Passwortschutz für WP-Admin-Bereich

## .htaccess
# Beispiel-Datei für WP-Passwortschutz
# https://www.wp-sicherheit.info
# Marc Nilius, info@wp-sicherheit.info

# Absicherung der wp-login.php
# Der Zugriff eines nicht-eingeloggten benutzers aucf /wp-admin
# leitet auch auf die wp-login.php weiter, so dass hiermit
# alles abgesichert ist
#
# Den Pfad zur .htpasswd entsprechend anpassen
# Am besten liegt diese Datei mindestens eine Verzeichnisebene höher
<Files wp-login.php>
  AuthName "Du kommst hier nicht rein"
  AuthType Basic
  AuthUserFile /pfad/zur/.htpasswd
  Require valid-user
</Files>

# .htaccess und .htpasswd werden zusätzlich abgesichert,
# Direkter Zugriff darauf von aussen ist nicht möglich
<FilesMatch "(\.htaccess|\.htpasswd)">
  Order deny,allow
  Deny from all
</FilesMatch>

# ENTWEDER:
# Zusätzlich wird die XMLRPC-Schnittstelle abgesichert.
# Diese wird von externen Programmen genutzt, um auf WordPress zuzugreifen,
# z. B. die WordPress für iOS, Windows Live Writer etc.
# Auch Pingbacks und Trackbaacks laufen darüber
# Nur abschalten, wenn obige Funktionen nicht benötigt werden
<Files xmlrpc.php>
  Order Deny,Allow
  Deny from all
</Files>

# ODER:
# Falls externe Programme Zugriff auf die XMLRPC-Schnittstelle benötigen,
# wird versucht, den Zugriff auf eben diese Programme zu beschränken
# Dazu muss auf dem Server das Apache-Modul "mod_setenvif"
# (http://httpd.apache.org/docs/2.2/mod/mod_setenvif.html) installiert sein.
# Alle nicht benötigte "BrowserMatch"-Zeilen entfernen und
# nur die "BrowserMatch"-Einträge behalten, für die Programme, die man nutzt!
# Quelle: http://cup.wpcoder.de/wordpress-xmlrpc-schutz/
<IfModule mod_setenvif.c>
    <Files xmlrpc.php>
        BrowserMatch "Poster" allowed
        BrowserMatch "WordPress" allowed
        BrowserMatch "Windows Live Writer" allowed
        BrowserMatch "wp-iphone" allowed
        BrowserMatch "wp-android" allowed
        BrowserMatch "wp-windowsphone" allowed

        Order Deny,Allow
        Deny from All
        Allow from env=allowed
    </Files>
</IfModule>
	# Beispiel-Datei für WP-Passwortschutz
	# https://www.wp-sicherheit.info
	# Marc Nilius, info@wp-sicherheit.info

	# Absicherung der wp-login.php
	# Der Zugriff eines nicht-eingeloggten benutzers aucf /wp-admin
	# leitet auch auf die wp-login.php weiter, so dass hiermit
	# alles abgesichert ist
	#
	# Den Pfad zur .htpasswd entsprechend anpassen
	# Am besten liegt diese Datei mindestens eine Verzeichnisebene höher
	<Files wp-login.php>
	AuthName "Du kommst hier nicht rein"
	AuthType Basic
	AuthUserFile /pfad/zur/.htpasswd
	Require valid-user
	</Files>

	# .htaccess und .htpasswd werden zusätzlich abgesichert,
	# Direkter Zugriff darauf von aussen ist nicht möglich
	<FilesMatch "(\.htaccess\|\.htpasswd)">
	Order deny,allow
	Deny from all
	</FilesMatch>

	# ENTWEDER:
	# Zusätzlich wird die XMLRPC-Schnittstelle abgesichert.
	# Diese wird von externen Programmen genutzt, um auf WordPress zuzugreifen,
	# z. B. die WordPress für iOS, Windows Live Writer etc.
	# Auch Pingbacks und Trackbaacks laufen darüber
	# Nur abschalten, wenn obige Funktionen nicht benötigt werden
	<Files xmlrpc.php>
	Order Deny,Allow
	Deny from all
	</Files>

	# ODER:
	# Falls externe Programme Zugriff auf die XMLRPC-Schnittstelle benötigen,
	# wird versucht, den Zugriff auf eben diese Programme zu beschränken
	# Dazu muss auf dem Server das Apache-Modul "mod_setenvif"
	# (http://httpd.apache.org/docs/2.2/mod/mod_setenvif.html) installiert sein.
	# Alle nicht benötigte "BrowserMatch"-Zeilen entfernen und
	# nur die "BrowserMatch"-Einträge behalten, für die Programme, die man nutzt!
	# Quelle: http://cup.wpcoder.de/wordpress-xmlrpc-schutz/
	<IfModule mod_setenvif.c>
	<Files xmlrpc.php>
	BrowserMatch "Poster" allowed
	BrowserMatch "WordPress" allowed
	BrowserMatch "Windows Live Writer" allowed
	BrowserMatch "wp-iphone" allowed
	BrowserMatch "wp-android" allowed
	BrowserMatch "wp-windowsphone" allowed

	Order Deny,Allow
	Deny from All
	Allow from env=allowed
	</Files>
	</IfModule>