WordPress-Login mit Passwort schützen

Für Webhosting Linux-Pakete,Managed Dedicated Server und IONOS Rootserver.

Sie können Sie die Sicherheit Ihrer Website verbessern, indem Sie einen zusätzlichen Passwortwortschutz für den Administrationsbereich (Dashboard) Ihres WordPress-Blogs einrichten. Anschließend sind zum Aufruf des Dashboards insgesamt zwei unterschiedliche Logins notwendig. Damit erschweren Sie Dritten, unbefugten Zugang - bspw. mittels einer Brute-Force-Attacke - zu Ihrem Dashboard zu erhalten.

Um den Passwortschutz zu aktivieren, erstellen Sie eine .htaccess-Datei und eine .htpasswd-Datei und laden diese in das Verzeichnis /wp-admin Ihrer Wordpress-Installation hoch. So geht's:

htaccess-Datei erstellen

Eine .htaccess-Datei ist eine Konfigurationsdatei, mit der Sie verzeichnisspezifische Einstellungen auf einem kompatiblen Webserver (z.B. der im IONOS Hosting verwendete Apache-Webserver) vornehmen können.

Schritt 1

Erstellen Sie mittels einem Texteditor lokal auf Ihrem PC eine neue Datei und speichern Sie diese unter dem Namen .htaccess

Bitte beachten Sie: Der Dateiname muss exakt so geschrieben sein, wie oben angegeben (der Punkt am Anfang ist wichtig). Ansonsten funktioniert der Passwortschutz nicht! 

Schritt 2

Kopieren Sie die nachfolgenden Code-Zeilen in Ihre .htaccess-Datei hinein:

AuthType Basic
AuthName "Passwortgeschützter Bereich"
AuthUserFile /homepages/xx/xxxxxxxxx/htdocs/[Ordner]/wp-admin/.htpasswd
require user [Username]
Schritt 3

Passen Sie den kopierten Code an Ihre WordPress-Installation an:

  • Die Zeichenfolge /homepages/xx/xxxxxxxxx/htdocs/ steht exemplarisch für das Document Root, also den absoluten Pfad zu Ihrer Internet-Präsenz (d.h. die oberste Verzeichnisebene). Diesen können Sie in Ihrem Control-Center herausfinden.
  • Ersetzen Sie [Ordner] durch den Verzeichnispfad, unter dem sich Ihre WordPress-Installation befindet. Wenn sie Ihren WordPress-Blog bspw. in einem gleichnamigen Verzeichnis "wordpress" installiert haben, ersetzen Sie "[Ordner]" mit wordpress. Achten Sie dabei auf Groß- und Kleinschreibung.
  • Den Text [Username] ersetzen Sie durch einen beliebigen Usernamen, zum Beispiel webmaster, mustermann. Sie können, um mehreren Leuten den Zugang zu ermöglichen, auch mehrere Namen durch Leerzeichen getrennt angeben.
  • Den Text Passwortgeschützter Bereich können Sie durch einen beliebigen Text ersetzen, zum Beispiel Nur für Insider oder ähnliches.

Die fertig bearbeitete .htaccess-Datei könnte zum Beispiel wie folgt aussehen:

AuthType Basic
AuthName "Passwortgeschützter Bereich"
AuthUserFile /homepages/45/d12345678/htdocs/wordpress/wp-admin/.htpasswd
require user webmaster mustermann

htpasswd-Datei erstellen

Schritt 1

Erstellen Sie auf Ihrem PC eine neue Datei mit dem Namen .htpasswd (Punkt nicht vergessen).

Schritt 2

Tragen Sie dort den (oder die) Benutzernamen mit Passwort in der folgenden Form ein:

[Username]:[VerschlüsseltesPasswort]

Hinweis: Falls Sie mehrere Benutzer einrichten, muss jeder Benutzername in einer neuen Zeile beginnen.

 

Im folgenden Beispiel enthält die .passwd die codierten Passwörter für die Benutzer webmaster und mustermann:

webmaster:$1$FLO9omPh$Toese7ZrlHgsbdYy/JvzA1
mustermann:$1$WSEgdzA/$qL9.vM4HivWYsp7E9DHbm/

.htaccess und .htpasswd nach /wp-admin hochladen

Um den Passwortschutz zu aktivieren, laden Sie die soeben erstellten Dateien in das Verzeichnis /wp-admin unterhalb Ihrs WordPress-Verzeichnisses auf dem Webspace hoch. Anschließend ist der Passwortschutz sofort aktiv.

 

Bitte beachten Sie: Falls Sie schon aus anderen Gründen eine eigene .htaccess für das Verzeichnis /wp-admin nutzen, dann würden diese im weiteren Verlauf dieser Anleitung überschreiben. Sie können jedoch Ihre bisherige .htaccess einfach herunterladen, dort die neuen Zeilen ergänzen, diese anpassen und die Datei dann wieder hochladen.

Hinweis: Wenn sie den Passwortschutz deaktivieren möchten, löschen Sie die beiden Dateien einfach wieder von Ihrem Webspace.

Problemlösung

Sollte der Passwortschutz nicht funktionieren, prüfen Sie bitte folgende Punkte:

 

  • Ist der in der Datei ".htaccess" angegebenen Dateipfad zur Datei ".htpasswd" korrekt angegeben?
  • Stimmen der bzw. die Benutzername(n) in der Datei ".htaccess" und ".htpasswd wirklich überein (Groß- KLeinschreibung beachtet)?
  • Haben Sie das Passwort auch in der verschlüsselten Form (crypt) in die Datei .htpasswd angegeben?
  • Haben Sie die Dateien ins das richtige Verzeichnis (/wp-admin) hochgeladen?
  • das Passwort auch in der verschlüssten Form in die Datei .htpassd angegeben?