Möchten Sie den Zugang zu Ihrem WordPress-Adminbereich aus Sicherheitsgründen einschränken?
Wenn Sie ein kleines Team haben, besteht eine gute Lösung darin, den Zugriff nur auf die IP-Adressen zu beschränken, die von den Teammitgliedern verwendet werden.
In diesem Artikel zeigen wir Ihnen, wie Sie den WordPress-Admin-Zugang nach IP-Adresse einschränken können, Schritt für Schritt.
Warum den WordPress-Admin-Zugang nach IP-Adresse einschränken?
Wenn Sie eine WordPress-Website betreiben, dann müssen Sie die Sicherheit Ihrer Website ernst nehmen. Obwohl die WordPress-Kernsoftware sehr sicher ist, können Sie noch mehr tun, um sich vor Hackern und Brute-Force-Angriffen zu schützen.
Hacker können Ihre Website lahmlegen sowie Ihre Einnahmen und Ihren Ruf schädigen. Sie können Daten stehlen oder sogar Malware an Ihre Website-Besucher verteilen und dafür sorgen, dass Ihre Domain bei Google und anderen auf die schwarze Liste gesetzt wird.
Eine intelligente Methode, um Hacker abzuwehren und die Sicherheit von WordPress zu verbessern, ist der Schutz des WordPress-Administrationsbereichs vor unbefugtem Zugriff.
Wenn nur Sie oder einige wenige vertrauenswürdige Benutzer Zugriff auf den Admin-Bereich benötigen, ist es eine gute Möglichkeit, den Zugriff auf wp-admin und die WordPress-Login-Seite auf die IP-Adressen Ihres Teams zu beschränken.
Jedes Teammitglied verbindet sich mit Ihrer WordPress-Website über eine bestimmte IP-Adresse für jeden Standort. Wenn Sie den Zugang zu allen anderen IP-Adressen blockieren, kann ein Hacker nicht auf Ihre Website zugreifen, selbst wenn er Ihren Benutzernamen und Ihr Passwort herausgefunden hat.
Stattdessen wird die Fehlermeldung angezeigt: ‚Verboten. Sie haben keine Berechtigung, auf diese Ressource zuzugreifen“.
Schauen wir uns an, wie man den WordPress-Admin-Zugang nach IP-Adresse einschränken kann.
Wie man den WordPress-Administrator-Zugang nach IP-Adresse einschränkt
Als Erstes müssen Sie eine Liste der IP-Adressen erstellen, die von allen Personen verwendet werden, die sich bei Ihrer WordPress-Website anmelden müssen. Wenn jemand von mehreren Standorten aus arbeitet, müssen Sie die IP-Adressen für jeden einzelnen Standort erfassen.
Sie können ihre IP-Adresse erfahren, indem sie eine Website wie SupportAlly besuchen.
Sobald Sie Ihre Liste erstellt haben, müssen Sie eine Datei auf Ihrer Website bearbeiten. Dazu müssen Sie einen FTP-Client oder die Dateimanager-App Ihres Hosting-Anbieters verwenden. Wenn Sie noch nie mit FTP gearbeitet haben, sollten Sie sich unsere Anleitung zum Hochladen von Dateien mit FTP in WordPress ansehen.
Sie müssen die Software verwenden, um zum Ordner /wp-admin/ Ihrer Website zu navigieren. Dort sollten Sie nach der Datei .htaccess suchen. Dies ist eine versteckte Datei. Wenn Sie sie also nicht sehen können, müssen Sie möglicherweise die Option „Versteckte Dateien anzeigen “ in Ihrer Software aktivieren.
Wenn diese Datei in dem Ordner nicht vorhanden ist, sollten Sie eine neue Datei erstellen und sie unter dem Namen .htaccess in Ihrem /wp-admin/ Ordner speichern.
Warnung! Bearbeiten Sie nicht Ihre Stammdatei .htaccess, sonst sperren Sie Besucher vom Frontend Ihrer Website aus! Stellen Sie sicher, dass Sie /wp-admin/.htaccess bearbeiten.
Sie sollten zunächst eine Kopie der Datei auf Ihren Computer herunterladen, um sie zu sichern. Danach müssen Sie .htaccess bearbeiten und den folgenden Code einfügen:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
</LIMIT>
Bearbeiten Sie die Datei so, dass sie mit den Namen Ihrer eigenen Teammitglieder übereinstimmt, und fügen Sie dann die IP-Adressen ein, die Sie zuvor gesammelt haben, um die Stelle zu ersetzen, an der xx.xx.xx.xxx steht.
Sobald Sie die Datei gespeichert haben, können nur noch diese IP-Adressen auf den WordPress-Admin zugreifen.
Denken Sie daran, dass Sie von Ihrem WordPress-Administrationsbereich ausgesperrt werden, wenn sich Ihre IP-Adresse ändert oder Sie versuchen, von einem neuen Standort aus auf Ihre Website zuzugreifen. Sie müssen Ihre neue IP-Adresse in die Datei /wp-admin/.htaccess aufnehmen.
Wir hoffen, dass dieses Tutorial Ihnen geholfen hat, zu lernen, wie man den WordPress-Administrator-Zugang nach IP-Adresse einschränkt. Vielleicht interessiert Sie auch unser WordPress-Tutorial darüber, wie Sie ein kostenloses SSL-Zertifikat für Ihre Website erhalten, oder unsere Liste der unverzichtbaren Plugins für das Wachstum Ihrer Website.
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
John says
My wp-admin folder doesn’t contain an .htaccess file. What am I missing.
WPBeginner Support says
You would need to have your FTP or file manager show hidden files if you do not see it.
Admin
Mukund says
How to find my ip address for hiding wp-admin folder?
WPBeginner Support says
There are multiple methods to find your IP, one of the simple ones would be to use a site like supportally.com
Admin
Chris says
You have to enable
module authz_groupfile
„sudo a2enmod authz_groupfile“
and restart apache
Rajat Shankhdhar says
Not working for me. Code restricting admin to get access even I put the ip in a whitelist.
Rostyslav says
After this line, you must put a condition for permission to allow php files to prevent conflicts:
allow from all
Solace says
I tried the .htaccess password protection method.
It works, but I tried it on a site with Woocommerce, but then my customers weren’t able to log in.
Just saying that because it seems no one has mentioned that it doesn’t work with sites that need customers to log in !
Miguel says
Hello, thank you for the tutorial. Unfortunately, I have not been able to make this .htaccess file to work correctly because it is denying access to the only IP address I included, my own… I am certain I copied your code exactly and I typed my IP correctly. The .htaccess file was saved under: /wp-admin/.htaccess
Am I missing something? Thanks
Miguel says
I must add that I am working on a localhost installation.
WPBeginner Support says
Hi Miguel,
Instead of your IP address, try adding 127.0.0.1
That’s your localhost IP address. If adding the IP alone doesn’t work, then add the following line before the above code:
Require localAdmin
Pankaj Murthalia says
how to block the access to wp admin???
Emaan Ali says
Hi Guys,
I have blocked the wp-admin with .htaccess as mentioned in this article. But i am having one problem that my admin-ajax file is also being restricted on public site.
My wordpress theme uses much of admin ajax functionality and that I have put the IP limitation access on wp-admin folder so its not accessible for all IP’s.
Does anyone find the solution for this ? If so please share .
Thanks in advance
Emaan
Len says
Hi, This seems really a helpful one. Maybe you could help me. Instead of whitelisting an IP can we allow access for specific countries in .htaccess file? Hoping you can help me. Thank you very much.
Bridget says
Thanks! This was the only solution that worked for me after trying so many
Scotty says
Hi, This does work. I checked and am „forbidden“ to login on any other computer. I can’t even see the login panel. However, I am still getting about 24 failed log in attempts per day from all different IP addresses. Any ideas how there getting around this? It’s some kind of brute force attack? Thanks, Scott.
WPBeginner Support says
Yes quite possibly. Make sure your .htaccess password is a difficult one.
Admin
Scotty says
Thanks. Your site has been very helpful. If you have moment maybe you could answer one more question. I followed your tutorials — and they worked. I blocked access to my admin folder with htaccess and added a password on top of that. I tested and even if people were to break the password, which they haven’t, they wouldn’t have access to the folder from any IP address except mine. However, I’m still getting about 12 failed logins per day. Any ideas what is happening and where to go to fix it? I was hacked once, but cleared the files out of my uploads folder.
Scotty says
NVM: This page answered my question for now. Great info
https://www.wpbeginner.com/wp-tutorials/11-vital-tips-and-hacks-to-protect-your-wordpress-admin-area/
Sehrish says
And how to allow access to only wordpress adminitrator ?What code i will write without any ip ? I just need to know a generic function that get admin related info.Becuse i have to restrict my plugin uploads from other user.And Whoever using this plugin i have to get its admin info to restrict contents from other and allow only to admin of website.
Praveen says
Many Many thanks sir, I have test this on my localhost system it works very well.
Kim says
I tried this (after previously successfully password protecting my wp-admin directory and fixing the redirect error per your other article), but then I get a pop-up asking for a user name and password for the „WordPress Admin Access Control“. What user name and password am I supposed to be using for this new pop-up? Neither the wordpress admin logon nor the wp-admin directory logon work for it.
Thanks!
Kim says
Oh, I believe I figured out the problem; seems to work as long as I make sure to have the added code at the very beginning.
Jordyn says
I have a big problem
I did what you said about creating the .htaccess and putting in the code snippet. It didn’t work so I deleted the .htaccess file and now I can’t login to my dashboard! It’s just a white screen
Please help!!!
Thanks
Editorial Staff says
That’s a fairly unlikely outcome. You deleted the .htaccess file in your /wp-admin/ folder correct?
Admin
Jordyn says
All I did was create the file in my wp-admin folder and when it didn’t work I deleted it from the wp-admin folder. I’m not sure what happened but, after a crazy rabbit trail and many shots in the dark, I was able to correct the problem by adding to the top of my login.php file. I still don’t know what went wrong or why what I did fixed it…. but at least its fixed. I may try this again when I’m feeling brave.
Jordyn says
it erased the code snippet
it was supposed to say „…by adding „“ to the top…“
Jordyn says
less than sign ? ob_start(); ? greater than sign
Peter says
First I did not manage to make your password protect work
https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory
at least this one works.
It is interesting, that I wp-admin page gets into an infinite redirect when I enter a wrong IP address, not my one.
The infinite redirect seems to be hence an authorization problem.
Raheem Khan says
Hi WPB, I don’t think it will be working in Pakistan because every time we reset or turn of our DSL modem so the IP address automatically changes. if any other tip please reply me.
Thanks
Editorial Staff says
You should look at our tip for password protecting the wp-admin directory.
Admin
awan says
yes it can be done on https, it’s just .htaccess
wpbeginnerfan says
Can this be done on https sites? I can’t get it to work.
andrew says
hi, how to make .htaccess with dynamic ip (non static ip)
my ip is always change xxx.xxx.xxx.12 xxx.xxx.xxx.453 xxx.xxx.xxx.076
please help…
Editorial Staff says
Then this solution is not for you.
Admin
Joe says
You can harden your wordpress install via .htaccess whitelisting even if you have a dynamic IP address. You can whitelist a range of IP addresses using a /24 or /16 range. While this allows more access than if you always knew the IP you wanted to allow, it still prohibits access from almost the entire internet.
Just add /24 to the end of the allow from line to allow the whole class C subnet (256 IPs), or add /16 to allow the whole 65,536 range. i.e.
allow from xxx.xxx.xxx.0/24
will allow access to IP addresses from xxx.xxx.xxx.0 – xxx.xxx.xxx.255. and
allow from xxx.xxx.0.0/16
will allow access from IP addresses from xxx.xxx.0.0 – xxx.xxx.255.255
Kyle says
You say not to do the root site’s .htaccess file…why is that? Because you just want to limit access to the /wp-admin folder?
So…if I wanted to have a WordPress site hosted externally but used as an internal company resource so that only people using IPs of our company could access it…if I edited the root folder’s .htaccess folder to only allow IPs from our domain…that would work the same way your /wp-admin fix is, but for the entire site, correct?
Editorial Staff says
Yes Kyle, the reason why we said do not put this code in the root file because then it will limit your site access to only these IP as well. But if you are trying to make a site just for your company’s staff can access it only from work, then you would want to put the .htaccess file in the root folder.
Admin
Kyle says
Fantastic…thank you for the quick reply!
Bill says
Why just limit GETs? You might want to limit POSTs as well!
Darrin says
Nice tip. I will be doing this.
Alim Bolar says
Can I limit access based on other criterias? Like I need only my laptop to access a particular folder.. I could access it from anywhere so it would be difficult to specify an IP as my internet access would be based on DHCP. Is there a unique identifier for every machine or something like that that can be used as a criteria?