In der digitalen Welt sind Websites das Aushängeschild eines Unternehmens. Besonders WordPress als beliebtes Content-Management-System erfordert besondere Sicherheitsvorkehrungen. Die Seiten wp-login.php und das Verzeichnis wp-admin sind besonders anfällig für Brute-Force-Angriffe. In diesem Artikel zeigen wir dir Schritt für Schritt, wie du diese Bereiche mit einem zusätzlichen Passwortschutz absichern kannst – ganz einfach per .htaccess und .htpasswd.

Warum sind wp-admin und wp-login.php besonders kritisch?

Bevor wir in die technischen Details eintauchen, lass uns zunächst klären, warum die Sicherheit dieser Bereiche so entscheidend ist:

  • Öffentlich zugänglicher Angriffspunkt: Die Login-Seite ist jederzeit im Internet erreichbar – ideal für automatisierte Angriffe.
  • Brute-Force-Gefahr: Hacker-Tools testen tausende Passwort-Kombinationen in kurzer Zeit. Ohne Schutz bleibt dein Adminbereich offen.
  • Vollzugriff bei erfolgreichem Login: Gelingt der Zugriff, können Angreifer Inhalte löschen, Schadcode einfügen oder Nutzerkonten übernehmen.

Vorbereitungen für die Sicherheit

1. Backups erstellen

Bevor du Änderungen an der .htaccess-Datei vornimmst, solltest du ein vollständiges Backup deiner WordPress-Website erstellen. Dies kannst du mit Plugins wie UpdraftPlus oder durch manuelles Sichern du erreichst.

2. Zugangsdaten für htpasswd erstellen

Die Datei .htpasswd enthält die Zugangsdaten für den vorgeschalteten Passwortschutz. Du kannst sie so erzeugen:
Online (einfach):

Nutze z. B. htaccesstools.com/htpasswd-generator (externer link)

Lokal via Konsole (Linux/macOS):

htpasswd -c /pfad/zur/.htpasswd benutzername

Der Pfad muss absolut sein, z. B. /var/www/html/.htpasswd. Du kannst ihn über phpinfo() oder dein Hosting-Panel herausfinden.

Konfiguration der .htaccess-Datei

Öffne die .htaccess-Datei im WordPress-Stammverzeichnis oder im Verzeichnis wp-admin. Wenn sie nicht existiert, kannst du sie erstellen.

1. Zugriff auf den wp-admin-Bereich einschränken

Um die .htaccess-Datei zu bearbeiten, öffne dein FTP-Programm oder den Dateimanager deines Hostings. Füge die folgenden Zeilen am oberen Ende der Datei ein:

<Files wp-login.php>
AuthType Basic
AuthName "Admin-Bereich geschützt"
AuthUserFile /absoluter/pfad/zur/.htpasswd
Require valid-user
</Files>
<Directory "/absoluter/pfad/zur/wordpress/wp-admin">
AuthType Basic
AuthName "Admin-Zugang"
AuthUserFile /absoluter/pfad/zur/.htpasswd
Require valid-user
</Directory>

 Ersetze hierbei /pfad/zur/ mit deinem richten Pfad. Auf Shared Hosting (z. B. bei all-inkl oder IONOS) funktioniert Directory evtl. nicht – dann kannst du in der .htaccess im wp-admin-Ordner nur AuthType direkt angeben.

2. IP-Adressen beschränken

Falls du von festen IP-Adressen zugreifst, kannst du den Zugriff auf wp-admin weiter einschränken. Füge dazu diese Zeilen in die entsprechende .htaccess-Datei ein:

<Directory /pfad/zum/wp-admin>
Order Deny,Allow
Deny from all
Allow from xx.xx.xx.xx

Ersetze xx.xx.xx.xx durch deine eigene IP-Adresse.

3. Fehlerseiten anpassen

Um die Sicherheit weiter zu erhöhen, kannst du benutzerdefinierte Fehlerseiten für unerlaubte Zugriffsversuche erstellen. Füge diese Zeile zur .htaccess hinzu:

ErrorDocument 401 /error/401.html

Erstelle dann unter /error/ eine 401.html-Datei mit deinem Hinweistext.

Tipps zur weiteren Absicherung

Hier sind einige zusätzliche Maßnahmen, die du zur Verbesserung der Sicherheit deines WordPress-Bereichs ergreifen kannst:

  • Verwende starke Passwörter: Achte darauf, dass deine Passwörter komplex sind.
  • Aktualisiere regelmäßig: Halte WordPress, Themes und Plugins stets auf dem neuesten Stand.
  • Benutze zwei-Faktor-Authentifizierung: Dies erhöht die Sicherheit erheblich.
  • Schalte XML-RPC aus: Wenn du diesen Dienst nicht benötigst, kann das Ausschalten die Sicherheit erhöhen.

Fazit und Checkliste

Die Sicherheit deines WordPress-Bereichs ist von großer Bedeutung. Mit der oben beschriebenen Methode kannst du den Zugang zu wp-admin und wp-login.php effizient schützen. Hier ist eine kurze Checkliste, um sicherzustellen, dass du alles Wichtige berücksichtigt hast:

  • Vollständiges Backup der Website erstellt?
  • .htpasswd-Datei korrekt eingerichtet?
  • Zugriff auf wp-admin durch .htaccess eingeschränkt?
  • IP-Adressbeschränkungen eingerichtet (optional)?
  • Regelmäßige Updates und Wartung deiner Website geplant?

Indem du diese Schritte befolgst, schaffst du eine sichere Umgebung für deine WordPress-Website. So kannst du dich auf das Wesentliche konzentrieren – dein Business!

Das hört sich alles „Kryptisch“ an? Kontaktiere mich – ich helfe gerne weiter!

Discord Logo
mögen diesen Artikel.
Verfasst am 13. Mai 2025

Ich bin Christoph und komme aus dem wunderschönen Montafon. Seit über 10 Jahren brenne ich für alles rund um Webseiten – von der Entwicklung über die Wartung bis hin zur Serveradministration. Egal ob kleine oder große Projekte: Ich stecke in jedes Vorhaben mein ganzes Herzblut und meine Leidenschaft. Dabei liebe ich es, ständig Neues zu entdecken und frische Ideen umzusetzen, um jedes Projekt individuell und erfolgreich zu gestalten.

Hinterlasse den ersten Kommentar