Schützen des WordPress-Login mit Passwort

Für Webhosting Linux-Pakete,Managed Dedicated Server und IONOS Rootserver.

Sie können Sie die Sicherheit Ihrer Website verbessern, indem Sie einen zusätzlichen Passwortwortschutz für den Administrationsbereich (Dashboard) Ihres WordPress-Blogs einrichten. Anschließend sind zum Aufruf des Dashboards insgesamt zwei unterschiedliche Logins notwendig. Damit erschweren Sie Dritten, unbefugten Zugang - bspw. mittels einer Brute-Force-Attacke - zu Ihrem Dashboard zu erhalten.

Um den Passwortschutz zu aktivieren, erstellen Sie eine .htaccess-Datei und eine .htpasswd-Datei und laden diese in das Verzeichnis /wp-admin Ihrer Wordpress-Installation hoch. So geht's:

htaccess-Datei erstellen

Eine .htaccess-Datei ist eine Konfigurationsdatei, mit der Sie verzeichnisspezifische Einstellungen auf einem kompatiblen Webserver (z.B. dem Apache-Webserver, der im IONOS Hosting verwendet wird) vornehmen können.

AuthType Basic
AuthName "Passwortgeschützter Bereich"
AuthUserFile /homepages/xx/xxxxxxxxx/htdocs/[Ordner]/wp-admin/.htpasswd
require user [Username]
  • Passen Sie den kopierten Code an Ihre WordPress-Installation an:

    • Die Zeichenfolge /homepages/xx/xxxxxxxxx/htdocs/ steht exemplarisch für das Document Root, also den absoluten Pfad zu Ihrer Internet-Präsenz (d.h. die oberste Verzeichnisebene). Diesen können Sie in Ihrem IONOS Kundenkonto herausfinden.
    • Ersetzen Sie [Ordner] durch den Verzeichnispfad, unter dem sich Ihre WordPress-Installation befindet. Wenn sie Ihren WordPress-Blog bspw. in einem gleichnamigen Verzeichnis "wordpress" installiert haben, ersetzen Sie "[Ordner]" mit wordpress. Achten Sie dabei auf Groß- und Kleinschreibung.
    • Den Text [Username] ersetzen Sie durch einen beliebigen Usernamen, zum Beispiel webmaster, mustermann. Sie können, um mehreren Leuten den Zugang zu ermöglichen, auch mehrere Namen durch Leerzeichen getrennt angeben.
    • Den Text Passwortgeschützter Bereich können Sie durch einen beliebigen Text ersetzen, zum Beispiel Nur für Insider oder ähnliches.

Die fertig bearbeitete .htaccess-Datei könnte zum Beispiel wie folgt aussehen:

AuthType Basic
AuthName "Passwortgeschützter Bereich"
AuthUserFile /homepages/45/d12345678/htdocs/wordpress/wp-admin/.htpasswd
require user webmaster mustermann

htpasswd-Datei erstellen

  • Erstellen Sie auf Ihrem PC eine neue Datei mit dem Namen .htpasswd (Punkt nicht vergessen).

  • Tragen Sie dort den (oder die) Benutzernamen mit Passwort in der folgenden Form ein:

    [Username]:[VerschlüsseltesPasswort]

    Falls Sie mehrere Benutzer einrichten, muss jeder Benutzername in einer neuen Zeile beginnen.

    Im folgenden Beispiel enthält die .passwd die codierten Passwörter für die Benutzer webmaster und mustermann:

webmaster:$1$FLO9omPh$Toese7ZrlHgsbdYy/JvzA1
mustermann:$1$WSEgdzA/$qL9.vM4HivWYsp7E9DHbm/

Passwortschutz aktivieren

Um den Passwortschutz einzuschalten, laden Sie die Dateien .htaccess und .htpasswd auf den Webspace in das Verzeichnis /wp-admin unterhalb Ihres WordPress-Verzeichnisses hoch.  Danach ist der Passwortschutz sofort aktiv.

Achtung

Wenn Sie aus anderen Gründen bereits Ihre eigene .htaccess für das Verzeichnis /wp-admin verwenden, wird diese überschrieben, wenn Sie die neue .htaccess-Datei hochladen. Wenn das bei Ihnen der Fall ist, müssen Sie zunächst Ihre vorherige .htaccess-Datei herunterladen, dort die neuen Zeilen hinzufügen, sie anpassen und dann die bearbeitete .htaccess-Datei hochladen.

Bei IONOS können Sie Dateien wahlweise mit dem IONOS WebspaceExplorer oder mit einem FTP-Programm auf Ihren Webspace hochladen. Wie das geht, zeigen Ihnen unsere folgenden Schritt-für-Schritt-Anleitungen:

Passwortschutz deaktivieren

Um den Passwortschutz auszuschalten, löschen Sie einfach die Dateien .htaccess und .htpasswd wieder von Ihrem Webspace.

Problemlösung

Wenn der Passwortschutz nicht funktioniert, überprüfen Sie bitte die folgenden Punkte:

 

  • Sind die Dateinamen korrekt?
  • Ist der in der ".htaccess"-Datei angegebene Dateipfad zur ".htpasswd"-Datei korrekt?
  • Stimmen der oder die Benutzernamen in den Dateien ".htaccess" und ".htpasswd" wirklich überein? Achten Sie hier insbesondere auf die Groß- und Kleinschreibung.
  • Haben Sie das Passwort in der verschlüsselten Form in die Datei .htpasswd eingegeben?
  • Haben Sie das Passwort in der verschlüsselten Form in die .htpassd-Datei eingegeben?
  • Haben Sie die Dateien .htaccess und .htpassword ins das richtige Verzeichnis (/wp-admin) hochgeladen?