.htaccess WordPress-Schutz mit One.com

Man muss nicht jede Erfahrung selber machen, um etwas zu lernen. So möchte ich es mir sparen, dass meine WordPress Installation gehackt wird. Darum dreht sich der folgende Bericht.

Was ist .htaccess?

Die Hypertext Access Konfig-Datei definiert die Anfangseinstellungen einer Website auf apache-basierten Webservern (das sind fast alle Server). Die .htaccess Datei definiert, wie sich der Server verhalten soll.

Jeder Zeile der .htaccess beschreibt eine neue Funktion oder eine geänderte Funktion des Webservers.

Wofür die .htaccess verwendet werden kann

Grundsätzlich ist die .htaccess Datei ein machtvolles Instrument. Für meine einfache WordPress-Installation dient sie jedoch besonders für diese zwei Anwendungsszenarien:

  • Weiterleitung von einer Seite auf eine andere, wie bspw. von der http://- auf die https://-Version meiner Seite
  • Zugriffsschutz auf bestimmte Bereiche der Seite, speziell auf den /wp-admin Ordner.

Den Zugriffsschutz möchte ich jetzt beschreiben

.htaccess Zugriffsschutz erstellen mit One.com

Hat man, so wie ich, den Webspace bei One.com gehostet, muss die .htaccess nicht selbst geschrieben werden. Ein praktischer Code-Generator übernimmt einen Großteil der Arbeit.

Pro-Tipp: Wer die .htaccess Step-by-Step selbst schreiben möchte, findet bei www.htaccesserstellen.de eine Anleitung.

Schritt 1: Code erstellen

Mittels One.com .htaccess Tool wird der Code erzeugt. Dazu muss folgendes ausgefüllt werden:

Zeile 1: Die Domain ohne www: bei mir „seb.bz
Zeile 2: Der zu schützendes Ordner: bei mir „/wp-admin
Zeile 3: Der Text der Sicherheitsabfrage: hier „Hier geht es für die Meisten nicht weiter.
Zeile 4: mindestens ein Nutzer und ein Passwort: Hier „MeinName“ und „MeinPasswort

Der Code-Generator am Beispiel meiner Seite.

Anschließend drück man auf „Generate files“ und erhält den Inhalt für die Passwort-Datei .htpasswd und die .htaccess. Am besten lässt man das Browser-Fenster offen, denn es wird nachfolgend benötigt. Schließt man es, muss dieser Schritt später wiederholt werden.

Schritt 2: .htaccess Datei erzeugen

Zuerst loggt man sich im One.com Kontrollpanel ein. Dort öffnet man den File Manager. Alternativ kann auch alles über einen FTP Zugang erledigt werden.

Achtung! Sofern man den Zugriff auf das Backend „/wp-admin“ sperren möchte, müssen die beiden Dateien im gleichnamigen Unterorder erstellt werden. Ansonsten ist später die gesamte Website vor fremden Zugriffen geschützt.

Im File Manager klickt man auf Erstellen (Dropdown neben +Hochladen) und dann auf Neue andere Datei.

Neue Datei erstellen. Datei .htaccess wird ohne Endung gespeichert

Neben dem Auge-Symbol mit dem Namen „Ansicht“ klickt man auf den Dropdown-Pfeil und dann auf Umbenennen. Die neue Datei wird nun „.htaccess“ genannt und die Änderung mit Enter übernommen. Zuletzt klickt man auf den Bearbeiten Button.

Umbenennen der neuen Datei

Wir erinnern uns an das noch geöffnete Browser-Fenster aus Schritt 2. Von daher kopiert man den Inhalt der Box mit der Überschrift „.htaccess file“ (jedoch ohne die Headline selbst) und fügt den Zwischenspeicher in die .htaccess ein. Speichern der Aktion beendet Schritt 2.

Ein Code-Beispiel für den Inhalt der .htaccess Datei:

AuthName "Hier geht es für die Meisten nicht weiter."
AuthType Basic
AuthUserFile /customers/9/9/0/seb.bz/httpd.www/wp-admin/.htpasswd
AuthGroupFile /dev/null 
require valid-user

Schritt 3: .htpasswd Datei erzeugen

Das Vorgehen orientiert sich nahezu 1:1 an Schritt 2, dem Erzeugen der .htaccess Datei. Daher sind die Teilschritte weniger detailliert beschrieben.

Im File Manager wird nun im selben Verzeichnis, wie im Schritt 2, eine neue Datei erzeugt, jedoch in „.htpasswd“ umbenannt.

Aus dem geöffneten Browser- Fenster kopiert man den Inhalt der Box „.htpasswd file“ in den Zwischenspeicher und fügt sie in die Datei .htpasswd ein. Auch hier beendet das Speichern die Aktion.

Ein Code-Beispiel für den Inhalt der .htpasswd Datei:

meinName:TWXCTe8bnL.jE

Schritt 4: Funktionstest

Zum Test kann man meine Website seb.bz/wp-admin aufrufen oder eben seien eigene Website um zu testen, ob die .htaccess funktioniert. Es sollte ein Dialog erscheinen, welcher die, im Schritt 1 definierte, Login-Daten abfragt.

Nach Eingabe der Credentials (Benutzername & Passwort) klickt man auf Login oder Einloggen und kann auf sein Backend zugreifen. Möglicherweise muss man sich im Backend erneut anmelden.

Sollte die komplette Website gesperrt sein, liegen .htaccess und .htpasswd im Root-Verzeichnis und nicht im Verzeichnis „wp-admin (in diesem Fall zurück zu Schritt 2).

Das How-to ist beendet. Gute Nacht, wir lesen uns bald wieder. Bei Fragen einfach fragen.
(seb)

Schlagwörter: