Dieses kostenlose PHP-Script / Tool schützt Ihren WordPress Administrationsbereich zusätzlich durch die Erstellung von .htaccess und .htpasswd Dateien.
Beschreibung
Der normale WP-Admin-Bereich ist nur durch die Standard-Passworteingabe geschützt. Dieser Schutz ist relativ einfach zu umgehen bzw. durch Brute-Force-Angriffe (Passwortangriffe) auszuhebeln. Danach haben die Hacker ungehinderten Zugangs zu Ihrem Webseiten-Backend und können erheblichen Schaden anrichten. Nicht nur die (teilweise unbemerkte) Veränderung (Manipulation) von Inhalten, Dateien und Links sondern auch die Löschung oder das Hinzufügen von Content ist möglich.
Der zusätzliche Schutz durch unser Tool basiert auf einer zusätzlichen Sperre. Diese ist kostenlos und kommt ohne weitere Software, Lizenzen und Links aus. Sie basiert auf dem bereits vorhandenen Schutzsystem Ihres WebServers. Um dieses System zu nutzen, wird dem WebServer durch zwei Dateien mitgeteilt, dass der Administrationsberecih geschützt ist und welche Benutzer mit welchem Passwort Zugriff haben dürfen. Den Zugriffslevel (die Berechtigungen) prüft WordPress durch den weiteren, normalen Benutzerlogin selbst.
Installation
- Laden Sie das Tool in Ihrem bevorzugten Archivformat (ZIP oder TAR.GZ) herunter
- Entpacken Sie die enthaltene Datei “wordpress-secure-admin.php” in Ihr /wp-admin Verzeichnis in der zu schützenden WordPress-Installation WebServer
- Starten Sie das Programm durch Aufruf im Browser:
http://www.ihr_server.de/wp-admin/wordpress-secure-admin.php
- Tragen Sie einen Benutzer und das gewünschte (geheime !) Passwort in die Felder ein und klicken Sie auf “Speichern”
- Bevor Ihnen das Formular wieder angezeigt wird, sehen Sie bereits die Schutzabfrage:
Geben Sie den gerade erstellen Benutzer und das Kennwort ein. - Fertig
Diese Eingabe von Benutzernamen und Passwort müssen Sie ab nun immer der Eingabe Ihrer normalen WordPress Zugangsdaten eingeben. Um diesen Schutz (und damit die zusätzliche Eingabe) wieder zu deinstallieren, folgen Sie der u.a. Anleitung.
Mögliche Meldungen bei der Einrichtung
Warning: fopen(/home/www/.../wp-admin/.htaccess) [function.fopen]: failed to open stream: Permission denied in /home/www/.../wp-admin/wordpress-secure-admin.php on line 30 can't open file
Diese Meldung kommt von Ihrem WebServer und besagt, dass unser Tool aktuell nicht das Recht hat, die beiden benötigten Daten (“.htaccess” und “.htpasswd”) im Verzeichnis “/wp-admin” zu erstellen.
Zur Lösung nutzen Sie bitte Ihr FTP Programm und verbinden Sie sich zu Ihrem Server. Geben Sie für das Verzeichnis “/wp-admin” temporär die Zugriffsrechte “777″ (jeder darf alles) und wiederholen Sie die Schritte zum Anlegen eines Benutzers. Bitte vergessen Sie nicht, danach sofort die Standardrechte für das Verzeichnis wiederherzustellen (755).
Deinstallation
Sie können den zusätzlichen Schutz jederzeit ohne Schaden für Ihre WordPress-Installation entfernen. Da weder das Script noch die .htaccess / .htpasswd Dateien weitere Daten auf die Festplatte oder in die Datenbank schreiben, reichen zum vollständigen Entfernen folgende Schritte:
- Öffnen Sie das Formular über die URL:
http://www.ihr_server.de/wp-admin/wordpress-secure-admin.php
- Klicken Sie unten auf dem Formular auf “Komplette Sicherung entfernen”
Oder Sie entfernen den Schutz manuell (z.Bsp. per FTP):
Löschen Sie im /wp-admin Verzeichnis die folgenden Dateien:
- .htaccess
- .htpasswd
Technische Details
Unser Tool erstellt zwei Dateien innerhalb des /wp-admin Verzeichnisses auf Ihrem WebServer:
- .htaccess
- .htpasswd
Diese Dateien werden von Ihrem WebServer vor dem Öffnen der Seiten gelesen und dem Benutzer eine Standardmaske für den zusätzlichen Login angezeigt:
[Screenshot folgt]
Hat sich der Benutzer erfolgreich identifiziert, kann der normale WordPress-Login stattfinden. Sind die Zugangsdaten falsch, wird der Benutzer vor dem Laden des WordPress-Adminbereiches abgewiesen.
Durch diese Methode können evtl. eingeschleuste Malware oder Bugs nicht im Adminbereich aktiviert werden.
Download
Wordpress-secure-admin.tar339x heruntergeladen
Größe: 1.96 KB
Wordpress-secure-admin439x heruntergeladen
Größe: 1.97 KB