Info für Wordpress Nutzer

[Difool]

Ich bin bei Wordpress mittlerweile dazu übergegangen den Adminbereich immer gleich via .htaccess-Passwort und .htpasswd zu schützen.
Also, noch eine Station vor dem Wirken/greifen des/solchen Plugins – bzw. kommen die Bots so ja erst gar nicht zur wp-login.php.

Empfinde ich so als Vorteil und auch stressfreier – und ein Plugin weniger.

edit:

<Files wp-login.php>
 AuthName "Admin-Bereich"
 AuthType Basic
 AuthUserFile https://www.ihre-domain.com/pfad/zu/ihrer/.htpasswd
 require valid-user
</Files>

<FilesMatch "(\.htaccess|\.htpasswd|wp-config\.php|liesmich\.html|readme\.html)">
 order deny,allow
 deny from all
</FilesMatch>

Da kann man dann auch gleich entscheiden, ob man "Feed-Grapper" auch gleich verbietet usw.
Diesen Schritt erledige ich gleich nach der Installation des Systems, bevor ich mich das erste Mal als Admin einlogge.

 

[wegus]

Bei einem so viel attackierten System wie Wordpress ist das auch die Mindestmaßnahme finde ich! Ich habe mich erschrocken, als ich meinen root-Server installiert hatte im Web. Das Ding war noch nicht mal publik, aber sofort kamen die Angriffe aus dem asiatischen Raum und sofort wurde nach Wordpress und Typo3 Backends gesucht. Da mußte ich erst einmal für Ruhe sorgen und den Server dichtmachen. Solche Backends mit htaccess zuzumachen ist in jedem Fall sehr weise!

 

[KOJOTE]

Vielen Dank an @Difool und @wegus für eure Rückmeldungen.
Ist dieser Code bereits ausreichend?

<Files wp-login.php>
 AuthName "Admin-Bereich"
 AuthType Basic
 AuthUserFile https://www.ihre-domain.com/pfad/zu/ihrer/.htpasswd
 require valid-user
</Files>

<FilesMatch "(\.htaccess|\.htpasswd|wp-config\.php|liesmich\.html|readme\.html)">
 order deny,allow
 deny from all
</FilesMatch>

Oder muss ich vorher auch noch ein entsprechendes Passwort generieren und hinterlegen?

 

[wegus]

Du mußt natürlich noch ein verschlüsseltes password in einer Datei hinterlegen!

Die 4.te Zeile in @Difool htaccess weist ja eigentlich zu einer echten Datei hin. Die mußt Du anlegen und den absoluten Pfad dahin hier angeben. Den Inhalt kann man mit dem Tool htpasswd selbst generieren oder aber Generatoren wie diesen hier nutzen:

http://www.htpasswdgenerator.de/

 

[Keek]

Du musst schon eine .htpasswd mit verschlüsseltem Passwort anlegen.

edith: Zu lahm.

 

[KOJOTE]

Ok, danke für die schnell Antwort.
Ich lese jetzt auch mal hier nach
https://wiki.selfhtml.org/wiki/Webserver/htaccess/Passwortschutz

 

[KOJOTE]

Ich hatte bisher eine Kombination aus "Limit Login Attempts" und "Si Captcha Anti Spam". Aber zwischenzeitlich erhöht sich wieder die dokumentierte Anzahl der in LLA gelisteten Angriffe.
Es wird Zeit da was zu ändern.

 

[Impcaligula]

Interessantes Thema und Infos. Danke Euch!

 

[KOJOTE]

Habe meine Seiten bei df gehostet.
Der nachstehende Code ist der Webseite der Domain Factory entnommen und unterscheidet sich von dem hier genannten.
Stellt sich mir die Frage ob der so auch passt.

# .htaccess-Datei fuer das Verzeichnis /test
AuthType Basic
AuthName "TopSecret-Bereich"
AuthUserFile /[SERVERPFAD]/[UNTERVERZEICHNISSE]/.htusers
AuthPGAuthoritative Off
require user  NamedesUsers NamedesUsers NamedesUsers

Zum einen verweist der Code in der Zeile 3
AuthUserFile, auf die .htusers
EDIT: Kapiert. Würde ich dort auf .htpasswd verweisen müsste ich auch eine Datei gleichen Namens mit den hinterlegten Pässen erstellt haben

Zum anderen gibt es keine dieser Match-Files-Zuordnungen.

 

[KOJOTE]

Bei mir existiert bereits eine .htaccess-Datei.
Kann ich den Code hier einfach im Anschluss an #END... hinzufügen?

Die bestehende .htaccess-Datei sieht ungefähr so aus:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
...
...
...
</IfModule>
# END WordPress

Raute steht ja nur für einen "Texthalter"

 

[Difool]

@KOJOTE

Richtig, du musst sogar die bereits bestehende .htaccess-Datei verwenden und kannst die Zusätze unter der Zeile # END Wordpress setzen.

<Files wp-login.php>
 AuthName "Admin-Bereich"
 AuthType Basic
 AuthUserFile https://www.ihre-domain.com/pfad/zu/ihrer/.htpasswd
 require valid-user
</Files>

^ Für den Passwortschutz brauchst du nur diesen Teil mit dem richtigen absoluten Server-Pfad zu deiner .htpasswd Datei.
Deinen "absoluten Pfad" bekommst du bsw. über deinen DF-Login-Bereich heraus:

Den absoluten Serverpfad Ihres Accounts finden Sie in Ihrem Kundenmenü bei "Verwaltung" unter dem Punkt "Auftragsinformationen" (Reiter "Pfade").

Und die Anweisung <Files wp-login.php> dient dazu, daß das gesetzte Passwort explizit bei dem Aufruf der Datei "wp-login.php" greifen soll –
und nicht bei Aufrufen jeder weiteren Dateien.

Dieser nachfolgende Teil dient zusätzlich mit dem "FilesMatch" dazu, was "externen Usern" bei den aufgelisteten Dateien erlaubt bzw. nicht erlaubt ist:

<FilesMatch "(\.htaccess|\.htpasswd|wp-config\.php|liesmich\.html|readme\.html)">
 order deny,allow
 deny from all
</FilesMatch>

 

[KOJOTE]

Das ist aber nett, dass Du lieber @Difool mir schon zum Frühstück antwortest. Ich habe zur Zeit Urlaub und lese daher erst "so spät" deine Erklärungen.

Da ich Zugriff auf meine Daten über FTP habe, kann ich ja relativ bedenkenlos testen.
Die notwendigen Dateien erstelle ich hier mit Textwrangler.

Nach dem runterladen der .htaccess-Datei ist es nicht schlecht zu wissen, dass diese aufgrund des dem Dateinamen vorangehenden Punktes, erst einmal unsichtbar sind.
Um die Dateien sichtbar zu machen habe ich für mich zwei Möglichkeiten entdeckt, die auch für alle anderen Interessierten von Nutzen sein könnten:

1. Die .htaccess-Datei auf dem Server duplizieren und das Duplikat im Anschluss umbenennen in z.B. htacces (ohne Punkt vor dem Namen)
2. Die .htaccess-Datei nach dem Download über das Terminal sichtbar machen. Dazu im Terminal folgenden Code im Terminal eingeben.

   defaults write com.apple.Finder AppleShowAllFiles TRUE; killAll Finder

   Will man im Anschluss wieder alle Dateien unsichtbar machen, dann

   defaults write com.apple.Finder AppleShowAllFiles FALSE; killAll Finder

   Selbstverständlich gibt es auch noch andere Möglichkeiten, aber mir genügen diese beiden.

@KOJOTE

<Files wp-login.php>
 AuthName "Admin-Bereich"
 AuthType Basic
 AuthUserFile https://www.ihre-domain.com/pfad/zu/ihrer/.htpasswd
 require valid-user
</Files>

Ist die Angabe von "www.ihre-Domain.com" eigentlich zwingend erforderlich?
Der absolute Pfad auf DF enthält diesen Teil nicht.

Dieser nachfolgende Teil dient zusätzlich mit dem "FilesMatch" dazu, was "externen Usern" bei den aufgelisteten Dateien erlaubt bzw. nicht erlaubt ist:

<FilesMatch "(\.htaccess|\.htpasswd|wp-config\.php|liesmich\.html|readme\.html)">
 order deny,allow
 deny from all
</FilesMatch>

Weist Du ob die Ergänzung der in FilesMatch hinterlegten Dateien negative Auswirkungen auf das Google-Ranking hat?
Insbesondere Textdateine sollen da ja Probleme für die Google-Bots haben.

Das schon mal vorab und vielen Dank auch für die Unterstützung.
Ich werde über meine Fortschritte berichten

Das wird übrigens alles noch unter 10.6.8 ausgeführt, da mir zur Zeit kein anderer Rechner zur Verfügung steht.

EDIT

 

[Difool]

Die .htaccess Datei kannst du auch einfach so auf deine HD kopieren und steuerst einfach mit dem ftp-Programm
deinen Festplatten-Ordner an. Textwrangler sollte dir "Punkt-Datein" anzeigen.
Alternativ benennst du eine dublizierte (via Textwrangler) ".htaccess-Kopie" kurz um in "htaccess.txt", und kopierst die.

Damit:
<FilesMatch "(\.htaccess|\.htpasswd|wp-config\.php|liesmich\.html|readme\.html)">
…haben die Suchmaschinen soweit keine Probleme – und so würde sich das auch nicht auf das Ranking / Indizieren auswirken.

Dein "absoluter Pfad" zu deinem "document root"-Ordner, wo deine Wordpress Installation liegt,
lautet vermutlich ähnlich wie folgendes bei DF:
/kunden/homepages/123/df123456/htdocs/wordpress/

…oder so ähnlich.

Und als Beispiel hättest du dann für die htaccess deinen absoluten Pfad zur htpasswd:
/kunden/homepages/123/df123456/htdocs/wordpress/.htpasswd

Alternativ erstelle dir mit Textwrangler eine leere Datei, die du bsw. "phpinfo.php" benennst.
Da kopierst du in/mit Textwrangler folgende Zeilen rein:

<?php
   phpinfo();
?>

^Diese Datei legst du in deinen document root, wo wordpress liegt und rufst die "phpinfo.php"-Datei im Browser auf:
http://deine-domain.de/phpinfo.php

…und via Suchfunktion des Browsers suchst du nach: DOCUMENT_ROOT

Die Datei "phpinfo.php" aber bitte zwingend wieder löschen, wenn du fertig bist!

 

[KOJOTE]

Ach, Du meinst ich hinterlege eine Datei die mir dann den Weg, also den Pfad aufzeigt.

 

[Keek]

Mit FileZilla (zum Beispiel) kann man die Datei auf dem Server auch "per Rechtsklick" bearbeiten und den Text Editor seiner Wahl auswählen. Dann lädt FileZilla die Datei nur temporär herunter und fragt dich nach dem Speichern der Datei ob du sie wieder auf den Server laden willst.

Dann spart man sich den Umweg die Datei manuell irgendwohin zu laden und dann wieder hochzuladen. Das ist vor allem praktisch wenn man nur kleine (und/oder) viele kleine Anpassungen machen möchte.

Aber das geht nun auch wieder am Thema vorbei

 

[KOJOTE]

Nicht unbedingt am Thema vorbei
Wichtig ist dann aber wie immer, dass ein Backup zur Verfügung steht. Daher bevorzuge ich das Duplizieren der Dateien, damit ich im Anschluss auch alle rückgängig machen kann.

 

[Difool]

Ach, Du meinst ich hinterlege eine Datei die mir dann den Weg, also den Pfad aufzeigt.

Genau – nur bitte nenne das nicht "hinterlegen".
Der Befehl:

<?php
   phpinfo();
?>

…zeigt dir so gut wie alles ! zu deinem Hosting.

Und niemals sollte so eine Datei weder liegenbleiben noch von externen, also anderen Usern eingesehen werden dürfen/können!
Wenn ich diese Datei nutze, lade ich die kurz hoch, rufe die im Browser sofort über die Domain auf und lösche sie auch sofort wieder von Server.
Und nutze so den nur temporären aufgerufenen Tab im Browser – so lange man keinen Reload der Seite macht, steht's ja da.
Bots können schnell sein…

 

[KOJOTE]

Dann frag ich im Zweifel lieber bei DF nach oder gehe dort in mein Kundenmenue.
Unter [Auftragsinformationen > Verwaltung > Pfade] findet sich dieser.
Nur, der ist ohne w w w ...
In etwa so
/kunden/xxxxx_xxx/

EDIT: w w w

 

[KOJOTE]

Mit FileZilla (zum Beispiel) kann man die Datei auf dem Server auch "per Rechtsklick" bearbeiten und den Text Editor seiner Wahl auswählen. Dann lädt FileZilla die Datei nur temporär herunter und fragt dich nach dem Speichern der Datei ob du sie wieder auf den Server laden willst.

Dann spart man sich den Umweg die Datei manuell irgendwohin zu laden und dann wieder hochzuladen. Das ist vor allem praktisch wenn man nur kleine (und/oder) viele kleine Anpassungen machen möchte.

Aber das geht nun auch wieder am Thema vorbei

Habe es hier mit Cyberduck und Textwrangler getestet und geht ebenfalls per Rechtsklick.
Die Unterverzeichnisse werden im FTP-Programm auch angezeigt. Sehr gut.

 

[Difool]

Dann frag ich im Zweifel lieber bei DF nach oder gehe dort in mein Kundenmenue.
Unter [Auftragsinformationen > Verwaltung > Pfade] findet sich dieser.
Nur, der ist ohne w w w ...
In etwa so
/kunden/xxxxx_xxx/

Das meinte ich ja mit meinem Beispiel > …für die htaccess deinen absoluten Pfad zur htpasswd:
/kunden/homepages/123/df123456/htdocs/wordpress/.htpasswd

Dieser Pfad hat auch kein "www", weil es ein absoluter Serverpfad innerhalb deines Hostingpakets ist.