Dies ist ein Gastbeitrag von Eric Sizemore, einem Webentwickler, Programmierer und Domainer.
Angesichts der jüngsten Ereignisse sind alle, die WordPress verwenden, anscheinend anfällig für das, was als „Distributed WordPress admin account cracking“ bezeichnet wird. Sie können diesen Artikel für weitere Informationen lesen. Dieser Beitrag zielt darauf ab, eine zusätzliche Sicherheitsebene sowohl für Ihren wp-admin-Ordner als auch für die Datei wp-login.php bereitzustellen.
Schritt 1 – Bestimmen Sie, wer Zugriff haben wird
Zuallererst beinhaltet diese zusätzliche Sicherheitsebene das Blockieren aller IPs außer wenigen ausgewählten. Wenn Ihre IP dynamisch ist, ist dies möglicherweise nicht die beste Option für Sie. Wenn Sie viele Benutzer haben, denen Sie Zugriff auf Ihr Blog gewähren, kann dies zeitaufwändig werden. Wenn Sie der einzige Autor des Blogs sind und sowieso keine Registrierungen zulassen – wird dies ziemlich einfach sein.
Schritt 2 – Erstellen von .htaccess
Zuerst ermitteln wir Ihre IP-Adresse. Gehen Sie zu IPChicken und notieren Sie sich Ihre IP-Adresse. Laden Sie als Nächstes die für diesen Beitrag erstellten .htaccess-Dateien herunter.
Sobald Sie das Archiv entpackt haben, sollten Sie eine .htaccess-Datei und einen wp-admin-Ordner mit einer .htaccess-Datei darin sehen. Öffnen Sie die Haupt- .htaccess-Datei und Sie sollten Folgendes sehen:
Bearbeiten Sie die Zeile „Allow from“, um Ihre IP-Adresse widerzuspiegeln. Um weitere IP-Adressen hinzuzufügen, fügen Sie eine neue Zeile mit „Allow from“ und der nächsten IP-Adresse hinzu und so weiter. Nun ist es wahrscheinlich, dass Sie bereits eine .htaccess-Datei in Ihrem Stammverzeichnis von WordPress haben. Wenn ja, bearbeiten Sie die Datei und kopieren Sie den Inhalt Ihrer bearbeiteten .htaccess-Datei aus dem Zip, speichern und laden Sie sie erneut hoch.
Öffnen Sie nun die .htaccess-Datei im wp-admin-Ordner aus dem Zip. Sie sollten etwas Ähnliches sehen:
Order Deny,Allow
Deny from all
Allow from xx.xx.xx.xx
Machen Sie dasselbe wie oben. Fügen Sie alle zusätzlichen IPs hinzu, die Sie im wp-admin-Bereich zulassen möchten. Wahrscheinlich haben Sie keine .htaccess-Datei in Ihrem wp-admin-Ordner, laden Sie also einfach die bearbeitete .htaccess-Datei aus dem Zip in Ihren wp-admin-Ordner hoch.
Schritt 3 – Sie sind fertig
Und das ist alles! :)
Keine Download-Dateien.
Perfekt
Ich habe ein nicht akzeptables Problem mit einer IP, aber es funktioniert mit einer anderen IP. Gibt es eine Lösung?
Sie sollten sich vielleicht an Ihren Hosting-Support wenden.
Ich weiß, dass diese Website qualitativ hochwertige Beiträge und andere Materialien liefert. Gibt es eine andere
Website, die solche Daten in Qualität liefert?
Funktioniert nicht. Ich erhielt: Interner Serverfehler
Sie sollten sich vielleicht an Ihren Hosting-Support wenden.
Danke. Genau das, was ich gesucht habe
Wir freuen uns, dass Sie dies hilfreich fanden 🙂
Hallo zusammen,
Ich habe eine IP-Beschränkung auf meiner Website für wp-login.php in .htaccess. Aber meine Kunden können sich nicht abmelden, es wird eine Fehlermeldung für die IP-Beschränkung angezeigt. Kann mir jemand eine beste Lösung für die IP-Beschränkung nur für die Admin-Login-Seite geben.
Was ist der Code für die Beschränkung, den Sie verwenden? Wurde er nur zum wp-admin-Ordner hinzugefügt?
Es gibt keinen separaten Login für Administratoren. Das Problem mit der Abmeldung besteht darin, dass WP wp-login.php sowohl für die Anmeldung als auch für die Abmeldung verwendet.
Die beste Option ist, eine separate Abmeldeseite für Kunden zu erstellen.
Vorsicht: Wenn Ihre Wordpress-Website Woocommerce verwendet, blockiert der folgende Code das Senden der neuen Bestell-E-Mails!
Hallo, danke für den hilfreichen Artikel. Ich konnte eine zusätzliche Sicherheitsebene zu meiner Website hinzufügen.
Aber ich habe eine Frage: Dies erlaubt nur meiner IP, auf das WP-Admin-Dashboard usw. zuzugreifen. Beeinflusst dies Plugins oder Dateien usw.? Ich meine, brauchen sie oder brauchen sie keine Verbindung zur wp-login-Seite?
Dieser Code dient speziell zum Blockieren des Zugriffs auf die Anmeldeseite. Wenn die installierten Plugins jedoch korrekt codiert wurden, sollten Besucher, die sich nicht anmelden können, keinen Zugriff auf die Admin-Seiten haben.
Hat bei mir nicht funktioniert.
Das funktioniert, habe ich in einem meiner alten Projekte gefunden 🙂
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^95\.154\.22\.86$
RewriteCond %{REMOTE_ADDR} !^77\.243\.128\.133$
RewriteRule ^(.*)$ – [R=403,L]
Die Rewrite-Option funktioniert für mich, aber ich kann nicht von localhost auf die Admin-Webseite zugreifen
Dies funktioniert nicht unter Apache 2.4, da order allow,deny veraltet ist.
Stattdessen müssen Sie mod_rewrite.c verwenden.
Könnte mir jemand helfen, welche IP wir in die htaccess-Datei eingeben sollen. Ist es die öffentliche IP, die ich sehe, wenn ich nach meiner IP google, oder ist es die statische?
Ziemlich nützlich in Bezug auf Sicherheit. Ich habe kürzlich einige Angriffe auf meine WP-Seite erlebt und suche nach einer guten Lösung.
Nachdem ich dieses System nun ein paar Monate laufen lasse, konnte ich mich endlich entspannen. Es scheint zu funktionieren, da ich zuvor mehrmals gehackt wurde.
Ich verwende einen IP-Bereich anstelle einer bestimmten IP in meiner .htaccess und es funktioniert fantastisch. Vielen Dank.
Ich freue mich zu hören, dass es für Sie funktioniert. 😀
Danke für die Info
Ich war sehr frustriert, weil mein Blog zum vierten Mal gehackt wurde.
Ich wollte zu 100 % sicher sein, alle Bot-Angriffe zu stoppen.
In den letzten Tagen habe ich viele Plugins ausprobiert, darunter AskApache, aber es funktioniert wegen einiger Probleme mit meinem Hosting nicht richtig.
Endlich habe ich eine benutzerdefinierte Lösung gefunden. Ich habe eine .htaccess-Datei in den wp-admin-Ordner gelegt und sie auf meinen IP-Bereich beschränkt. und es funktioniert. Jetzt kann kein Bot mehr meine Optionen und Einstellungsdateien überprüfen. Es sei denn, der Bot ist selbst auf meinem PC.
: )
Mit freundlichen Grüßen
Aber ich greife von allen möglichen Orten auf meine Seite zu, auch von meinem Handy.
Was ich wirklich gerne hätte, wäre eine Beschränkung überall außerhalb Nordamerikas, und das würde wahrscheinlich viele Hacking-Versuche reduzieren, oder?
Ja, es ist immer noch offen, aber viel weniger weit als zuvor.
Hat das schon jemand ausprobiert?
Vielleicht, aber Sie müssten es mit einer Geo-IP-zu-Standort-Datenbank integrieren, was für so etwas vielleicht etwas übertrieben wäre.
Wenn Sie sich von vielen Orten/IPs anmelden, sollten Sie sich etwas wie Login Lockdown ansehen.
Das Login-Lockdown-Plugin ist auch nett. Begrenzt und sperrt dann fehlgeschlagene Anmeldeversuche. So ähnlich wie IPtables für wp.
http://wordpress.org/extend/plugins/login-lockdown/
Wir haben es in unsere Vorinstallation für page.ly-Kunden aufgenommen, sodass es nach der Registrierung standardmäßig aktiviert wird.
PS.. liebe das neue themelab.com Design.
Das klingt, als könnte es ziemlich effektiv sein. Besonders wenn Sie sich von vielen verschiedenen Orten mit unterschiedlichen IP-Adressen anmelden, ist es möglicherweise nicht praktikabel, für jede einzelne eine .htaccess-Regel hinzuzufügen.
Und ich freue mich, dass Ihnen das Design gefällt!
@Elizabeth: Kein Problem! Lassen Sie mich wissen, wie es für Sie funktioniert.
Vielen Dank dafür.
Ich habe auf mehreren meiner WordPress-Websites Exploit-Versuche erlebt und .htaccess verwendet, um die einzelnen IPs zu blockieren. Aber das scheint viel effektiver zu sein. Ich hoffe, es funktioniert gut.
Danke Leland.
@badcat: Das ist eine gute Frage, aber ich glaube nicht, dass Sie den Vorgang wiederholen müssen, da diese .htaccess-Dateien nicht im eigentlichen Upgrade enthalten sind.
Müssen Sie diesen Vorgang wiederholen, nachdem eine neue Version von WordPress herauskommt?
Oder wäre es sinnvoller, den wp-admin-Ordner in der .htaccess-Datei des Website-Stamms zu verweigern, da diese nicht aktualisiert wird, wenn WP seinen Kern aktualisiert?