WordPress & htpasswd: So schützt du wp-admin & Co.

WordPress Lesezeit: 6 Min

WordPress-spezifische Sicherheitsanforderungen

WordPress ist das weltweit meistgenutzte Content-Management-System – und damit auch ein häufiges Ziel für Angreifer. Besonders der Admin-Bereich unter /wp-admin wird regelmäßig von Bots und Brute-Force-Skripten attackiert. Mit einem zusätzlichen Passwortschutz per .htpasswd kannst du diesen sensiblen Bereich effektiv abschirmen – noch bevor der eigentliche Login greift.

Warum htpasswd zusätzlich zum WP-Login?

Der WordPress-Login schützt den Zugriff auf das Backend – aber er ist öffentlich erreichbar. Jeder kann das Login-Formular aufrufen und Angriffsversuche starten. Ein vorgeschalteter Zugriffsschutz via .htpasswd macht genau das unmöglich: Der Bereich ist nur nach erfolgreicher Authentifizierung sichtbar.

Schritt-für-Schritt-Anleitung: wp-admin mit htpasswd schützen

  1. .htpasswd-Datei erstellen: Erzeuge mit unserem htpasswd Generator einen verschlüsselten Benutzer-Eintrag.
  2. Datei auf den Server hochladen: Platziere die Datei z. B. unter /home/username/.htpasswd, also außerhalb des Webroots.
  3. .htaccess in /wp-admin erstellen: Lege im Verzeichnis /wp-admin eine neue .htaccess-Datei mit folgendem Inhalt an: 
    AuthType Basic
            AuthName "Admin-Zugang"
            AuthUserFile /vollständiger/pfad/zur/.htpasswd
            Require valid-user
  4. wp-login.php zusätzlich schützen (optional): Wer ganz sichergehen will, schützt auch die wp-login.php im Root-Verzeichnis. Das geht über die .htaccess im Hauptverzeichnis mit diesem Snippet: 
    <Files wp-login.php>
            AuthType Basic
            AuthName "Login-Zugang"
            AuthUserFile /vollständiger/pfad/zur/.htpasswd
            Require valid-user
            </Files>

Vorteile dieses Setups

  • Schützt vor Brute-Force-Angriffen
  • Verhindert die Erreichbarkeit des WP-Logins für Unbefugte
  • Geringer Aufwand, hohe Wirkung
  • Funktioniert unabhängig vom CMS

Wichtige Hinweise

  • Pfadangaben prüfen: Stelle sicher, dass der AuthUserFile-Pfad absolut korrekt ist.
  • Cache & Redirects: Falls du Caching-Plugins oder spezielle Weiterleitungen nutzt, teste sorgfältig.
  • Multisite-Installationen: Bei WordPress Multisite kann es Besonderheiten geben – hier lohnt ein Blick ins Server-Log.

Fazit

Mit einer .htpasswd-Sicherung deines WordPress-Adminbereichs hebst du den Schutz deines Projekts auf ein neues Level. Die Kombination aus CMS-Login und vorgeschaltetem Serverzugriff ist einfach umzusetzen und blockt einen Großteil automatisierter Angriffe ab – bevor sie überhaupt starten können.

👉 Im nächsten Artikel zeigen wir dir, warum viele Projekte zusätzlich zur .htpasswd-Lösung auf Zwei-Faktor-Authentifizierung setzen – und wann das trotzdem zu viel sein kann.

Weitere Ratgeber-Artikel

.htaccess und .htpasswd: So schützt du sensible Webseitenbereiche

Grundlagen der Websicherheit mit .htaccess und .htpasswd - Eine umfassende Anleitung für Anfänger und Fortgeschrittene.

Weiterlesen
Hosting von Casino- und Finanzseiten: Sicherheitsmaßnahmen & Zugangskontrolle

Spezielle Sicherheitsanforderungen für Casino- und Finanzwebsites - Compliance und technische Umsetzung.

Weiterlesen
So erkennen Suchmaschinen geschützte Bereiche – und wie du Indexierungsfehler vermeidest

SEO-Aspekte bei geschützten Bereichen - Wie Suchmaschinen mit htpasswd-geschützten Inhalten umgehen.

Weiterlesen