‎Sicherheit von Wordpress erhöhen mit Passwortabfrage

Telekom hilft Community

Telekom Business Community

Privatkunden

Telekom Shops

Kontakt

Gelöst

Sicherheit von Wordpress erhöhen mit Passwortabfrage

vor 4 Jahren

Hallo,

leider habe ich ein Problem bei der Einrichtung eines Passwortschutzes für meine Homepage. Und zwar bin ich den Hinweisen der folgenden zwei telekomhilft-Seiten gefolgt, bekomme aber danach keinen Zugang zu meiner Website:

https://homepagecenter.telekom.de/index.php?id=544

https://homepagecenter.telekom.de/index.php?id=440

Beide Seiten erklären, dass im Ordner .etc eine httpd.conf-Datei eingerichtet werden soll. Dabei unterschieden sich die Skripte etwas. Zudem muss eine Datei passwortdatei.txt angelegt, mit einem Passwortgenerator ein Passwort generiert und dieses in der Datei abgelegt werden. Danach muss die Datei ebenfalls im .etc-Ordner abgespeichert werden.

All dies habe ich wiederholt getan. Das einzig Konstante war aber, dass eine Passwortabfrage startete, wenn ich meinen Homepage-Login ansteuerte. Nach der Eingabe des Benutzernamens und des Passworts in die leere Eingabemaske erschien nach dem Drücken der Enter-Taste wieder die Eingabemaske mit dem Benutzernamen und forderte erneut zur Eingabe des Passworts auf. Ich interpretiere dies so, dass anscheinen mein Benutzername bei der Passworteingabe erkannt wird, das Passwort jedoch nicht.

Ich entdecke aber keinen Fehler, den ich bei der Erstellung des Passworts mit dem von der Telekom empfohlenen Passwortgenerator (https://hostingcanada.org/htpasswd-generator/) gemacht habe. Die Internetseite bietet allerdings 4 verschiedene Passworttypen an, von denen ich einen als sicher eingeschätzten Code ausgewählt habe.

Wo liegt der Fehler?

Als Datei habe ich ein Bild des Inhalts meiner aktuellen hppd.conf-Datei beigefügt.

Vielen Dank für hilfreiche Hinweise.

505

vor 4 Jahren
Hallo @gruebler262

auf meiner Wordpress Seite verwende ich 2 Plugins, um

1. Den Zugriff für interne Bereiche nur eingeloggten Mitgliedern zu gewähren und

2. Bestimmte Seiten und auch Dateien ebenfalls nur eingeloggten Mitgliedern zu gestatten.

Es handelt sich dabei um

https://de.wordpress.org/plugins/wp-members/ und

https://de.wordpress.org/plugins/user-access-manager/

Achte auch darauf, dass Du den Zugriff auf REST API verhinderst, das geht einfach mit

https://de.wordpress.org/plugins/disable-json-api/

Dieses Plugin kann auch so eingestellt werden, dass trotz der Sperrung noch das beliebte Kontaktformular "ContactForm 7" noch funktioniert.

Die von Dir verlinkte Lösung kenne ich nicht.

Gruss -LERNI-
2
Antwort
von
vor 4 Jahren
Hallo Lerni,
leider antwortest du nicht auf meinen Beitrag, sondern nennst weitere Möglichkeiten, wie man den Zugriff auf die eigene Website durch zusätzliche Plugins für die Nutzerverwaltung erhöhen kann. Einiges davon finde ich durchaus hilfreich, wünsche mir aber ab jetzt nur Ratschläge zu meinem im ersten Beitrag genannten Problem.

Herzliche Grüße
Antwort
von
vor 4 Jahren
Hallo @gruebler262

ich hatte ja geschrieben, dass ich die Telekom-Lösung nicht kenne.

gruebler262

wünsche mir aber ab jetzt nur Ratschläge zu meinem im ersten Beitrag genannten Problem.

wünsche mir aber ab jetzt nur Ratschläge zu meinem im ersten Beitrag genannten Problem.

gruebler262
wünsche mir aber ab jetzt nur Ratschläge zu meinem im ersten Beitrag genannten Problem.

das ist in Ordnung, ggfs. findet sich ja noch ein anderer User, der Dir hier weiter helfen kann.

Gruss -LERNI-.
Uneingeloggter Nutzer
Antwort
von
vor 4 Jahren
Hallo @gruebler262

Ich habe die Anfrage einmal intern an einen Kollegen weitergeleitet und folgendes hat er mir zurückgemeldet:

Es lässt sich aktuell schwer nachvollziehen, wo das Problem lag, da die Dateien nicht mehr da sind. Vielleicht könnten Sie die Dateien auf dem Server nur umbenennen, damit sie nicht aktiv sind und er trotzdem schauen kann, wo der Fehler liegt? Besser wäre, einfach testweise den Passwortschutz für ein Testverzeichnis anzulegen und aktiv lassen, damit wir dann noch mal drüber schauen können.

Am Testaccount hat es auf jeden Fall ohne Probleme funktioniert --> er hat es mit BCrypt verwendet.

Hier einen Eintrag den Sie sonst testweise in der passwortdatei.txt probieren könnten:
Benuter: test / Passwort: sommer2021 / Mode BCrypt
test:$2y$10$8ZoI49lU9dHw/KeojYNcGOzvNbu4gWXERW3bw/27pL3o3g2yezV.6

Auf jeden Fall spricht das für ein Problem in der passwortdatei.txt, wenn die Abfrage kommt aber nicht funktioniert.

Viele Grüße Nadine H.
1
Antwort
von
vor 4 Jahren
Hallo Nadine,
ich habe den et-Ordner zwischenzeitlich gelöscht, da ich auf meinen Blog zugreifen musste.
Gerade habe ich den et-Ordner wieder angelegt. Er liegt direkt im Ordner …www/etc. In dem Ordner liegt die httpd.conf-Datei und Passwort.txt-Datei. Bilder der Inhalte beider Dateien habe ich beigefügt. In der Passwortdatei ist mein Passwort unkenntlich gemacht.
Leider habe ich weder mithilfe des Test-Passworts noch meines persönlichen Passworts Zugang zu meinem Blog.

Wo liegt der Fehler?
Datei httpd.conf.png
Datei passwort.txt.png
Uneingeloggter Nutzer
Antwort
von
vor 4 Jahren
Hallo @gruebler262,

vielen Dank, dass Du die Dateien noch einmal hochgeladen hast.
Was mir jetzt direkt auffällt, ist, dass Du bei der Angabe des zu sperrenden Verzeichnisses vergessen hast, die %-Zeichen vor und hinter dem Verzeichnisnamen zu entfernen. Entferne diese bitte und versuche es dann noch einmal.

Gruß,
Ingo F.
5
Antwort
von
vor 4 Jahren
Hallo Ingo,

in der passwortdatei.txt kann man verschiedene Benutzer anlegen – pro Absatz einen Nutzer. Neben dem von Nadine vorgeschlagenen Nutzer "test" habe ich noch den von mir angelegten Nutzer "Mark…" angelegt.

Gerade habe ich beide nochmals getestet, aber ich erhalte über beide keinen Zugang.

Können die anderen Codezeilen in der hpptd.conf-Datei eventuell Schuld sein?

Herzliche Grüße

Antwort
von
vor 4 Jahren
Hallo @gruebler262 ,

das Einzige, was mir bei deiner .conf auffällt, ist diese Zeile:

Sollte es da nicht text/javascript heißen? Das "a" vergessen?

MfG. Bernd
Antwort
von
vor 4 Jahren
Hallo Bernd,
vielen Dank für das aufmerksame Lesen. Ich habe den Fehler korrigiert, von dem ich mir auch nicht erklären kann, wie er zustande gekommen ist, da ich das Skript nur mit Copy und Paste übernommen habe.

Herzliche Grüße
Uneingeloggter Nutzer
Antwort
von
Akzeptierte Lösung
akzeptiert von
vor 4 Jahren
Hallo @gruebler262

In der passwortdatei.txt steht viel mehr drin als da reingehört, da hat @Ingo F. recht. Man kann es sehr gut über den Dateimanager sehen, wenn man sie aufruft. Da sind viele Informationen von einem Programm für irgendwelche Formatierungen eingetragen, bitte kontrolliere das einmal.

Mein Kollege bittet darum, dass du die Zeile für den Eintrag mit einem reinen Texteditor abspeicherst. Er hat mal für dich die passwortdateibeispiel.txt abgelegt.

Viele Grüße Nadine H.
1
Antwort
von
vor 4 Jahren
Hallo Nadine,
die Formatierungen waren das Problem. In meinem Texteditor "TExtEdit" von Apple kann sowohl reiner Text als auch formatierter verwendet werden. Und ohne mein Wissen müssen sich da Formatierungen eingeschlichen haben. Jedenfalls gibt es in TExtEdit die Möglichkeit Text in reinen Text umzuformatieren. Der Befehl findet sich im Menü "Format" des Textprogramms.
Nach der Umformatierung habe ich beide Passwörter getestet. Sie funktionieren jetzt. Daher werde ich gleich das von euch generierte Testpasswort löschen.

Vielen Dank für die Hilfe!

Herzliche Grüße
Uneingeloggter Nutzer
Antwort
von
vor 4 Jahren
@gruebler262

Super, dass der Fehler nun gefunden wurde, danke auch an @Gelöschter Nutzer für seine Hilfe. Tatsächlich habe ich dies übersehen, aber gut, dass wir aufmerksame User haben. Es funktioniert nun und das ist die Hauptsache.

Viele Grüße & einen schönen Tag noch.
Nadine H.
0