wahrscheinlich bin ich nicht der einzige der lieber ein paar sicherheitsfeatures zu viel als zu wenig einbaut. so habe ich hier unter anderem den wordpress admin ordner (wp-admin) zusätzlich per .htaccess passwortgeschützt. alles schön und gut, lief jetzt auch schon einige monate ohne das irgendwelche fehler aufgetreten wären. wenn allerdings ein user beim kommentieren ein pflichtfeld wie name oder email auslässt verweisst wordpress, um genauer zu sein die wp-comments-post.php, auf ein css file im adminordner (wp-admin/css/install.css). folglich erhält der kommentator anstatt der meldung doch bitte die pflichtfelder auszufüllen eine login aufforderung. blöde sache das. scheint also von wordpress nicht vorgesehen zu sein das leser die einen kommentar abgeben wollen keinen zugriff auf den admin folder haben.

bei caesarcipher habe ich dann die lösung des problems gefunden. die basic authentication der .htaccess im wp-admin ordner wird auf alle unterordner vererbt. um die fehlermeldung das ein pflichtfeld ausgelassen wurde zu erhalten muss der user allerdings berechtigt sein den ordner /wp-admin/css/ zu lesen. also den vererbten passwortschutz des unterordners durch eine eigene .htaccess wieder aushebeln, das ganze sieht dann so aus:

Order Deny,Allow
Allow from all
Satisfy any