Passwortschutz für WP-Admin-Bereich
# Beispiel-Datei für WP-Passwortschutz | |
# https://www.wp-sicherheit.info | |
# Marc Nilius, info@wp-sicherheit.info | |
# Absicherung der wp-login.php | |
# Der Zugriff eines nicht-eingeloggten benutzers aucf /wp-admin | |
# leitet auch auf die wp-login.php weiter, so dass hiermit | |
# alles abgesichert ist | |
# | |
# Den Pfad zur .htpasswd entsprechend anpassen | |
# Am besten liegt diese Datei mindestens eine Verzeichnisebene höher | |
<Files wp-login.php> | |
AuthName "Du kommst hier nicht rein" | |
AuthType Basic | |
AuthUserFile /pfad/zur/.htpasswd | |
Require valid-user | |
</Files> | |
# .htaccess und .htpasswd werden zusätzlich abgesichert, | |
# Direkter Zugriff darauf von aussen ist nicht möglich | |
<FilesMatch "(\.htaccess|\.htpasswd)"> | |
Order deny,allow | |
Deny from all | |
</FilesMatch> | |
# ENTWEDER: | |
# Zusätzlich wird die XMLRPC-Schnittstelle abgesichert. | |
# Diese wird von externen Programmen genutzt, um auf WordPress zuzugreifen, | |
# z. B. die WordPress für iOS, Windows Live Writer etc. | |
# Auch Pingbacks und Trackbaacks laufen darüber | |
# Nur abschalten, wenn obige Funktionen nicht benötigt werden | |
<Files xmlrpc.php> | |
Order Deny,Allow | |
Deny from all | |
</Files> | |
# ODER: | |
# Falls externe Programme Zugriff auf die XMLRPC-Schnittstelle benötigen, | |
# wird versucht, den Zugriff auf eben diese Programme zu beschränken | |
# Dazu muss auf dem Server das Apache-Modul "mod_setenvif" | |
# (http://httpd.apache.org/docs/2.2/mod/mod_setenvif.html) installiert sein. | |
# Alle nicht benötigte "BrowserMatch"-Zeilen entfernen und | |
# nur die "BrowserMatch"-Einträge behalten, für die Programme, die man nutzt! | |
# Quelle: http://cup.wpcoder.de/wordpress-xmlrpc-schutz/ | |
<IfModule mod_setenvif.c> | |
<Files xmlrpc.php> | |
BrowserMatch "Poster" allowed | |
BrowserMatch "WordPress" allowed | |
BrowserMatch "Windows Live Writer" allowed | |
BrowserMatch "wp-iphone" allowed | |
BrowserMatch "wp-android" allowed | |
BrowserMatch "wp-windowsphone" allowed | |
Order Deny,Allow | |
Deny from All | |
Allow from env=allowed | |
</Files> | |
</IfModule> |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment