Passwortgeschützte Artikel in WordPress und .htaccess

Kurzer Tipp für alle Blogger, die WordPress einsetzen und ihr Backend (bzw. die notwendige Datei wp-login.php) mit einer .htaccess schützen: Diese wird auch für die Passwort-Abfrage bei einem geschützten Artikel benutzt.

Wenn Ihr also vorhabt, einen solchen Artikel zu posten, müsst Ihr den Schutz entfernen, da sonst nach dem Eingeben des Passwortes für den Artikel die Abfrage für den Bereich kommt, der ja von der .htaccess geschützt wird. Und diese Daten sollte besser keiner Eurer Leser kennen… :-)

 

Damit Ihr einem Angreifer das Feld – oder in dem Fall das Backend – nicht kampflos überlassen müsst, empfehle ich das Plugin Limit Login Attempts. Damit könnt Ihr einstellen, dass man nach X Fehlversuchen für eine Zeitdauer Y ausgesperrt wird. Und noch einiges mehr.

Vielen Dank an Vladimir, der das Plugin schon vor über einem Jahr beschrieb, was ich aber erst jetzt brauchen konnte, weil der .htaccess-Schutz eben genau jetzt gestört hat.

3 Kommentare zu diesem Artikel

Avatar

Name: Nik  |  Datum: 23. August 2012  |  Zeit: 11:51

Hi!

Bei mir sieht es so aus als ob nach dem Update auf 3.4.1 bei passwortgeschützten Artikeln nach der Passworteingabe auch das htaccess Passwort (durch Zugriff auf wp-login) abgefragt wird.

Ich habe also im root Verzeichnis von WordPress eine htaccess welche sowohl die wp-config.php als auch die wp-login.php durch eine Passwortabfrage schützt.
Wenn ich, egal mit welchem Browser, einen passwortgeschützten Artikel öffnen möchte wird eben dieses
htaccess Passwort (nach Eingabe des Artikelpasswortes) auch abgefragt.
Mir scheint dass das erst mit dem WordPress Update auf 3.4.1 kam.

Gibt es eine Möglichkeit den Passwortschutz für config und login in der htaccess so anzupassen dass man passwortgeschützte Artikel wieder mit einer simplen Passworteingabe (und zwar nur dem Passwort des jeweiligen Artikels) öffnen kann?
Oder muss ich zwangsläufig die zusätzliche Schutzschicht durch Passwort-htaccess entfernen.
Falls ja, was genau muss raus?
Auch wüßte ich zu gerne welches hinzugekommene Feature bei 3.4.1 dieses neue Verhalten ausgelöst hat – stand ja schliesslich doch auch was sicherheitsrelevantes im Changelog . . .

Es handelt sich übrigens um eine MultiSite Installation von WordPress!

Hier der Inhalt meiner aktuellen htaccess:

# protect wpconfig.php

Order deny,allow
deny from all

# protect wp-login.php

AuthName „Admin-Bereich“
AuthType Basic
AuthUserFile /usr/www/users/xxx//.htpasswd
require valid-user

order deny,allow
deny from all

RewriteEngine On
RewriteBase /blogtest/
RewriteRule ^index\.php$ – [L]

# uploaded files
RewriteRule ^([_0-9a-zA-Z-]+/)?files/(.+) wp-includes/ms-files.php?file=$2 [L]

# add a trailing slash to /wp-admin
RewriteRule ^([_0-9a-zA-Z-]+/)?wp-admin$ $1wp-admin/ [R=301,L]

RewriteCond %{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^ – [L]
RewriteRule ^[_0-9a-zA-Z-]+/(wp-(content|admin|includes).*) $1 [L]
RewriteRule ^[_0-9a-zA-Z-]+/(.*\.php)$ $1 [L]
RewriteRule . index.php [L]

Avatar

Name: Falk  |  Datum: 23. August 2012  |  Zeit: 22:43

Erstmal: Ich habe herausgefunden, dass ab WordPress 3.4 die Passwortabfrage über wp-login.php läuft und nicht mehr über wp-pass.php.

Leider hat die Kommentar-Funktion Deinen Code zerhackt, darum kann ich jetzt nichts genaues sagen. Meine .htaccess sah so aus (hab’s mal an Dein Beispiel angepasst) – inzwischen habe ich – wie gesagt – den Schutz entfernt, weil es ja nicht anders ging.

-- .htaccess Beispiel START --
AuthType Basic
AuthName "Admin-Bereich"
AuthUserFile /usr/www/users/xxx/.htpasswd
<files wp-login.php>
Require valid-user
</files>

# BEGIN WordPress
<ifmodule mod_rewrite.c>
RewriteEngine On
RewriteBase /blogtest/
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</ifmodule>

# END WordPress
-- .htaccess Beispiel ENDE --

Ich kenne mich leider auch nicht so gut mit WordPress aus, aber man kommt wahrscheinlich nicht um die Nutzung eines Plugins wie „Limit Login Attempts“ oder „Better WP Security“ herum.

Avatar

Name: Nik  |  Datum: 24. August 2012  |  Zeit: 11:01

Danke für die schnelle Rückmeldung!

Muss das noch mit meiner Kollegin besprechen – melde mich dann nochmal . . .

Hinterlasse einen Kommentar





Alle mit * gekennzeichneten Felder müssen ausgefüllt werden. Die eMail-Adresse wird nicht offen dargestellt.

Ich erlaube mir, reine Werbeeinträge oder persönliche Beleidigungen zu löschen. Anonyme Kommentare werden generell nicht mehr freigeschaltet: Ich schreibe hier als reale Person und darf erwarten, dass jeder zu der Meinung steht, die er äußert.