FastWP

WordPress. Performance.

Sicherheit: PHP Ausführung verhindern


Auf Facebook teilen

Wordpress Sicherheit htaccess

Sicherheit für Umsonst

Die Zeiten werden immer gefährlicher und auch WordPress wird des Öfteren Opfer von grundlosen Attacken. Kriminelle schleusen sich in das System ein, verschaffen sich Zugang, oder integrieren einen Virus, alles Dinge die kein Webmaster erleben will. Doch Sicherheit kann teuer werden und investieren möchten die meisten eher in die Dinge, die auch direkt sichtbar sind bzw. einen sichtbaren Mehrwert bieten. Sicherheit kostet aber eben nur, einen Wert haben die Ausgaben nur bei einem Unglück/Angriff, doch sonst scheinen sie sinnlos. Wer also gerne an Backups und Sicherheit spart, sollte zumindest alle von Hand verfügbaren Schutzmaßnahmen ergreifen.

Öffnet einen einfachen Texteditor, fügt unten stehenden Code ein und speichert die Datei als .htaccess ab.

<Files *.php>
deny from all
</Files>

Einsatz und Nutzen

Die soeben erstellte .htaccess Datei kopiert ihr nun in den WordPress-Ordner „/wp-content/uploads“ und in den Ordner „/wp-includes“. Dort wird mit der .htaccess Datei nun die Ausführung von PHP verhindert. Das hat einen einfachen Grund, denn in den Ordnern legen Hacker gerne ihre Dateien ab, welche dort relativ unsichtbar sind und meist sogar noch einen WordPress-ähnlichen Namen besitzen. Durch das Verbot, PHP-Dateien im Ordner auszuführen, schlägt solch ein Angriff nun fehl. Simpel, aber gerade deshalb auch notwendig. Wer mehr erfahren will, findet hier noch die ultimative .htaccess Vorlage.


Auf Facebook teilen

Kommentare

  1. Nini sagt:

    Hey und vielen Dank für deinen Beitrag und Tipp. Das Anlegen dieser htaccess-Datei wird schon desöfteren genannt. Doch ich habe da eine Frage. Wie sieht es eigentlich aus, wenn Plugins installiert oder geupdatet werden? Hat es denn irgendein Nachteil, wird es dadurch beeinträchtigt?

    Gruß

  2. Deciso sagt:

    Eine .htaccess ist Pflicht, alleine schon um so Sachen wie den Browser Cache zu regeln. Schau mal hier: https://fastwp.de/487/

  3. Nini sagt:

    Hey,

    danke für deine Antwort.

    Ich habe entsprechende .htaccess-Datei angelegt, die einiges regelt, wie etwa das sichern der Include-Dateien und einige andere Dinge lt. WP Codex bzw. Tipps von diesem Blog, das aktivieren von Browser-Caching, regeln von https, und einiges mehr.

    Bei meinem Kommentar ging es einzig und allein um die Frage, ob das installieren und insbesondere das updaten von Plugins und generell Dateien/Daten auf irgendeine Weise beeinträchtigt wird, wenn eine htaccess-Datei mit dem oben genannten Code-Snippet im Content-Ordner und include-Ordner angelegt wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Um offensichtlichen Spam zuverlässig herauszufiltern, werden die Kommentare händisch moderiert, erscheinen also erst nach manueller Freischaltung und einer kurzen Wartezeit.