Home | Blog | Custom Development | wp-admin Verzeichnis schützen
5. März 2024

wp-admin Verzeichnis schützen

Im Gegensatz zur reinen wp-login.php Datei kann man auch das wp-admin Verzeichnis schützen

Übersicht

Im Gegensatz zur reinen wp-login.php Datei kann man auch das komplete wp-admin Verzeichnis schützen. Hierbei gibt es allerdings eine kleine Besonderheit. Du musst ggfs. je nach Plugins, die du nutzt, die Datei admin-ajax.php ausklammern.

Ein Beispiel dafür sind Plugins wie Borlabs Cookie, oder auch das Amelia Booking Plugin, sowie andere. Diese benötigen zwingend den Zugriff auf die admin-ajax.php – zum Beispiel kannst du ohne Zugriff auf diese Datei den Frontend Terminkalender nicht anzeigen. Borlabs Cookie auf der anderen Seite benötigt Zugriff auf die admin-ajax.php, da ohne diesen Zugriff die Cookies nicht gesetzt werden.

Wenn du dein wp-admin Verzeichnis schützen willst, ohne dabei den Zugriff auf die admin-ajax.php Datei zu ermöglichen, kann es bei gleichzeitiger Nutzung von Borlabs Cookie sogar dazu kommen, dass dir eine Passwortabfrage angezeigt wird unterhalb deiner Cookiebox. Dir als Admin mag es egal sein, doch für deine Nutzererfahrung ist es ein No-Go.

Welchen Code kanst du jetzt eingeben, um dein wp-admin Verzeichnis zu schützen?

Gib folgendes in die .htaccess Datei ein, die du im wp-admin Verzeichnis platzierst:

### wp-admin Verzeichnis schützen Beginn ###
# Diese Datei kommt als .htaccess in den Ordner wp-admin deiner WordPress Installation
# Deine .htpasswd Datei hast du bereits erstellt.
AuthType Basic
AuthName "Members Only"
# Die htpasswd Datei sollte durch deinen Webbrowser lesbar sein, also achte auf die richtigen Rechte!
AuthUserFile /passe/den/pfad/an/zu/deinem/htpassword/Verzeichnis/.htpasswd
Require expr %{REQUEST_URI} !~ m#^admin-ajax.php.*$# 
require valid-user
### wp-admin Verzeichnis schützen Ende ###

Passe die Pfade entsprechend an. Sonst funktioniert das nicht.

Mehr Informationen zum Schutz deiner WordPress Installation findest du hier: Wie man die WP Config Datei schützen kann. Grundsätzlich ist es eine gute Idee, nicht nur die wp-login.php zu schützen, sondern das gesamte wp-admin Verzeichnis. In diesem Fall muss jeder, der in deinen Adminbereich möchte, zusätzlich zu seinem Benutzerpasswort auch noch eine zweite Absicherung erfüllen. Jeder zusätzliche Schritt ist ein weitererer Schritt, mit dem du es Angreifern deiner WordPress Seite schwerer machst. Zusätzlich zu entsprechender Absicherung mit Dateischutz kannst du – und das empfehle ich jedem – auch eine Firewall installieren. All diese Schritte helfen dir, deine Website sicherer zu machen. Gerade in der heutigen Zeit, wo selbst WordPress einen eigenen Artikel geschrieben hat zum Thema Brute-Force-Attacken, ist das Absichern deines wp-admin Verzeichnisses ein zusätzlicher Schutz.

Wenn du Fragen hast, komm gern auf mich zu oder hinterlasse einen Kommentar.

Chris Martens

Ich helfe Unternehmen dabei, sich den rasanten Veränderungen in der IT-Welt anzupassen und das volle Potenzial der digitalen Möglichkeiten auszuschöpfen. Mein Schwerpunkt liegt auf WordPress, weil es Flexibilität, Skalierbarkeit und Nutzerfreundlichkeit vereint – perfekt für Unternehmen, die online wachsen wollen.

Doch meine Arbeit geht über klassische Websites hinaus: Ich entwickle maßgeschneiderte Schnittstellen und Integrationen, die WordPress nahtlos mit anderen Systemen verbinden – sei es E-Mail-Marketing, CRM, externe Programme oder individuelle Automatisierungen. Mein Ziel ist es, nicht nur eine Website zu bauen, sondern eine digitale Lösung, die effizient arbeitet, Prozesse optimiert und messbare Ergebnisse liefert. Der Erfolg meiner Kunden ist auch mein Erfolg – und deshalb setze ich auf maßgeschneiderte Webtechnologien, die genau das erreichen.

Weitere Beiträge

Digitale Medien

Container Queries – Der Game-Changer fürs moderne CSS

Reading Time: 8:11 min

Container Queries – Der Game-Changer fürs moderne CSS Die Revolution des responsiven Designs ist da – und sie heißt Container Queries Stell dir vor, deine CSS-Komponenten könnten endlich intelligent auf…

Zum Beitrag
keyless-auth

Wie viele Plugins sind zu viele? Nur noch eines mehr – Warum wir Keyless Auth entwickelt haben

Reading Time: 5:1 min

Jeder WordPress-Entwickler kennt dieses Gefühl. Du erstellst eine Kundenwebsite, alles funktioniert perfekt, und dann benötigst du nur noch eine weitere Funktion. Vielleicht passwortfreie Authentifizierung. Du durchsuchst das Plugin-Repository, findest etwas,…

Zum Beitrag
keyless-auth

How Many Plugins Are Too Many? Just One More – Why We Built Keyless Auth

Reading Time: 4:39 min

Every WordPress developer knows the feeling. You’re building a client site, everything is working perfectly, and then you need just one more feature. Maybe it’s passwordless authentication. You search the…

Zum Beitrag

Hinterlasse einen Kommentar