfang < und ans Ende >):

<?php
echo dirname(__FILE__);
?>

Den Dateinamen können Sie frei wählen. Laden Sie die Datei auf Ihren Webspace, und zwar genau in den Ordner, der schließlich auch die Passwort-Datei enthalten soll. Nach dem Upload rufen Sie die Datei im Browser auf. Nun sollten Sie den absoluten Pfad zu diesem Ordner sehen können. Im Anschluss löschen Sie die Datei einfach wieder.

Passwortdatei (.htpasswd) erstellen

Damit Ihr WordPress Verzeichnisschutz funktioniert, benötigen Sie zusätzlich eine zweite Datei namens .htpasswd, in der Sie anschließend die Anmeldeinformationen hinterlegen. Auch diese Datei können Sie ganz einfach per Texteditor kreieren. In die Datei tragen Sie dann den Nutzernamen und das Passwort nach diesem Schema ein: [Nutzername]:[Passwort]. Sollen mehrere Nutzer Zugriff auf den geschützten Bereich haben, legen Sie für jeden Benutzer eine eigene Zeile an.

Das Passwort sollte auf jeden Fall verschlüsselt gespeichert werden. Im Internet finden Sie zahlreiche Generatoren für die Verschlüsselung. Wichtig hierbei ist, dass Sie keinen Passwort-Generator verwenden. Dieser gibt Ihnen nur ein sicheres Passwort im Klartext aus. Sie brauchen einen Hash-Generator, der das sichere Passwort mit einer bestimmten mathematischen Methode (z. B. SHA-1) verschlüsselt. Sie können auch direkt nach einem Generator für die .htpasswd-Datei suchen. Solche Websites geben Ihnen meist direkt die korrekte Syntax inklusive Benutzernamen aus (z. B. http://www.htaccesstools.com/htpasswd-generator/). Den verschlüsselten Wert tragen Sie in die Datei ein. So könnte Ihr Eintrag dann aussehen:

Kai:$apr1$Qpu/M7/n$xlr4tcjyl0BRhjBNWix7C1
            

Beide Dateien laden Sie anschließend auf den Webspace. Sobald der Upload fertig ist, sollte der Verzeichnisschutz funktionstüchtig sein. Achten Sie beim Hochladen darauf, dass die Datei mit den Nutzerinformationen auch tatsächlich in dem Verzeichnis liegt, das Sie in der .htaccess angegeben haben. Achtung: Sie schützen immer das Verzeichnis, in dem die .htaccesss-Datei liegt. Wenn Sie also das Root-Verzeichnis verwenden, ist jeglicher Zugang zu Ihrer Website nur über die Eingabe eines Passwortes möglich. Möchten Sie nur ein bestimmtes Verzeichnis schützen, legen Sie die Datei im entsprechenden Ordner ab. Üblich ist es zum Beispiel, das Verzeichnis wp-admin per .htaccess abzusichern.

Authentifizierungsfenster aufgrund von aktivem WordPress Verzeichnisschutz

Vorteile von .htaccess für WordPress

Mit der Datei .htaccess können Sie einen weiteren Schutz für Ihre WordPress Website schaffen. Auch wenn keine Maßnahme 100 % Schutz vor Hacker-Angriffen bieten kann, sollten Sie so viele Hürden wie möglich aufbauen. Falls Sie die Zugangsdaten vergessen haben, können Sie die .htpasswd-Datei einfach durch eine neue ersetzen.

• Sie entscheiden, welche Ordner für den Verzeichnisschutz in Frage kommen.
• Die Sicherung funktioniert auf Serverebene.
• Sie überlassen den Verzeichnisschutz nicht dem CMS allein.