1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Wordpress Login mit htaccess schützen

Dieses Thema im Forum "Konfiguration" wurde erstellt von simoptim, 30. April 2014.

Schlagworte:
  1. simoptim

    simoptim Well-Known Member

    Registriert seit:
    9. Juli 2012
    Beiträge:
    347
    Zustimmungen:
    3
    Hallo,

    ich habe eine Wordpress Seite, bei der es einen Frontend Login für Nutzer gibt.
    Jetzt ist es so, dass wenn ich "wp-admin" per htaccess mit einem Passwort versehe (für mehr Sicherheit)
    ist auch "wp-login" davon betroffen. Somit können sich die User nicht einloggen.

    Kennt jemand hierfür eine Lösung?
     
  2. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    519
    Zustimmungen:
    10
    Guck mal hier. Die Anleitung gilt sinngemäß auch für andere Provider.
     
  3. simoptim

    simoptim Well-Known Member

    Registriert seit:
    9. Juli 2012
    Beiträge:
    347
    Zustimmungen:
    3
    JA danke m266. Aber ich weiss ja wie ich ein htaccess Passwortschutz einrichte. Der funktioniert ja auch. Jedoch
    kommt diese Abfrage auch, wenn sich ein Nutzer im Frontend registrieren oder einloggen möchte.
    Ergo kann er das nicht!
    Ich möchte also den htaccess Passwortschutz nur bei "wp-admin" aktiviert haben.
    Wenn ich den dafür aber anlege ist er eben auch bei "wp-login" aktiv.
     
  4. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Aber das ist doch der Sinn und Zweck, dass sich keiner außer Dir oder Dir und weiteren berechtigten Personen Zutritt verschaffen kann. Du kannst das noch erweitern durch weitere Berechtigte (AuthUserFile) und eine Benutzergruppe (AuthGroupFile), doch das müsstest Du Dir selbst einmal austesten, viel experimentiert habe ich damit noch nicht.

    Es ist wie das Schloss an Deiner Haustür, Du kannst die Tür für alle offen stehen lassen oder Du kannst abschließen und nur vertrauenswürdigen Mitmenschen einen Schlüssel geben.
     
    #4 Melewo, 2. Mai 2014
    Zuletzt bearbeitet: 2. Mai 2014
  5. simoptim

    simoptim Well-Known Member

    Registriert seit:
    9. Juli 2012
    Beiträge:
    347
    Zustimmungen:
    3
    öhm ja schon. aber ich hätte gerne den admin login (wp-admin) geschützt aber den user login (wp-login)
    geschützt.
     
  6. F-rank

    F-rank Well-Known Member

    Registriert seit:
    11. Dezember 2012
    Beiträge:
    145
    Zustimmungen:
    0
    Also, wenn nicht ich dich jetzt nicht völlig falsch verstanden habe: ich glaube, da gibt's ein Missverständnis beim Konzept. Einen eigenen Nur-Admin-Bereich unter wp-admin gibt es gar nicht, oder anders herum gesagt: der Admin-Bereich ist grundsätzlich auch für Nicht-Administratoren zuständig. Stell dir einfach vor, der Ordner hieße "wp-backend", dann ist's klarer. Denn genau genommen ist der "Admin"-Ordner wp-admin ja sogar für normale, unangemeldete Site-Benutzer zuständig, da der Frontend-Ajax-Handler nämlich im Ordner wp-admin residiert, was bei Freunden des .htaccess-Schutzes für den Ordner wp-admin zuweilen für Verdruss sorgt, da dann plötzlich Ajax-Abfragen nicht mehr funktionieren.

    Daher würde ich zum Problem-Neudenken raten. Ein Admin, der nicht "admin" heißt, dazu ein starkes Passwort hat (11 Zeichen oder mehr, inkl. Sonderzeichen, Zahlen) und der am besten über HTTPS einloggt (dazu müsste ja aber deine ganze Site SSL-fähig sein, wenn du das Login im Frontend willst), ist vielleicht zielführender für die Sicherheit. Darüber hinaus gibt es Plugins, die Logins nach einigen Fehlversuchen blocken, wie Limit Login Attempts. Von Vorteil könnte sein, dass so auch Benutzer-Konten geschützt sind.

    LG,
    Frank
     
  7. simoptim

    simoptim Well-Known Member

    Registriert seit:
    9. Juli 2012
    Beiträge:
    347
    Zustimmungen:
    3
    @F-rank

    ah ok. gut das hilft weiter. Schade, dass man das nicht trennen kann. Warum es dann aber "wp-login" und "wp-admin" gibt und jedoch beide gleich arbeiten bzw. identisch sind erschließt sich mir dann nicht ganz.
    Der Ur-Admin ist schon gelöscht & ein anderer angelegt, Passwort ist über 20 Zeichen und komplex und Limited Login Attempts ist auch drauf. Jetzt wollte ich eben nur noch das Ding per htaccess doppelt sichern. Aber gut, dann soll das wohl nicht sein.

    Danke
     
  8. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Vom Prinzip stimme ich Frank zu. Es gibt so sehr viele Seiten, bei dem ein Login für Nutzer Voraussetzung ist. Die Seiten lassen sich nicht verstecken, nur gut absichern. Bei WP und einigen anderen bekannten Systemen ist es halt nur so, dass alle Bots die Login-Seite kennen und die Bots dementsprechend häufig diesen Eintritt abklopfen.

    Was ich mir mal überlegt hatte, ob es nicht möglich ist, mit Browser-Fingerprints zu arbeiten, doch PHP allein gibt da nicht genug her.

    http://www.heise.de/security/meldung/Fingerprinting-Viele-Browser-sind-ohne-Cookies-identifizierbar-1982976.html

    Sollte genügen, um Bots von Menschen zu unterscheiden, so lange Fingerprints nur von einigen wenigen genutzt werden.
     
  9. simoptim

    simoptim Well-Known Member

    Registriert seit:
    9. Juli 2012
    Beiträge:
    347
    Zustimmungen:
    3
    Ja das wäre natürlich die Premium Variante :)
    Kenne mich in dieser Richtung aber zu wenig aus.

    Kennst du zufällig jemand der sich damit auskennt bzw. Fingerprint & User-Führungssysteme für Webseiten basteln kann?
    Ist jetzt nicht für die oben beschriebene Seite sondern wäre für etwas anderes interessant.
     
  10. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Hier ist mal ein Beispiel, das wäre eine Tabelle, was Dein Browser außer dem User Agent noch bereit wäre mitzuteilen.

    http://de.selfhtml.org/javascript/objekte/anzeige/plugins_allgemeines.htm

    Die Infos sind vom Browser abhängig, bei mir rückte der IE am wenigsten heraus, am meisten der Chrome. Lässt sich nicht mit PHP abfragen, aber vielleicht aufbereiten und in einem Cookie speichern, der abgefragt wird oder so und wenn keinerlei Infos gegeben werden, dann ist es ein Bot und PHP kann mit exit geschlossen werden, sind meine derzeitigen Gedanken.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden