Viele Jahre habe habe ich mein Backend von WordPress so abgesichert, dass auffällige IP-Adressen nach drei gescheiterten Login-Versuchen für eine gewisse Zeit keinen Zugang mehr zum Verzeichnis wp-admin bekamen. Da auf meinem Server schon lange keine IP-Adressen mehr geloggt werden, ist diese Methode nicht mehr praktikabel.
Aus diesem Grund habe ich nach einer Alternative gesucht. Ganz zufrieden bin ich damit das Login-Verzeichnis via Benutzername und Passwort zu schützen. Ein weiterer Vorteil ist, dass ich ein weiteres Plugin aus meiner überladenen WordPress-Installation entfernen kann.
Installation
Zuerst wird via
|
1 |
# nano /var/www/html/wordpress/.htpasswd |
im Hauptverzeichnis der WordPress-Installation eine versteckte Datei .htpasswd angelegt.
Mit dem htpasswd Generator ist es möglich den Inhalt der .htpasswd zu erstellen. Hierbei wählt man einen Benutzernamen und ein starkes Passwort. Die entsprechende Ausgabe trägt man nun in die .htpasswd ein und spreichert mit Ctrt + o.
Nach dem Verlassen des Editors mit Ctrt + x öffnet man wiederum mit Nano
|
1 |
#nano /var/www/html/wordpress/.htaccess |
die .htaccess und fügt folgende Zeilen hinzu.
|
1 2 3 4 5 6 |
<Files wp-login.php> AuthType Basic AuthName "Mein Bereich" AuthUserFile /var/www/html/wordpress/.htpasswd Require valid-user </Files> |
Dabei muss auch hier der Pfad der .htpasswd entsprechend angepasst werden. Wenn man nun die Seite https://domain.tld/wp-admin aufruft sollte der Zugang zum Login nur über die Eingabe von dem zuvor ausgewählten Benutzernamen und dem entsprechenden Passwort möglich sein.
Viel Spaß!
