Eingabe des Passworts in WordPress passwortgeschützten Beiträgen funktioniert nicht
Wenn man für WordPress Beiträge oder Seiten einen zusätzlichen Passwortschutz festgelegt hat, ist dieser Inhalt nur nach erfolgreicher Eingabe des richtigen Passworts sichtbar. Über die Veröffentlichung von Beiträgen kann ein Inhalt so durch die Angabe eines speziellen Passworts geschützt werden.
In einem speziellen Fall funktioniert diese WordPress Funktionalität jedoch nicht!
Warum wird der Inhalt trotz Eingabe des richtigen Passworts nicht angezeigt?
Aus Sicherheitsgründen ist der Aufruf der wp-login.php Datei in vielen Fällen gesperrt wurden, um z.B. Brute Force Attacken zu vermeiden. Der Aufruf der Login-Seite wie z.B. https://domain.de/wp-admin/ ist somit nur noch durch eine zusätzliche Browser-Passwortabfrage erreichbar. Das ist der Fall, wenn der WordPress-Login in der .htaccess-Datei durch eine weitere .htpasswd-Datei geschützt wurde. In der Regel kann das folgendermaßen aussehen:
Mit dem Unterschied das gleich mehrere sensible Dateien geschützt wurden, könnte der zusätzliche Passwortschutz in deiner .htaccess-Datei aber auch so aussehen:
Aber was hat das mit der Passworteingabe von in WordPress passwortgeschützten Beiträgen und Seiten zutun? Sehr viel sogar! Denn verwendest du diese zusätzlichen Schutzmechanismen, um den WordPress Login zu schützen, funktioniert auch die WordPress-Eigene Funktionalität mit den passwortgeschützten Beiträgen nicht mehr!
Das ist der Fall, da das Formular für die Eingabe des Passworts (um den Seiteninhalt freizuschalten), ebenfalls wp-login.php?action=postpass verwendet um sich mit WordPress zu authentifizieren. Da die Datei wp-login.php aber in der .htaccess-Datei zusätzlich geschützt wurde, kann sich selbst der Benutzer mit Eingabe des richtigen Passworts nicht einloggen und den Inhalt einsehen.
Wie können wir dieses Problem lösen?
Leider habe ich keine Allzwecklösung für dieses Problem gefunden. Die einzige Abhilfe schafft in diesem Fall, den zusätzlichen Schutz der wp-login.php Datei in der .htaccess wieder zu entfernen.
Damit wäre auch wieder das Anzeigen von passwortgeschützten WordPress Beiträgen und Seiten möglich. Jedoch aber nicht zu Gunsten des doppelt-geschützten WordPress-Login Bereichs.
Solltest du eine andere Lösung finden, welche die Nutzung der passwortgeschützten Beiträge, trotz des zusätzlichen .htaccess-Schutzes ermöglicht – Dann hinterlasse doch einfach dein Feedback in den Kommentaren.
