Support » Allgemeine Fragen » htaccess für wp-admin wird auf Startseite aufgerufen

Ansicht von 11 Antworten - 1 bis 11 (von insgesamt 11)
  • Moderator Bego Mario Garde

    (@pixolin)

    Hast du denn auch eine Passwörter-Datei .htpasswd angelegt?

    Das ist übrigens kein WordPress-Thema, selbst wenn du auf deinem Server WordPress verwendest. Hier geht es um eine Serverkonfiguration.

    Ja, die habe ich angelegt und das funktioniert auch, wenn ich Benutzer und Passwort eingebe.

    Richtig. Nur weil es eben meine WordPressinstallation betrifft bzw speziell den wp-admin Bereich, habe ich das hier hinein geschrieben.

    – evtl verursacht das woocommerce, weil auf der Hauptseite ein Einloggmöglichkeit besteht ?
    – gibt es eine andere Möglichkeit htaccess-Schutz für wp-admin zu erzeugen ?
    – andere Lösungsmöglichkeiten ?

    Grüße

    Moderator Bego Mario Garde

    (@pixolin)

    Die Eingabe des htpasswd-Passworts wird im Browser gespeichert. Greifst du erneut auf wp-admin zu, wird das Passwort nicht mehr abgefragt.

    Ich verwende gerne Rename wp-login.php, mit dem du das Anmeldeformular auch in https://example.com/mach-hoch-die-tuer umbenennen kannst (und damit autmatisierte Angriffe auf wp-login.php vereitelst). Außerdem solltest du, wenn möglich, die XML-RPC-Schnittstelle abschalten, die sehr gerne für Angriffe genutzt wird.

    Zusätzliche Sicherheit (und nicht nur fragwürdige Sicherheit durch Verschleierung – Security through obscurity) bietet dir eine Zwei-Faktor-Authentifikation, z.B. mit Two Factor, das hoffentlich bald fester Bestandteil des Core wird.

    Moderator Bego Mario Garde

    (@pixolin)

    Nachtrag: dieser Beitrag hat einige nützliche Tipps für zusätzliche Einstellungen in der .htaccess: https://www.drweb.de/8-nuetzlichsten-htaccess-tricks-wordpress-50807/

    Vielen Dank dafür bzw den Link.
    Diese und andere Einstellungen sind bereits in der htaccess vorhanden.

    Speziell wird ja dort geschildert, dass man der htaccess (die nicht im wp-admin Bereich liegt, sondern im Hauptordner) Einstellungen hinzufügt, dass man den Zugriff auf die wp-login.php verhindert. (Ist auch funktionell, wenn man den Loginbereich von wp-admin umbenannt hat, oder ?
    Diese Einstellungen habe ich auch bereits probiert, jedoch tut sich dann „gar nichts“ bzw es wird dann, wenn ich den Adminbereich aufrufe, keinerlei htaccess-Abfrage gestartet.

    Ich habe auch bereits den Adminbereich umbenannt wie gesagt 🙂
    XML-RPC ist ebenfalls abgeschaltet.

    Ich möchte nur nicht, dass jemand den Adminbereich versucht anzugreifen und der htaccess ist schon echt eine normal „super-einfache“ und effektive Methode.

    Moderator Bego Mario Garde

    (@pixolin)

    Diese Einstellungen habe ich auch bereits probiert, jedoch tut sich dann „gar nichts“ bzw es wird dann, wenn ich den Adminbereich aufrufe, keinerlei htaccess-Abfrage gestartet.

    Probier das mal mit einem „Privaten Browserfenster“ aus – da sollte das htpasswd nicht im Cache gespeichert sein. Wenn es damit nicht funktioniert, stimmt die Konfiguration vielleicht nicht.

    der htaccess ist schon echt eine normal „super-einfache“ und effektive Methode.

    YMMV. Mich nervt diese Abfrage eher, auch weil das Passwort von meinem Passwortmanager nicht automatisch ausgefüllt wird. Aber bei Kunden, bei denen sich die Angriffe häufen, würde ich zumindest über eine zwei-Faktor-Authentifikation nachdenken. Oder wenn du als Moderator im Support-Forum aushilfst.

    Aus den Berichten über gehackte Websites, die wir hier im Forum bekommen, nehme ich an, dass veraltete Plugins und Themes, Login oder FTP über unverschlüsselte Verbindungen, falsche Dateiberechtigungen und unsichere Webserver einen höheren Stellenwert für Angriffe haben als Bruteforce. 100%ige Sicherheit gibt es nie, aber funktionierende, regelmäßige, rasch wiederherstellbare Backups.

    Da gebe ich Dir Recht mit den Sicherheitslücken, dass besonders „alte Systeme“ anfälliger sind.

    Ich werde das mit dem privaten Browserfenster prboeren und dann eine Rückmeldung geben.

    Andere Frage : Gibt es noch eien andere Möglichkeit einen derartigen htaccess-Schutz zu realisieren. Z.B. ein Plugin ?

    Und weitere Frage : Angenommen ich schütze nun die wp-login.php durch die htaccess-datei im Hauptordner. Ist das trotzdem noch funktioniell, wenn der Adminlogin umbenannt wurde (so wie Du es vorhin auch vorgeschlagen hast). Ich shcätze zwar ja, weil es ja eigentlich nur eine Maske ist die Umbenennung, oder ?

    Und wonach sollte ich als Schlagwort suchen, wenn diese htaccess-Schutzvariante sich nicht beheben lässt. Mir fällt da kein Schlüsselwort ein. Oder bei meinem webhostinganbieter direkt nachfragen ? Der wird mir doch bestimmt sagen, dass ich das richtig konfigurieren muss 😀

    Ursache gefunden!

    Ich habe in jeglicher Form htaccess verändern. Ohne Erfolg.
    Anschließend fand ich heraus, dass wenn das Woocommerce-Plugin aktiv ist dieses Problem auftritt.
    Bedeutet, dass wenn WC als Plugin aktiviert ist, erfolgt die htaccess-Abfrage auf der Start-/Hauptseite.
    Weshalb auch immer.

    • Diese Antwort wurde geändert vor 2 weeks, 1 day von lud3r.
    Moderator Bego Mario Garde

    (@pixolin)

    Und weitere Frage : Angenommen ich schütze nun die wp-login.php durch die htaccess-datei im Hauptordner. Ist das trotzdem noch funktioniell, wenn der Adminlogin umbenannt wurde (so wie Du es vorhin auch vorgeschlagen hast)?

    Ja, sonst würde das Plugin ja nicht funktionieren. 🙂

    Schön, dass du eine Lösung für das Problem mit der .htaccess gefunden hast. Ich markiere den Thread mal als „gelöst“.

    Nun muss ich also bei woocommerce mal anklopfen 😉 Normal kann das so ja nicht geschehen, denn das Plugin nutzen ja nicht nur 25 Personen.

    Ich habe die Lösung gefunden und hier hinein geschrieben :

    Lösung

Ansicht von 11 Antworten - 1 bis 11 (von insgesamt 11)