WordPress absichern durch .htaccess

Das allseits beliebte Content Management-System WordPress ist inzwischen auch ein beliebtes Angriffsziel für Hacker geworden.

Abseits der allseits bekannten Strategie, alle Plugins, Themes und WordPress selbst aktuell zu halten, gibt es aber auch noch andere Wege, um es den bösen Buben ein bisschen schwerer zu machen.

Mit wenigen Regeln in der .htaccess-Datei, die so ziemlich jeder Webhostinganbieter unterstützt, darf man sich guten Gewissens sicherer im Internet fühlen. Diese Regeln findet man sogar im WordPress-Codex.

wp-includes sperren

Der Zugriff auf die Dateien in den includes-Ordnern sollte von außen eigentlich überhaupt nicht nötig sein. Wir sperren den Zugriff also mit folgendem Codeschnipsel, den wir einfach in die „allgemeine“ .htaccess-Datei im Hauptverzeichnis unserer WordPress-Installation einfügen:

Auf Installationen, die WordPress Multisite nutzen, kann dieser Schnipsel übrigens nicht ohne Weiteres angewendet werden.

xmlrpc.php sperren

Sofern man keinen „externen“ Editor oder die mobilen Apps zum Schreiben benutzt, kann man auch den Zugriff auf die xmlrpc.php problemlos verweigern:

wp-config.php sperren

Zugriff auf die wp-config.php, also die zentrale Konfigurationsdatei von WordPress, sollte niemand haben, außer wir selbst. Auch hier sperren wir den Zugriff:

uploads-Ordner absichern

Böse Buben versuchen gerne, über die Uploadfunktion des WordPress, ihre Schadsoftware hochzuladen und dann auszuführen.

Um das zu verhindern, kann man im uploads-Ordner unter /wp-content/uploads/ eine .htaccess-Datei mit folgendem Inhalt anlegen:

Hiermit wird die Ausführung von Dateien mit der Endung .php verhindert und somit die Ausführung von Schadsoftware unterbunden.

Zusammenfassung

In die .htaccess-Datei im Hauptverzeichnis unserer Installation fügen wir folgende Zeilen ein:

Außerdem legen wir die Datei /wp-content/uploads/.htaccess mit folgendem Inhalt an:

Zwar bringen uns diese Änderungen auch keine hundertprozentige Sicherheit, aber mit den Scriptkiddies ist es, wie mit Einbrechern: dauert der Angriff zu lange, ziehen sie weiter ans nächste Haus.

Wieso diese Änderungen übrigens nicht als Standard bei WordPress definiert werden, weiß ich nicht. Die Änderungen entbinden uns übrigens auch nicht davon, ständig Updates durchzuführen!

Schreibe einen Kommentar