• Verschiedenes

    17. Apr. 2013

    Schlagworte:

    , ,

    Zusätzlicher Passwort-Schutz für Ihr Wordpress-Blog

    Twittern

    Derzeit läuft eine breit angelegte Attacke auf Wordpress-Blogs weltweit. Die Angreifer probieren so lange beliebige Passwörter aus, bis sie sich Zugang zum System verschafft haben. Dagegen hilft natürlich ein starkes Passwort mit Sonderzeichen und Buchstaben, das in dieser Schreibweise in keinem Lexikon zu finden ist. Aber das alleine reicht leider nicht!
    Einige Blogger berichten von über 40.000 Zugriffsversuchen auf ihre Systeme. Eine unnötige Serverlast, die kleine Blogs schnell überfordern kann.

    Lesen Sie hier, wie Sie sich schützen können und eine zusätzliche, hohe Schutzmauer um ihr Wordpress-Backend errichten können.

    Überblick

    Um das Backend Ihres Wordpress-Blogs zu schützen, wenden wir einen Verzeichnis-Schutz an, der das gesamte Verzeichnis wp-admin schützt. Dazu benötigen Sie die beiden Dateien

    • .htaccess und
    • .htusers

    Die .htaccess sorgt dafür, dass das Verzeichnis grundsätzlich geschützt wird und welcher Benutzername Zugriff erhält. In .htusers ist das Passwort hinterlegt.

    Beginnen wir zunächst mit dem Passwort: Das wird nicht im Klartext gespeichert, sondern verschlüsselt. Sollte sich ein Angreifer Zugang zum System verschafft haben, hat er damit keinen Zugang zu anderen Passwörtern.

    1. Gehen Sie auf http://www.htpasswdgenerator.de und erzeugen Sie ein Benutzername/Passwort-Paar. Wählen Sie dort als Verschlüsselungsmethode crypt aus und copy-und-pasten Sie das Ergebnis in die Datei .htusers, die Sie in das Verzeichnis wp-admin auf Ihren Server hochladen.
    2. Als nächstes müssen wir den absoluten Pfad zu .htusers herausfinden, weil wir auf diese Datei von der .htaccess aus verweisen müssen und leider keine relativen Pfadangaben möglich sind. Dazu erzeugen wir eine Datei path.php, die folgende Codezeile enthält:

      <?php echo realpath(‘.’); ?>

      Diese Datei laden wir auch nach wp-admin hoch und rufen Sie im Browser auf. Dort lesen wir den korrekten und vollständigen Pfad unserer Wordpress-Installation auf dem Server, nehmen in die Zwischenablage und entfernen die Datei wieder.

    3. Zu guter letzt erzeugen wir die Datei .htaccess und laden sie nach wp-admin hoch. Der Inhalt dieser Datei lautet wie folgt:

    AuthType Basic
    AuthName “Wordpress Backend”
    AuthUserFile PFAD_AUS_PATH.PHP/.htusers
    Require user BENUTZERNAMEN_HIER_EINTRAGEN

    Fertig!

    Sie haben jetzt ein zusätzlich zugriffsgeschütztes Wordpress-Backend, das die meisten Angriffe sicher abwehrt und dabei keine unnötig hohe Serverlast erzeugt.

    Wenn Sie mehr über Wordpress-Programmierung erfahren möchten, empfehle ich Ihnen Wordpress 3 – Das große Training, das ich für Video2Brain aufgenommen habe.

  • Eine Reaktion

    Kommentare

  • Trackbacks

  • Bitte kommentieren Sie:

  • Name (Pflichtfeld):

    E-Mail (Pflichtfeld):

    Webseite:

    Twittername:

    Kommentare zu diesem Beitrag als rss-Feed abonnieren

    Ihr Kommentar: