crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
06.01.2021 15:13
Guten Tag,
ich versuche die beiden Dateien wp-login.php und xmlrpc.php via httpd.conf zu schützen (ID=544). Das klappt aber nicht.
zu 1: wp-login.php
Eintrag entsprechend erfolgt wie beschrieben. Ich komme aber weiterhin direkt auf WordPress-Login Panel.
Ergänzend dazu: Das Verfahren als solches klappt, da ich ein Verzeichnis (außerhalb von Wordpress) mit diesem Verfahren schütze und dies auch in diesem Zusammenhang extra noch einmal getestet habe. Beim Aufruf einer Datei in diesem Verzeichnis kommt direkt das Anmeldefenster für UID/PW. Generell klappt also das Verfahren.
zu 2: xmlrpc.php
Ebenso eingetragen wie beschrieben. Ich denke aber, dass dieser Schutz auch nicht wirkt, da ich im WP-Dashboard (SecurityPlugin) Zugriffsversuche erhalte, die abgewehrt wurden. Die dürften da ja eigentlich nicht auftauchen, wenn der Schutz bereits auf der httpd.conf Seite erfolgt wäre.
Ich habe zwei Dinge im Verdacht, kann das aber nicht verifizieren:
1. ggf. die bei WP-Installation automatisch generierte .htaccess Datei im WP-Verzeichnis
2. Eine Weiterleitung der Domain auf das Wordpress-Verzeichnis
Der Punkt 2 scheint mir am wahrscheinlichsten, da das Verfahren mit PW-Schutz ja für ein Verzeichnis außerhalb Wordpress problemlos funktioniert.
Falls jemand eine Idee hat, was das Problem sein könnte bzw. welche Möglichkeiten ich habe um die Ursache lokalisieren zu können, wäre ich für Hilfe dankbar.
Grüße Michael
Gelöst! Gehe zu Lösung.
02.02.2021 17:42
Liebe Nadine,
SUPER! - vielen Dank auch an deinen Kollegen. Ich habe das gleich geändert, aktiviert und danach im WP-Dashboard geprüft - Meldung ist weg.
Super und einen schönen Abend noch (oder einen guten Start in den Tag).
Lieben Gruß Michael
18.01.2021 18:40
06.01.2021 17:57
Der Schutz erfolgt zweckmäßig durch eine Kombination aus User/Passwort in der Datei .htpasswd und einem Einrag in der Datei .htaccess, der auf die .htpasswd verweist. Erklärung z. B. unter https://www.webtimiser.de/wordpress-login-schuetzen/
07.01.2021 08:03
Guten Morgen, danke für dieses Tipp. Das habe ich mir angesehen (ist ja im Prinzip das gleiche Verfahren innerhalb wordpress). Allerdings finde ich die Idee nicht ganz uninteressant, den Schutz bereits "vor" wordpress zu installieren.
Und generell möchte ich natürlich wissen, warum das beschriebene Verfahren nicht funktioniert.
Könnten dazu vielleicht @Ingo F. , @Nadine H. oder @Stephie G. etwas sagen?
Danke schön!
08.01.2021 14:34
Hallo Nadine - super, gerade getestet - plop und das Anmeldefenster durch httpd.conf Schutz war da. 😁
Zur Nachfrage wegen der Änderung. Meine Datei hat als letztes Änderungsdatum den 02.01.2021 (und ich habe das nach der Änderung auch direkt hochgeladen). Ich denke mal, dass ich auch die letzten Versuche mit einer Neuanmeldung (in anderem Browser) am 02.01./03.01. durchgeführt habe, da ich auf dem Dashboard durchgehend angemeldet war. Von daher kann ich jetzt nicht sagen, wann das wirksam wurde (oder jetzt mit eurem Eingriff). Ich hatte allerdings noch bis heute Zugriffsversuche im WP-Plugin angezeigt erhalten - daher ist das aller Wahrscheinlichkeit durch euren Eingriff erst jetzt wirksam geworden.
Jedenfalls finde ich das sehr schön - dann sollte ja das WP Plugin in Zukunft für die beiden Dateien keine Zugriffsversuche mehr anzeigen. Ich gehe ja davon aus, dass der Schutz für die xmlrpc-Datei jetzt genau so gut funktioniert.
Danke für die schnelle Hilfe und auch ein schönes, ruhiges Wochenende. Passt auf euch auf.
Michael
12.01.2021 13:12
Guten Tag, Nadine.
Ein kleiner Nachtrag zum Thema. Ich habe in meinem Dashboard beim Prüfen des Zustandes der "Webseite" eine neuen Warnhinweis.
Um diesen Hinweis genau lokalisieren zu können habe ich zunächst komplett alle Plugins deaktiviert - Fehlermeldung kam weiterhin. Daraufhin habe ich die httpd.conf ohne die beiden hier im Thread aufgeführten Einträge zum Schutz der beiden Dateien wp-login.php und xmrlpc.php entfernt, diese httpd.conf hochgeladen und mit dem Command "apachectl reload" auch gleich aktiviert.
Nach Entfernung der Einträge wurde die Warn-Meldung im Dashboard nicht mehr angezeigt. Anschließend wieder die originale Datei mit den Einträgen hochgeladen und aktiviert - danach wurde die Warn-Meldung wieder angezeigt.
Ich habe beim googlen die Meldung mehrmals gefunden, aber nicht so richtig einordnen können. Mit dem Status-Code 401 (Unauthorized) allerdings überhaupt keine Fundstellen.
Es könnte natürlich damit zusammenhängen, dass die WP-Seite jetzt durch den Schutz außerhalb selbst nicht mehr in der Lage ist ggf. einen entsprechenden Zustand zu prüfen?
Ist das ggf. bekannt bei euch mit der Meldung und kann ich das ignorieren?
Danke schon einmal für Feedback.
Liebe Grüße Michael
13.01.2021 13:43
18.01.2021 18:40
Liebe Nadine,
SUPER! - vielen Dank auch an deinen Kollegen. Ich habe das gleich geändert, aktiviert und danach im WP-Dashboard geprüft - Meldung ist weg.
Super und einen schönen Abend noch (oder einen guten Start in den Tag).
Lieben Gruß Michael
18.01.2021 21:24
Liebe Nadine, ich bin (leider) auf noch ein Problem gestoßen im Zusammenhang mit der "Vorprüfung" der wp-login.php.
Ich habe in WordPress die Möglichkeit eine einzelne Seite (ohne Plug-in!) mit einem Passwort-Schutz zu veröffentlichen. Ich habe heute eine erste Seite von meiner alten Seite in WordPress erstellt (bisher durch Euren PW-Schutz / Artikel ID=440 geschützt) und nach Erstellung mit PW-Schutz veröffentlicht.
Zunächst wird auch ganz normal nach dem vergebenen Passwort gefragt, aber danach wird leider auf die wp-login.php Seite verzweigt und nach dem Passwort für diese Datei gefragt (danach ist die Seite lesbar - es wird also NICHT das eigentlich WordPress PW erfragt!).
Um das genau zu verifizieren, habe ich mehrere Tests durchgeführt. Sobald ich die Vorprüfung für die wp-login.php aus der httpd.conf entferne, hochlade und aktiviere, läuft der Schutz korrekt ab. Es wird das vergebene PW für die Seite abgefragt und danach ist die Seite sichtbar. Wenn ich danach die httpd.conf mit dem Schutz der wp-login.php hochlade, kommt nach der PW-Eingabe für die WordPress-Seite wieder das Pop-up für die wp-login.php Vorprüfung.
Mir ist die Logik dahinter zwar nicht ganz klar, wieso das passiert, aber ich hoffe, dass Ihr auch für dieses Problem eine Lösung habt - das wäre wunderbar (dann müsste ich nicht extra ein Plug-in für diese (wenigen) Seiten installieren).
Ansonsten ein schönes Wochenende oder einen guten Start in die neue Woche.
Liebe Grüße aus Frankfurt mit viel Schnee von oben - der aber unten direkt zu Wasser wird
Michael
31.01.2021 17:40
02.02.2021 17:42
03.02.2021 07:48
Guten Morgen, @Ingo F.
Danke für die Information. Schade, aber nicht zu ändern. Ich habe für mich jetzt eine Lösung gefunden, da der eigentliche Schutz auf einer Bildergalerie (jAlbum) liegt, die aber nicht WP-intern läuft.
So habe ich jetzt die eigentliche Seite mit "unverfänglichen" Daten normal veröffentlicht und den Link zur Bildergalerie dort eingebunden. Dort wird dann UID/PW über den Schutz für Verzeichnisse (ID=440) abgefragt. Und bei mir sind es nur 4 "persönliche" Galerien, sodass ich damit leben kann. Von daher belasse ich den Schutz für die wp-login.php auch.
Danke auch an die Kolleg:innen für eure Mühe. Ich würde das Thema dann (zum dritten Mal 😉) als erledigt kennzeichnen.
Gruß aus Frankfurt Michael
03.02.2021 08:44
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Informieren Sie sich über unsere aktuellen Website-Angebote.