Wordpress Login mit htaccess schützen

Guck mal hier. Die Anleitung gilt sinngemäß auch für andere Provider.

 

Aber das ist doch der Sinn und Zweck, dass sich keiner außer Dir oder Dir und weiteren berechtigten Personen Zutritt verschaffen kann. Du kannst das noch erweitern durch weitere Berechtigte (AuthUserFile) und eine Benutzergruppe (AuthGroupFile), doch das müsstest Du Dir selbst einmal austesten, viel experimentiert habe ich damit noch nicht.

Es ist wie das Schloss an Deiner Haustür, Du kannst die Tür für alle offen stehen lassen oder Du kannst abschließen und nur vertrauenswürdigen Mitmenschen einen Schlüssel geben.

 

Also, wenn nicht ich dich jetzt nicht völlig falsch verstanden habe: ich glaube, da gibt's ein Missverständnis beim Konzept. Einen eigenen Nur-Admin-Bereich unter wp-admin gibt es gar nicht, oder anders herum gesagt: der Admin-Bereich ist grundsätzlich auch für Nicht-Administratoren zuständig. Stell dir einfach vor, der Ordner hieße "wp-backend", dann ist's klarer. Denn genau genommen ist der "Admin"-Ordner wp-admin ja sogar für normale, unangemeldete Site-Benutzer zuständig, da der Frontend-Ajax-Handler nämlich im Ordner wp-admin residiert, was bei Freunden des .htaccess-Schutzes für den Ordner wp-admin zuweilen für Verdruss sorgt, da dann plötzlich Ajax-Abfragen nicht mehr funktionieren.

Daher würde ich zum Problem-Neudenken raten. Ein Admin, der nicht "admin" heißt, dazu ein starkes Passwort hat (11 Zeichen oder mehr, inkl. Sonderzeichen, Zahlen) und der am besten über HTTPS einloggt (dazu müsste ja aber deine ganze Site SSL-fähig sein, wenn du das Login im Frontend willst), ist vielleicht zielführender für die Sicherheit. Darüber hinaus gibt es Plugins, die Logins nach einigen Fehlversuchen blocken, wie Limit Login Attempts. Von Vorteil könnte sein, dass so auch Benutzer-Konten geschützt sind.

LG,
Frank

 

Vom Prinzip stimme ich Frank zu. Es gibt so sehr viele Seiten, bei dem ein Login für Nutzer Voraussetzung ist. Die Seiten lassen sich nicht verstecken, nur gut absichern. Bei WP und einigen anderen bekannten Systemen ist es halt nur so, dass alle Bots die Login-Seite kennen und die Bots dementsprechend häufig diesen Eintritt abklopfen.

Was ich mir mal überlegt hatte, ob es nicht möglich ist, mit Browser-Fingerprints zu arbeiten, doch PHP allein gibt da nicht genug her.

http://www.heise.de/security/meldung/Fingerprinting-Viele-Browser-sind-ohne-Cookies-identifizierbar-1982976.html

Sollte genügen, um Bots von Menschen zu unterscheiden, so lange Fingerprints nur von einigen wenigen genutzt werden.

 

Hier ist mal ein Beispiel, das wäre eine Tabelle, was Dein Browser außer dem User Agent noch bereit wäre mitzuteilen.

http://de.selfhtml.org/javascript/objekte/anzeige/plugins_allgemeines.htm

Die Infos sind vom Browser abhängig, bei mir rückte der IE am wenigsten heraus, am meisten der Chrome. Lässt sich nicht mit PHP abfragen, aber vielleicht aufbereiten und in einem Cookie speichern, der abgefragt wird oder so und wenn keinerlei Infos gegeben werden, dann ist es ein Bot und PHP kann mit exit geschlossen werden, sind meine derzeitigen Gedanken.