Backend sichern – wp-admin und wp-config.php schützen

6. Januar 2018 x Homepage Bau

Jetzt wird’s nochmal technisch, …. und macht trotzdem sehr viel Sinn ….

Das wp-admin Verzeichnis ist der wichtigste Ordner auf eurem FTP-Server. Er sollte unbedingt mit einem Passwort geschützt werden, um einen Zugriff auf euer Backend zu verhindern.

Dies kann das gleiche sein wie dein Admin-Passwort für WordPress.

Dabei gehst du genauso vor, wie in dem Beitrag Dateien in der Cloud ablegen beschrieben ist. Hier die Kurzfassung:

  1. Legt eine Datei .htaccess in dem Ordner wp-admin an mit folgendem Inhalt:
    # Passwortschutz WP-Admin Verzeichnis
    AuthType Basic
    AuthName „Administrationsbereich“
    AuthUserfile /home/webpages/lima-city/cpprojects/wordpress_de-2017-11-20-00cb97/wp-admin/.htpasswd
    Require valid-user
    … Achtung: benutzt EUREN Dateipfad
  2.  Verschlüsselt euer (Admin)-Passwort mit einem Passwort-Generator, z.B. https://thomasba.lima-city.de/stuff/htpasswd.php
    Ergebnis:
    UserID:$0$xxx=0000$xxxxxxxxxx$xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  3. Jetzt erstellt ihr in dem gleichen Unterordner eine Datei .htpasswd, mit dem verschlüsselten Passwort (nur die eine Zeile hineinkopieren)

Das war’s.

Um zu verhindern, dass eure Datenbank-Informationen aufgelistet werden können, müsst ihr noch eure wp-config.php schützen und i eurem Hautpverzeichnis das Listing verbieten.

  1.  In eurer .htaccess im Hauptverzeichnis fügt ihr folgenden Code ein:
    # WP CONFIG SICHERN
    <Files wp-config.php>
    order allow,deny
    deny from all
    </Files>
    #END CONFIG GESICHERT
  2. Ebenso in der .htaccess muss das Server Listing des Hauptverzeichnisses ausgeschaltet werden. Also folgenden Code einfügen:
    # SERVER LISTING VERBIETEN
    Options -Indexes
    # END SERVER LISTING VERBIETEN
  3. Für euer Dateien-Verzeichnis in der Cloud müsst ihr nun aber wieder das Listing freigeben. Der Ordner ist ja bereits Passwort geschützt. Dies geschieht in der Datei .htaccess in eurem Dateien Ordner, bei mir ist das:
    /home/webpages/lima-city/cpprojects/wordpress_de-2017-11-20-00cb97/wordpress_de-2017-11-20-00cb97/CP_Dateien
    Der Code für die .htaccess in diesem Ordner ist:
    # SERVER LISTING WIEDER ERLAUBEN
    Options +Indexes
    # END SERVER LISTING WIEDER ERLAUBEN

Tags: