Support » Allgemeine Fragen » Konflikt zwischen htaccess Passwortschutz und User-Login

  • Moin,

    ich sichere die Datei „wp-login.php“ mit .htaccess ab:

    <Files wp-login.php>
    AuthName "Admin-Bereich"
    AuthType Basic
    AuthUserFile /der/pfad/zur/.htpasswd
    require valid-user
    </Files>

    Leider führt dies zu einem Konflikt, der zur Folge hat, dass sich User nicht mehr anmelden können und durch WP Boardmittel passwortgeschützte Inhalte nicht mehr erreicht werden können.

    Ich habe seit mehreren Tagen ausführlich dazu recherchiert und immerhin schonmal folgendes in Erfahrung bringen können:

    WordPress nutzt für passwortgeschützte Seiten und für den User-Login offenbar eine Funktion, die vom .htaccess-Schutz ummantelt wird:

    /wp-login.php?action=postpass

    wp-login.php und damit die dahinterliegende Funktion ‚action=postpass‘ ist allerdings .htaccess geschützt, weshalb zusätzlich der serverseitige Login erscheint – sowohl bei (durch WP Bordmittel) passwortgeschützten Inhalten, als auch beim regulären User-Login.

    Dazu habe ich u.a. folgenden Artikel gelesen und versucht, die dort gemachten Vorschläge umzusetzen – leider ohne Erfolg:

    StackOverflow

    Die Antworten im Internet scheinen sich aber im Wesentlichen auf die folgenden zwei Optionen zu beschränken:

    1. Usern die Login-Daten für den .htaccess Schutz mitteilen (na klar, jeder Besucher der Webseite möchte neben seinem normalen Passwort auch noch ein 32-stelliges Passwort zusätzlich eingeben…)
    2. .htaccess-Schutz wieder entfernen (Hallo Brute Force Hacker…)

    Eine wirkliche Lösung sind diese beiden Vorschläge wohl kaum. Ich suche nach einer vernünftigen Lösung, die es mir ermöglicht, sowohl den User-Login als auch den Passwortschutz ohne Konflikte mit einem völlig normalen htaccess-Schutz nutzen zu können.

    Ich bin nicht gerade ein WP-Profi, weiß mir aber in der Regel durchaus selbst zu helfen. Habt also etwas Nachsicht, wenn ich nicht sofort alles verstehe, oder etwas scheinbar offensichtliches übersehen haben sollte.

    Vielen Dank für Eure Mühe!

    WP Version: 5.5.1
    WP Multisite: Ja
    Server Info: Apache
    PHP Version: 7.4.9

    • Dieses Thema wurde geändert vor 2 Jahre, 2 Monaten von Bego Mario Garde. Grund: Link korrigiert
Ansicht von 11 Antworten - 1 bis 11 (von insgesamt 11)
  • Hallo,
    wir nutzen auf einigen Seiten den Passwortschutz mit htaccess. Auf anderen Seiten haben wir mittlerweile das wirklich empfehlenswerte Plugin Two-Factor installiert. Möglicherweise ist das eine Lösung, die für dich interessant ist, siehe z. B. hier.
    Viele Grüße
    Hans-Gerd

    Ich hab mir das gerade nochmal angeschaut: tatsächlich werden passwortgeschützte Seiten und Beiträge durch die Einrichtung eines htpasswd-Schutzes unbrauchbar.
    Ich würde auch auf eine andere Methode zur Absicherung des Login setzen.
    Mit WPS Hide Login das Anmeldeformular umbenennen, dann mit Limit Login Attempts Reloaded und dem von Hans-Gerd bereits genannten Two-Factor-Plugin zusätzlich gegen Brute-Force-Angriffe absichern.

    Thread-Starter Lasse

    (@fraggle)

    Hallo Hans-Gerd,

    Du meinst also: htaccess-Schutz raus, Two-Factor-Authentifizierung rein. Wäre ein guter Workaround.
    Das mit den Plugins ist ja immer so eine Sache. Es werden immer mehr und mehr, was sicherlich auch nicht gerade ideal ist. Zudem kommen da doch bestimmt wieder mal zusätzliche Kosten auf mich zu oder?
    Wenn es partout keine andere Lösung dazu gibt, werde ich das dann aber wohl so machen, wie Du vorgeschlagen hast.

    Danke für die Idee!

    LG
    Lasse

    Das mit den Plugins ist ja immer so eine Sache. Es werden immer mehr und mehr, was sicherlich auch nicht gerade ideal ist.

    Das kommt ein wenig darauf an, was das Plugin tut. 🙂

    Zudem kommen da doch bestimmt wieder mal zusätzliche Kosten auf mich zu oder?

    Genau, wie bei WordPress – da bekommst du ja auch monatlich eine Rechnung. 😜
    Nein, im Ernst – die angegebenen Plugins sind kostenlos über das WordPress Plugin-Verzeichnis erhältlich.

    Thread-Starter Lasse

    (@fraggle)

    Wow, werden mir hier gerade drei (!) Plugins als Lösung für ein (!) Problem vorgeschlagen? Ist es nicht so, dass jedes zusätzliche Plugin ein weiteres Sicherheitsrisiko darstellt und zudem die Performance der Website beeinträchtigt?

    Also „WPS Hide Login“ alleine wäre ja ein Witz (no offense). Eine ’security through obscurity‘ Lösung, die in der Praxis nichts bringt. Limit Login Attempts Reloaded habe ich bereits installiert (zusätzlich zum htaccess-Schutz). Problem damit alleine war die Tatsache, dass die wp-login.php so heftig von Bots angegriffen wurde, dass ich am Ende nur noch einen Login-Versuch zulassen konnte. Bei falscher Passworteingabe: Ausperrung für eine sehr, sehr lange Zeit. Das wäre natürlich etwas ungünstig, wenn sich mal ein regulärer User bei der Passworteingabe vertippt.

    Nichts desto trotz werde ich mich mal über das Thema 2-Faktor-Authentifizierung schlau machen. Danke für Eure Vorschläge!

    Nichts desto trotz werde ich mich mal über das Thema 2-Faktor-Authentifizierung schlau machen. Danke für Eure Vorschläge!

    Hier noch ein sehr informativer Vortrag

    Wow, werden mir hier gerade drei (!) Plugins als Lösung für ein (!) Problem vorgeschlagen?

    Ob du alle drei Vorschläge übernimmst, musst du selber entscheiden. Ich wollte dir nur Vorschläge machen, wie du eine weitreichende Absicherung vornehmen kannst.

    Ist es nicht so, dass jedes zusätzliche Plugin ein weiteres Sicherheitsrisiko darstellt und zudem die Performance der Website beeinträchtigt?

    Ja. Und nein.
    Theoretisch bietet jedes Plugin die Chance, dass durch einen Programmierfehler eine Sicherheitslücke entsteht. Dafür machst du regelmäßig Backups, um im Schadensfall eine Wiederherstellung in ein paar Minuten durchzuführen.
    Praktisch handelt es sich um weit verbreitete, sorgfältig gepflegte Plugins.

    Die Performance wird dann beeinträchtigt, wenn ein Plugin ausgeführt wird. Ein Plugin, dass bei der Anmeldung die Richtigkeit des Passworts prüft, wird auf den Abruf von normalen Webseiten kaum Einfluss haben.

    Grundsätzlich solltest du immer abwägen, wie viele Plugins du einsetzt, weil sie auch den Wartungsaufwand (regelmäßige Aktualisierungen) erhöhen. Die pauschale Aussage, dass sich jedes Plugin negativ auf die Performance der Website auswirkt ist jedoch falsch.

    Also „WPS Hide Login“ alleine wäre ja ein Witz (no offense).

    Nein, finde ich nicht (und hätte es sonst auch nicht empfohlen).

    Automatisierte Angriffe greifen (wenn sie nicht über XML-RPC ausgeführt werden) meistens auf wp-login.php zu und wenn die URL zu einem „404“ führt, wird der Angriff zumindest erheblich erschwert. Wie soll ein Skript herausfinden, dass das Anmeldeformular bei deiner Website https://example.com/sesam-oeffne-dich heißt?
    Security through obscurity ist zugegeben kein gutes Sicherheitskonzept, aber den Anspruch erhebt es auch nicht. Es geht einfach darum, Angriffe ein wenig zu erschweren und Bots ins Leere laufen zu lassen. (Die Sperrung der IP-Adresse bei fehlgeschlagenen Passworteingaben ist übrigens genauso leicht zu umgehen.)

    Wie auch immer … viel Erfolg.

    Guten Tag und ein schönes Wochenende

    Habe da gleich mal eine Frage zum WPS Hide Login Plugin.

    Mann kann eben die Anmelde-URL eingeben und eine Redirection url.
    Bei der Redirection url wird standartmässig auf die 404 Seite weitergeleitet.
    Ist das den ratsam?

    Du möchtest das Anmeldeformular verstecken. Da ist es doch nicht verkehrt, bei Aufruf von wp-login.php eine Fehlermeldung „404 – File not found“ auszugeben.

    Ok, aber werden auf 404 Seiten nicht auch verstärkt Angriffe ausgeführt? Wär es da nicht besser auf die „Home“ Seite weiter zu leiten, etc.?

    Was willst du denn bei einer Hinweisseite „Was du suchst, gibt es hier nicht“ verstärkt angreifen?

    Angreifer versuchen schon mal, nicht vorhandene Webseiten aufzurufen, um dann über Fehlermeldung mehr Informationen über den verwendeten Webserver und mögliche Angirffsvektoren herauszufinden. Das hat aber nichts damit zu tun, dass die Anzeige einer Seite mit der Fehlermeldung „Seite wurde nicht gefunden“ weniger sicher wäre.

Ansicht von 11 Antworten - 1 bis 11 (von insgesamt 11)
  • Das Thema „Konflikt zwischen htaccess Passwortschutz und User-Login“ ist für neue Antworten geschlossen.