htaccess für wp-admin wird auf Startseite aufgerufen

Gelöst lud3r
(@lud3r)

vor 4 Jahren, 5 Monaten

Hallo zusammen,

Vorweg : Tolle Community und ich habe mich hier schon oft belesen.
Nur gerade komme ich nicht weiter und finde nichts passendes dazu.

Ich habe insgesamt zwei homepages.
Bei der ersten funktioniert alles einwandfrei den Adminbereich per htaccess zu schützen.
Bei der zweiten probierte ich ebenfalls den adminbereich zu schützen.
Jedoch wird bereits beim Aufrufen der Startseite das Eingabefeld für Benutzer und Passwort aufgerufen. Dieses soll ja nicht geschehen sondern erst dann, wenn ich in das backend möchte.

Alle Inhalte sind aktuell. Der Unterschied von der ersten zur zweiten Seite ist lediglich, dass auf der zweiten Seite woocommerce installiert wurde.

Hat jemand eine Idee ?

Inhalt der htaccess :
AuthUserFile /pfadmeinerinstallation/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthName „Password Protected Area“
AuthType Basic

<limit GET POST>
require valid-user
</limit>
# Zugriff auf .htaccess und .htpasswd verbieten, falls in Benutzung
<FilesMatch „(\.htaccess)“>
Order deny,allow
Deny from all
</FilesMatch>
<FilesMatch „(\.htpasswd)“>
Order deny,allow
Deny from all
</FilesMatch>

LG

Ansicht von 11 Antworten - 1 bis 11 (von insgesamt 11)

Moderator Bego Mario Garde
(@pixolin)

vor 4 Jahren, 5 Monaten

Hast du denn auch eine Passwörter-Datei .htpasswd angelegt?

Das ist übrigens kein WordPress-Thema, selbst wenn du auf deinem Server WordPress verwendest. Hier geht es um eine Serverkonfiguration.

Thread-Starter lud3r
(@lud3r)

vor 4 Jahren, 5 Monaten

Ja, die habe ich angelegt und das funktioniert auch, wenn ich Benutzer und Passwort eingebe.

Richtig. Nur weil es eben meine WordPressinstallation betrifft bzw speziell den wp-admin Bereich, habe ich das hier hinein geschrieben.

– evtl verursacht das woocommerce, weil auf der Hauptseite ein Einloggmöglichkeit besteht ?
– gibt es eine andere Möglichkeit htaccess-Schutz für wp-admin zu erzeugen ?
– andere Lösungsmöglichkeiten ?

Grüße

Moderator Bego Mario Garde
(@pixolin)

vor 4 Jahren, 5 Monaten

Die Eingabe des htpasswd-Passworts wird im Browser gespeichert. Greifst du erneut auf wp-admin zu, wird das Passwort nicht mehr abgefragt.

Ich verwende gerne Rename wp-login.php, mit dem du das Anmeldeformular auch in https://example.com/mach-hoch-die-tuer umbenennen kannst (und damit autmatisierte Angriffe auf wp-login.php vereitelst). Außerdem solltest du, wenn möglich, die XML-RPC-Schnittstelle abschalten, die sehr gerne für Angriffe genutzt wird.

Zusätzliche Sicherheit (und nicht nur fragwürdige Sicherheit durch Verschleierung – Security through obscurity) bietet dir eine Zwei-Faktor-Authentifikation, z.B. mit Two Factor, das hoffentlich bald fester Bestandteil des Core wird.

Moderator Bego Mario Garde
(@pixolin)

vor 4 Jahren, 5 Monaten

Nachtrag: dieser Beitrag hat einige nützliche Tipps für zusätzliche Einstellungen in der .htaccess: https://www.drweb.de/8-nuetzlichsten-htaccess-tricks-wordpress-50807/

Thread-Starter lud3r
(@lud3r)

vor 4 Jahren, 5 Monaten

Vielen Dank dafür bzw den Link.
Diese und andere Einstellungen sind bereits in der htaccess vorhanden.

Speziell wird ja dort geschildert, dass man der htaccess (die nicht im wp-admin Bereich liegt, sondern im Hauptordner) Einstellungen hinzufügt, dass man den Zugriff auf die wp-login.php verhindert. (Ist auch funktionell, wenn man den Loginbereich von wp-admin umbenannt hat, oder ?
Diese Einstellungen habe ich auch bereits probiert, jedoch tut sich dann „gar nichts“ bzw es wird dann, wenn ich den Adminbereich aufrufe, keinerlei htaccess-Abfrage gestartet.

Ich habe auch bereits den Adminbereich umbenannt wie gesagt 🙂
XML-RPC ist ebenfalls abgeschaltet.

Ich möchte nur nicht, dass jemand den Adminbereich versucht anzugreifen und der htaccess ist schon echt eine normal „super-einfache“ und effektive Methode.

Moderator Bego Mario Garde
(@pixolin)

vor 4 Jahren, 5 Monaten

Diese Einstellungen habe ich auch bereits probiert, jedoch tut sich dann „gar nichts“ bzw es wird dann, wenn ich den Adminbereich aufrufe, keinerlei htaccess-Abfrage gestartet.

Probier das mal mit einem „Privaten Browserfenster“ aus – da sollte das htpasswd nicht im Cache gespeichert sein. Wenn es damit nicht funktioniert, stimmt die Konfiguration vielleicht nicht.

der htaccess ist schon echt eine normal „super-einfache“ und effektive Methode.

YMMV. Mich nervt diese Abfrage eher, auch weil das Passwort von meinem Passwortmanager nicht automatisch ausgefüllt wird. Aber bei Kunden, bei denen sich die Angriffe häufen, würde ich zumindest über eine zwei-Faktor-Authentifikation nachdenken. Oder wenn du als Moderator im Support-Forum aushilfst.

Aus den Berichten über gehackte Websites, die wir hier im Forum bekommen, nehme ich an, dass veraltete Plugins und Themes, Login oder FTP über unverschlüsselte Verbindungen, falsche Dateiberechtigungen und unsichere Webserver einen höheren Stellenwert für Angriffe haben als Bruteforce. 100%ige Sicherheit gibt es nie, aber funktionierende, regelmäßige, rasch wiederherstellbare Backups.

Thread-Starter lud3r
(@lud3r)

vor 4 Jahren, 5 Monaten

Da gebe ich Dir Recht mit den Sicherheitslücken, dass besonders „alte Systeme“ anfälliger sind.

Ich werde das mit dem privaten Browserfenster prboeren und dann eine Rückmeldung geben.

Andere Frage : Gibt es noch eien andere Möglichkeit einen derartigen htaccess-Schutz zu realisieren. Z.B. ein Plugin ?

Und weitere Frage : Angenommen ich schütze nun die wp-login.php durch die htaccess-datei im Hauptordner. Ist das trotzdem noch funktioniell, wenn der Adminlogin umbenannt wurde (so wie Du es vorhin auch vorgeschlagen hast). Ich shcätze zwar ja, weil es ja eigentlich nur eine Maske ist die Umbenennung, oder ?

Und wonach sollte ich als Schlagwort suchen, wenn diese htaccess-Schutzvariante sich nicht beheben lässt. Mir fällt da kein Schlüsselwort ein. Oder bei meinem webhostinganbieter direkt nachfragen ? Der wird mir doch bestimmt sagen, dass ich das richtig konfigurieren muss 😀
Thread-Starter lud3r
(@lud3r)

vor 4 Jahren, 5 Monaten
Ursache gefunden!

Ich habe in jeglicher Form htaccess verändern. Ohne Erfolg.
Anschließend fand ich heraus, dass wenn das Woocommerce-Plugin aktiv ist dieses Problem auftritt.
Bedeutet, dass wenn WC als Plugin aktiviert ist, erfolgt die htaccess-Abfrage auf der Start-/Hauptseite.
Weshalb auch immer.
- Diese Antwort wurde geändert vor 4 Jahren, 5 Monaten von lud3r.
Moderator Bego Mario Garde
(@pixolin)

vor 4 Jahren, 5 Monaten

Und weitere Frage : Angenommen ich schütze nun die wp-login.php durch die htaccess-datei im Hauptordner. Ist das trotzdem noch funktioniell, wenn der Adminlogin umbenannt wurde (so wie Du es vorhin auch vorgeschlagen hast)?

Ja, sonst würde das Plugin ja nicht funktionieren. 🙂

Schön, dass du eine Lösung für das Problem mit der .htaccess gefunden hast. Ich markiere den Thread mal als „gelöst“.

Thread-Starter lud3r
(@lud3r)

vor 4 Jahren, 5 Monaten

Nun muss ich also bei woocommerce mal anklopfen 😉 Normal kann das so ja nicht geschehen, denn das Plugin nutzen ja nicht nur 25 Personen.

Thread-Starter lud3r
(@lud3r)

vor 4 Jahren, 5 Monaten

Ich habe die Lösung gefunden und hier hinein geschrieben :

Lösung

Ansicht von 11 Antworten - 1 bis 11 (von insgesamt 11)

Das Thema „htaccess für wp-admin wird auf Startseite aufgerufen“ ist für neue Antworten geschlossen.

htaccess für wp-admin wird auf Startseite aufgerufen

Themen-Schlagwörter

Ansichten