WordPress gegen BruteForce Angriffe schützen

22. Okt 2014

Seitdem ich das Sucuri Security Plugin für WordPress verwende, steht mein Postfach nach der Aktualisierung auf Version 4.0 nicht mehr still.

Sucuri

Der Inhalt der Warnungsmails sind immer gleich: Someone failed to login to your site. Irgendein Bot versucht Rund um die Uhr Zugriff auf meine Seiten zu erhalten. Er stellt sich zwar dabei nicht sehr schlau an, und verwendet auch immer nur den Standard Admin User – trotzdem eine sehr nervige Sache.

Nachdem ich so ziemlich alles versucht hatte (ändern des WP Login Folders, verwenden von Captcha Plugins), möchte ich euch meine Lösung präsentieren womit ihr euer WordPress Backend schützen könnt. Als netter Nebeneffekt hören die Bruteforce Angriffe auch gleich auf 😉

Schritt 1

Als erstes erstellt ihr in eurem root Verzeichnis des Webservers eine php Datei mit folgendem Inhalt:

<?php
$dir = dirname(__FILE__);
echo “<p>Dieser Ordner: ” . $dir . “</p>”;
echo “<p>Pfad zur.htpasswd Datei: ” . $dir . “/.htpasswd” . “</p>”;
?>

Die Datei kann benannt werden wie ihr möchtet (z.b. test.php) und wirft nach dem Aufruf folgende Zeile aus:

Pfad zur.htpasswd Datei: /home/www/xxxxxx/html/.htpasswd

Diese Zeile wird im Schritt 4 benötigt!

 

Schritt 2

Ihr geht auf diese Seite und erstellt eine sichere Kombination aus Username und Passwort für den HTACCESS Zugriff

htpasswd

 

Schritt 3

Ihr erstellt eine Leere Datei mit dem Namen .htpasswd und kopiert die komplette Zeile von der .htpasswd Webseite (siehe Schritt 2) in diese Datei. Danach ladet ihr die Datei ins Hauptverzeichnis eurer WordPress Installation:

passwd

 

Schritt 4

Zum Schluss müsst ihr noch die bestehende .htaccess Datei bearbeiten. Hierzu einfach nur folgenden Code ans Ende der Datei einfügen, und vorhder den Pfad zur .htaccess Datei (aus Schritt 1) nach AuthUserFile anpassen:

<Files wp-login.php>
AuthType Basic
AuthName “Admin-Bereich”
AuthUserFile /pfad/zur/eurer/.htaccess
Require valid-user
</Files>

<FilesMatch “(.htaccess|.htpasswd|wp-config.php|liesmich.html|readme.html)”>
order deny,allow
deny from all
</FilesMatch>

 

Schritt 5

Ab sofort sollte eure wp-config Datei (inklusive Adminbereich) mit einem htaccess Zugriffsschutz versehen sein 🙂
htaccess Login

In: Security|Wordpress | 1.076 Aufrufe bisher

Letzte Aktualisierung: 11. April 2016 von Netz2Null.de

SchlechtGanz OkGutSehr GutGenial (12 Stimmen, Durchschnitt: 4,92)
Loading...

Kommentarfunktion