Passwortschutz für WP-Admin-Bereich
| # Beispiel-Datei für WP-Passwortschutz | |
| # https://www.wp-sicherheit.info | |
| # Marc Nilius, info@wp-sicherheit.info | |
| # Absicherung der wp-login.php | |
| # Der Zugriff eines nicht-eingeloggten benutzers aucf /wp-admin | |
| # leitet auch auf die wp-login.php weiter, so dass hiermit | |
| # alles abgesichert ist | |
| # | |
| # Den Pfad zur .htpasswd entsprechend anpassen | |
| # Am besten liegt diese Datei mindestens eine Verzeichnisebene höher | |
| <Files wp-login.php> | |
| AuthName "Du kommst hier nicht rein" | |
| AuthType Basic | |
| AuthUserFile /pfad/zur/.htpasswd | |
| Require valid-user | |
| </Files> | |
| # .htaccess und .htpasswd werden zusätzlich abgesichert, | |
| # Direkter Zugriff darauf von aussen ist nicht möglich | |
| <FilesMatch "(\.htaccess|\.htpasswd)"> | |
| Order deny,allow | |
| Deny from all | |
| </FilesMatch> | |
| # ENTWEDER: | |
| # Zusätzlich wird die XMLRPC-Schnittstelle abgesichert. | |
| # Diese wird von externen Programmen genutzt, um auf WordPress zuzugreifen, | |
| # z. B. die WordPress für iOS, Windows Live Writer etc. | |
| # Auch Pingbacks und Trackbaacks laufen darüber | |
| # Nur abschalten, wenn obige Funktionen nicht benötigt werden | |
| <Files xmlrpc.php> | |
| Order Deny,Allow | |
| Deny from all | |
| </Files> | |
| # ODER: | |
| # Falls externe Programme Zugriff auf die XMLRPC-Schnittstelle benötigen, | |
| # wird versucht, den Zugriff auf eben diese Programme zu beschränken | |
| # Dazu muss auf dem Server das Apache-Modul "mod_setenvif" | |
| # (http://httpd.apache.org/docs/2.2/mod/mod_setenvif.html) installiert sein. | |
| # Alle nicht benötigte "BrowserMatch"-Zeilen entfernen und | |
| # nur die "BrowserMatch"-Einträge behalten, für die Programme, die man nutzt! | |
| # Quelle: http://cup.wpcoder.de/wordpress-xmlrpc-schutz/ | |
| <IfModule mod_setenvif.c> | |
| <Files xmlrpc.php> | |
| BrowserMatch "Poster" allowed | |
| BrowserMatch "WordPress" allowed | |
| BrowserMatch "Windows Live Writer" allowed | |
| BrowserMatch "wp-iphone" allowed | |
| BrowserMatch "wp-android" allowed | |
| BrowserMatch "wp-windowsphone" allowed | |
| Order Deny,Allow | |
| Deny from All | |
| Allow from env=allowed | |
| </Files> | |
| </IfModule> |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment