1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Kein Zugriff auf Frontend, wenn .htaccess Schutz im wp-admin Verzeichnis

Dieses Thema im Forum "Konfiguration" wurde erstellt von tomybyte, 14. Januar 2014.

Schlagworte:
  1. tomybyte

    tomybyte Member

    Registriert seit:
    18. Juni 2010
    Beiträge:
    19
    Zustimmungen:
    0
    Habe hier ein Problem, dessen ursächlichen Zusammenhang ich nicht herausfinden kann. Wenn im Verzeichnis wp-admin eine .htaccess Datei mit folgendem Inhalt liegt:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    dann ist, wie gewollt, das Backend http://[Domainname]/wp-admin über einen Verzeichnisschutz geschützt. Zum Zugriff ist dann die Eingabe eines Benutzernamens und eines Passwortes erforderlich.
    Doch genau diese .htaccess-Datei blockiert auch den "normalen" Zugriff auf den Blog unter http://[Domainname].

    Meine Frage ist nun, ob jemand einen ähnlichen Fall und die Ursache dafür kennt?
    Es muss ja irgend einen Zugriff auf das Verzeichnis /wp-admin geben, hab aber keine Idee, von wo aus diese Anfrage kommt.
    Kenn jemand ein Plugin oder Debugg-Verfahren, mit dem man herausfinden kann, welche PHP-Dateien in welcher Reihenfolge nach dem Aufruf der Startseite geladen/geöffnet/includiert werden?

    Danke und Gruß
    Tom
     
    #1 tomybyte, 14. Januar 2014
  2. SirEctor

    SirEctor Well-Known Member
    Ehrenmitglied

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    12.361
    Zustimmungen:
    427
    Teste es mal so
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Das setzt Du in die .htaccess im Hauptordner. So beschränkst Du nur den Zugriff auf die wp-login.php. Ich könnte mir vorstellen, dass WP für den normalen Zugriff ebenfalls Daten aus dem wp-admin Ordner benötigt.
     
    #2 SirEctor, 14. Januar 2014
  3. tomybyte

    tomybyte Member

    Registriert seit:
    18. Juni 2010
    Beiträge:
    19
    Zustimmungen:
    0
    Das sperrt dann aber alle Frontenduser ebenfalls aus, das ist wohl keine Lösung. Außerdem mahnt das installierte Acunetix WP Security Plugin das Fehlen der /wp-admin/.htaccess Zugriffsschutzdatei an. Das scheint wohl eher ein gängiger Weg zu sein.
     
    #3 tomybyte, 14. Januar 2014
  4. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Nein, ist definitiv nicht der Fall. Teste es einfach, als auf irgend ein Plugin zu hören ;).
     
    #4 Hille, 14. Januar 2014
  5. tomybyte

    tomybyte Member

    Registriert seit:
    18. Juni 2010
    Beiträge:
    19
    Zustimmungen:
    0
    Hä? Der betreffende Blog verwendet WooCommerce und es kann sich jeder Benutzer als Kunde registrieren, Kunden haben keinen Zugriff zum Backend aber natürlich zu ihrem Konto mit ihren Bestellungen usw. Wenn wp-login.php blockiert ist, dann muss imgrunde jeder Benutzer, der sich ein bzw. ausloggen will die Zugriffschutzdaten kennen!
    Das ist also doch keine Lösung!
     
    #5 tomybyte, 14. Januar 2014
  6. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Könnte ich mir zwar auch vorstellen, doch wenn, dann nur vor dem Parsen einer Seite über die Serverpfade und nicht über HTTP, würde ich mir denken, wissen tue ich es nicht. Sonst würde ja Bültge seine Lösung unter Punkt 8 eigentlich auch nicht funktionieren.

    http://wordpress-buch.bueltge.de/wordpress-sicherer-machen/30/comment-page-4/
     
    #6 Melewo, 14. Januar 2014
  7. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Ja was denn nun, las ich erst jetzt, die wp-login.php sendet doch Daten an /wp-admin. Wenn Du /wp-admin sperrst, dann haben doch nur noch die User mit Passwort Zugriff. Oben schriebst Du aber etwas vom normalen Zugriff über Domain und der hat ja nicht zwangsläufig etwas mit einem Login zu tun.
     
    #7 Melewo, 14. Januar 2014
  8. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Laut deiner Aussage ging es um das Frontend und nicht ums Backend. Wenn der Kunde sich einloggen möchte, nutzt er zwangsläufig das Backend und bekommt somit auch die Passwortabfrage.
     
    #8 Hille, 14. Januar 2014
  9. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Habe mal die Reihenfolge, von der wp-login.php erfolgt eine direkte 302 Weiterleitung auf /wp-admin/. Wenn nun /wp-admin einen zusätzlichen Passwortschutz hat, kann auch nur der sich einloggen, der das Passwort kennt. Mit dem normalen Betrieb der Webseite sollte das nichts zu tun haben, nur Deine Kunden können sich nicht mehr einloggen, doch eigentlich ist der Schutz ja dafür gedacht.

    Browser an Server - Aufruf von wp-login.php:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Server antwortet mit Weiterleitung auf:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
     
    #9 Melewo, 14. Januar 2014
  10. g3h

    g3h Well-Known Member

    Registriert seit:
    25. Juni 2013
    Beiträge:
    661
    Zustimmungen:
    0
    Wenn du nicht willst, dass in deinem Admin Ordner rumgefuscht wird, kannst du die Dateizugiffsrechte runter setzen, über deinen FTP-Account. Wordpress braucht da nur Leserechte, damit alles funktioniert (außer beim Update, da musst du die rechte dann natürlich wieder ändern). Bei mir langt für den admin Ordner 505, wenn ich mich richtig erinnere. Das wäre dann nur lesen und ausführen für den Benutzer.

    MfG
     
    #10 g3h, 14. Januar 2014
    Zuletzt bearbeitet: 14. Januar 2014
  11. tomybyte

    tomybyte Member

    Registriert seit:
    18. Juni 2010
    Beiträge:
    19
    Zustimmungen:
    0
    OK! Danke für die vielen Rückmeldungen.
    Hatte da selbst einen falschen Ansatz, da ich für einen Login auf jeden Fall Zugriff auf /wp-admin/ benötige.

    Trotzdem verstehe ich immer noch nicht, von wo ein Zugriff vom Frontend auf /wp-admin/ erfolgt, ohne Login, denn auch, wenn alle user ausgeloggt waren, war der Zugriff im Frontend blockiert. Aber ich lass jetzt den Zugriffschutz natürlich weg, ich schau mir mal den Hinweis von g3h mit den Zugriffsrechten an.

    Danke und Gruß
    Tom
     
    #11 tomybyte, 14. Januar 2014
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden