Jens Herdy

In meinem letzten Blog-Eintrag habe ich euch eine Möglichkeit beschrieben, wie Ihr die Login Seite eures WordPress Blogs schützen könnt.
Leider musste ich feststellen, dass das WordPress Plugin “SI CAPTCHA Anti-Spam” inzwischen nicht mehr so gut ist wie früher, da die Captchas des Plugins von Bots erkannt werden können. Aufgrund dessen habe ich mich nach einer anderen Lösung umgeschaut und möchte ich euch nun eine bessere Möglichkeit zeigen euch zu schützen.

Die Lösung ist relativ simpel und greift bereits auf der Serverebene. Der Webserver übernimmt hierbei den Schutz und lässt den Angreifer gar nicht erst zu eurer WordPress Installation und zu eurem Admin-Bereich durch. Bevor man darauf zugreifen darf, wird man bereits nach einem Passwort gefragt. Wir sichern uns somit durch eine doppelte Passwort abfrage ab. Die erste wird vom Server kontrolliert die nicht so anfällig ist und die zweite kommt von unserem WordPress-Blog.
Ein Vorteil von dieser Methode ist, dass man vor potentielle Sicherheitslücken geschützt ist. Denn um diese Sicherheitslücken ausnutzen zu können, muss man erstmal an dem ersten Passwortschutz vorbei der vom Server betrieben wird.
Ein weiterer Vorteil ist wiederum das die WordPress Installation schlanker ist, da Ihr euch mehrere Plugins wie “SI Captcha Anti-Spam” und “Limit Login Attempts” spart.

Den Passwortschutz richten wir ein, indem wir als erstes in das Hauptverzeichnis unserer WordPress Installation gehen. Diese sollte ungefähr so aussehen:

Falls Ihr an dieser Stelle keine .htaccess Datei habt, beginnt bei Schritt 1. Solltet ihr bereits eine haben, beginnt bei Schritt 2.

1. Erstellt euch eine neue und leere Textdatei auf eurem Desktop. Ladet Sie in das Verzeichnis hoch und benennt sie um in “.htaccess”.
2. Falls Ihr nicht den kompletten (relativen) Pfad zu diesem Verzeichnis kennen solltet oder wenn Ihr euch nicht sicher seid, ladet nun diese Datei aus der ZIP-Datei in das Verzeichnis hoch und ruft Sie über euren Browser auf. (deineseite.tld/pfad.php)
3. Bearbeitet jetzt eure .htaccess Datei und fügt den folgenden Inhalt ein. Sollte dort bereits etwas stehen, fügt Ihr ihn einfach dadrunter ein.

<Files wp-login.php>
  AuthName "WordPress Admin"
  AuthType Basic
  AuthUserFile /bla/bla/http/.htpasswd
  require valid-user
</Files>

<FilesMatch "(.htaccess|.htpasswd|wp-config.php)">
  order deny,allow
  deny from all
</FilesMatch>

Der obere Teil dieses Codes ist für die Passwort abfrage. Der untere Teil des Codes schützt zusätzlich wichtige Dateien wie die Konfigurationsdatei eures WordPress Blogs.

4. Ändert den Pfad bei “AuthUserFile” in euren eigenen aus Punkt 2.
5. Erstellt euch wie in Punkt 1 eine neue Datei die Ihr dieses mal aber in “.htpasswd” umbenennt.
6. Geht auf die Webseite -Link entfernt- und gebt einen Benutzernamen und ein Passwort ein (Verschlüsselungsmethode auf md5 belassen)
7. Klickt auf “.htpasswd erweitern” und kopiert den generierten Inhalt in eure .htpasswd Datei.

Wenn Ihr alles richtig gemacht habt und euch nun in eurem Blog anmelden wollt, müsstet Ihr ab sofort zweimal ein Passwort eingeben. Einmal das soeben erstellte.

Und selbstverständlich euer normales.

Ich hoffe das euch diese Anleitung geholfen hat. Solltet Ihr Fragen hierzu haben, könnt Ihr Sie gerne in den Kommentaren stellen. Ich antworte, wie immer, schnellstmöglich.

In diesem Artikel möchte ich euch kurz erklären, wie Ihr die Login Seite eures WordPress Blogs schützen könnt. – Warum Ihr dies machen solltet? Ein guter Grund hierfür ist zum Beispiel das seit geraumer Zeit ein Botnet WordPress Installationen angreift. Hier gibt es einen Artikel von Heise Security darüber.

Um euch wirkungsvoll dagegen zu schützen solltet Ihr vier wichtige Sachen beachten.

1. Verwendet immer sichere Passwörter! Dies gilt nicht nur für WordPress – Überall dort wo man angemeldet ist sollte man dies machen. Grundsätzlich gilt:
   – kein Passwort zweimal verwenden
   – es soll nicht in einem Wörterbuch zu finden sein
   – Sonderzeichen, Zahlen, große und kleine Buchstaben sollen vorkommen
   – zehn Zeichen oder mehr sollte es haben
   – keine Verbindung mit euch (Name, Geburtsdatum etc.) soll bestehen
   
   Da einige Webseiten-Betreiber nicht in der Lage sind einen vernünftigen Login zu erstellen, solltet Ihr die folgenden Zeichen nicht verwenden da dies zu Fehlern führen kann: & (und) ‘ (Apostroph) ” (Anführungszeichen)

2. Das Plugin SI CAPTCHA Anti-Spam ist ein wirkungsvolles Tool im Kampf gegen Bots. Dadurch das es nötig ist eine Kombination von einem Bild abzutippen, erfolgt ein wirkungsvoller Test ob man es mit einem Menschen oder einer Maschine zu tun hat.

In den Optionen sollte man bei “CAPTCHA difficulty level” “High” einstellen. Keine Sorge, es ist immer noch gut zu erkennen. Wenn Ihr die Haken so setzt wie ich, habt ihr ein Captcha auf der Login Seite, beim Registrierungsformular (falls man sich in eurem Blog als Benutzer registrieren kann) sowie auf der Passwort-Vergessen Seite.

3. Das Plugin Limit Login Attempts soll euch nun noch vor Menschen schützen die sich Zugriff auf euren Blog verschaffen wollen.

Ich habe das Plugin so eingestellt, dass nach drei fehlgeschlagenen Login-Versuchen die IP des Benutzers für 60 Minuten gesperrt wird. Wenn er anschließend drei weitere fehlgeschlagene Login-Versuche hat, wird er für 48 Stunden gesperrt.

4. Haltet immer eure Plugins und die WordPress Installation auf dem neusten Stand! Durch erscheinende Updates werden oft Sicherheitslücken geschlossen!