WordPress mit .htaccess schützen

Egal, ob Sie nun eine neue Datei erstellt haben oder auf eine bereits bestehende .htaccess zugreifen, Sie müssen folgenden Code in die Datei einfügen:

AuthType Basic

AuthName "Verzeichnisschutz"

AuthUserFile ABSOLUTERPFAD/.htpasswd

Require valid-user

Damit der Verzeichnisschutz funktioniert, müssen Sie noch folgende Dinge verändern:

1. Die Art der Authentifizierung können Sie auf Basic belassen. Mit dieser Einstellung kommen alle Browser zurecht.
2. Bei der Wahl des Namens für den geschützten Bereich haben Sie freie Wahl.
3. Sie müssen angeben, wo die Informationen zu Nutzernamen und Passwörtern zu finden sind. Hierfür ist der absolute Pfad notwendig, den Sie meist im Kundenkonto bei Ihrem Hosting-Anbieter einsehen können. Wenn Sie die entsprechende Datei nicht in das Root-Verzeichnis legen, müssen Sie noch die weitere Verzeichnisstruktur in den Pfad aufnehmen.
4. Schließlich legen Sie noch die Nutzernamen der Zugänge fest, welche auch in der Passwortdatei aufgeführt werden. Möchten Sie mehrere Nutzer anlegen, können Sie diese mit einem Leerzeichen voneinander trennen.

Um den absoluten Pfad zu ermitteln, können Sie sich auch eines Tricks bedienen. Dafür erstellen Sie eine PHP-Datei mit folgendem Inhalt (bitte den Code in eckige Klammern setzen):

<?php
echo dirname(__FILE__);
?>

Den Dateinamen können Sie frei wählen. Laden Sie die Datei auf Ihren Webspace, und zwar genau in den Ordner, der schließlich auch die Passwort-Datei enthalten soll. Nach dem Upload rufen Sie die Datei im Browser auf. Nun sollten Sie den absoluten Pfad zu diesem Ordner sehen können. Im Anschluss löschen Sie die Datei einfach wieder.

Damit Ihr WordPress Verzeichnisschutz funktioniert, benötigen Sie zusätzlich eine zweite Datei namens .htpasswd, in der Sie anschließend die Anmeldeinformationen hinterlegen. Auch diese Datei können Sie ganz einfach per Texteditor kreieren. In die Datei tragen Sie dann den Nutzernamen und das Passwort nach diesem Schema ein: [Nutzername]:[Passwort]. Sollen mehrere Nutzer Zugriff auf den geschützten Bereich haben, legen Sie für jeden Benutzer eine eigene Zeile an.

Das Passwort sollte auf jeden Fall verschlüsselt gespeichert werden. Im Internet finden Sie zahlreiche Generatoren für die Verschlüsselung. Wichtig hierbei ist, dass Sie keinen Passwort-Generator verwenden. Dieser gibt Ihnen nur ein sicheres Passwort im Klartext aus. Sie brauchen einen Hash-Generator, der das sichere Passwort mit einer bestimmten mathematischen Methode (z. B. SHA-1) verschlüsselt. Sie können auch direkt nach einem Generator für die .htpasswd-Datei suchen. Solche Websites geben Ihnen meist direkt die korrekte Syntax inklusive Benutzernamen aus (z. B. https://hostingcanada.org/htpasswd-generator/). Den verschlüsselten Wert tragen Sie in die Datei ein. So könnte Ihr Eintrag dann aussehen:

Kai:$apr1$Qpu/M7/n$xlr4tcjyl0BRhjBNWix7C1

Beide Dateien laden Sie anschließend auf den Webspace. Sobald der Upload fertig ist, sollte der Verzeichnisschutz funktionstüchtig sein. Achten Sie beim Hochladen darauf, dass die Datei mit den Nutzerinformationen auch tatsächlich in dem Verzeichnis liegt, das Sie in der .htaccess angegeben haben.

Achtung: Sie schützen immer das Verzeichnis, in dem die .htaccesss-Datei liegt. Wenn Sie also das Root-Verzeichnis verwenden, ist jeglicher Zugang zu Ihrer Website nur über die Eingabe eines Passwortes möglich. Möchten Sie nur ein bestimmtes Verzeichnis schützen, legen Sie die Datei im entsprechenden Ordner ab. Üblich ist es zum Beispiel, das Verzeichnis wp-admin per .htaccess abzusichern.