WordPress absichern durch .htaccess

Das allseits beliebte Content Management-System WordPress ist inzwischen auch ein beliebtes Angriffsziel für Hacker geworden.

Abseits der allseits bekannten Strategie, alle Plugins, Themes und WordPress selbst aktuell zu halten, gibt es aber auch noch andere Wege, um es den bösen Buben ein bisschen schwerer zu machen.

Mit wenigen Regeln in der .htaccess-Datei, die so ziemlich jeder Webhostinganbieter unterstützt, darf man sich guten Gewissens sicherer im Internet fühlen. Diese Regeln findet man sogar im WordPress-Codex.

wp-includes sperren

Der Zugriff auf die Dateien in den includes-Ordnern sollte von außen eigentlich überhaupt nicht nötig sein. Wir sperren den Zugriff also mit folgendem Codeschnipsel, den wir einfach in die „allgemeine“ .htaccess-Datei im Hauptverzeichnis unserer WordPress-Installation einfügen:

Auf Installationen, die WordPress Multisite nutzen, kann dieser Schnipsel übrigens nicht ohne Weiteres angewendet werden.

xmlrpc.php sperren

Sofern man keinen „externen“ Editor oder die mobilen Apps zum Schreiben benutzt, kann man auch den Zugriff auf die xmlrpc.php problemlos verweigern:

wp-config.php sperren

Zugriff auf die wp-config.php, also die zentrale Konfigurationsdatei von WordPress, sollte niemand haben, außer wir selbst. Auch hier sperren wir den Zugriff:

uploads-Ordner absichern

Böse Buben versuchen gerne, über die Uploadfunktion des WordPress, ihre Schadsoftware hochzuladen und dann auszuführen.

Um das zu verhindern, kann man im uploads-Ordner unter /wp-content/uploads/ eine .htaccess-Datei mit folgendem Inhalt anlegen:

Hiermit wird die Ausführung von Dateien mit der Endung .php verhindert und somit die Ausführung von Schadsoftware unterbunden.

Zusammenfassung

In die .htaccess-Datei im Hauptverzeichnis unserer Installation fügen wir folgende Zeilen ein:

Außerdem legen wir die Datei /wp-content/uploads/.htaccess mit folgendem Inhalt an:

Zwar bringen uns diese Änderungen auch keine hundertprozentige Sicherheit, aber mit den Scriptkiddies ist es, wie mit Einbrechern: dauert der Angriff zu lange, ziehen sie weiter ans nächste Haus.

Wieso diese Änderungen übrigens nicht als Standard bei WordPress definiert werden, weiß ich nicht. Die Änderungen entbinden uns übrigens auch nicht davon, ständig Updates durchzuführen!

3 Gedanken zu “WordPress absichern durch .htaccess

  1. Die wp-config.php kann man übrigens auch noch einen Ordner höher schieben, um mehr Sicherheit zu erreichen. Ich Installiere WordPress daher immer in einem eigenen Ordner (z.B. website) indem sich der originale Ordner „WordPress“ befindet – Installations-Pfad ist dann also /website/wordpress/.
    Nach der Installation kann man dann einfach die Datei wp-config.php eine Ebene höher, hier in /website, schieben, dass sie aus dem Installationsordner heraus und für den FTP Zugriff nicht mehr erreichbar ist. Dazu muss dann aber auch der Zugriff auf diesen Order (WordPress) beschränkt bleiben.

    • Hier stimme ich auf jeden Fall zu, allerdings sollte es in meinem Artikel wirklich rein um die .htaccess-Story gehen, die im Internet nur selten angegangen wird.

      Die üblichen Tipps – Adminuser ändern z.B. – sollten natürlich trotzdem berücksichtigt werden.

Schreibe einen Kommentar