Textsicher

No Access mit .htaccess

Die Möglichkeit, eine Webpräsenz mit Hilfe der Datei .htaccess abzusichern, besteht auch für Wordpress. Prinzipiell können Sie so jedes Verzeichnis schützen. Sie sollten die Anforderungen dabei allerdings genau prüfen, denn nicht selten leidet die Benutzbarkeit unter den Sicherheitseinstellungen. Betrachten Sie die Sicherheit von Wordpress daher auch aus Sicht der Nutzer, nicht nur aus der des Administrators – zu restriktive Einstellungen machen eine Wordpress-Installation mitunter praktisch unbenutzbar.

Dabei kommt dem Ordner wp-admin eine erhöhte Bedeutung zu, denn dort lagern die Dateien für den Zugriff auf das Backend. Wie erwähnt, verwaltet die Datei wp-config.php die Zugänge zur Datenbank (Abbildung 3), was sie besonders schützenswert macht. Legen Sie die Datei .htaccess im Verzeichnis wp-admin der Wordpress-Installation ab und fügen Sie folgende Zeilen ein:

<files wp-config.php>
Order deny,allow
deny from all
</files>

Abbildung 3: Über die Datei wp-config.php verwalten Sie einige der wichtigsten Einstellungen von Wordpress, unter anderem die Secret Keys.

Lässt die von Ihnen genutzte Serverumgebung eine offene Verzeichnisumgebung zu, empfiehlt es sich, die oben angesprochenen leeren index.html-Dateien im jeweiligen Verzeichnis abzulegen. Alternativ sperren Sie den Zugriff über den Eintrag Options -Indexes in der Datei .htaccess.

Auch die Ordner wp-content und wp-includes sind schützenswert. Das erschwert aber unter Umständen einigen Anwendern das Leben, da das eine oder andere Plugin Daten aus diesen Ordnern benötigt. Listing 3 zeigt eine einfache Variante, mit der Sie den jeweiligen Ordner schützen. Dadurch dürfen externe Anwender nur Bilder, Stylesheets und Javascript-Dateien aus den betroffenen Ordnern holen. Gegebenenfalls müssen Sie diese Liste erweitern und testen.

Order Allow,Deny
Deny from all
<Files ~ "js/tinymce/*.$">
Allow from all
</Files>
<Files ~ "\.(css|jpe?g|png|gif|js)$">
Allow from all
</Files>

Wie sicher ist mein Wordpress?

Über Sicherheit und Wordpress gibt es viel zu sagen und zu lesen. Wie aber überprüfen Sie die Sicherheit Ihrer Installation?

Das Team von Blogsecurity bietet die Online-Version des WP-Scanners [4] (Abbildung 4) schon eine geraume Weile an und aktualisiert diesen auch immer wieder. Nutzen Sie diese Möglichkeit und prüfen Sie Ihr Blog. Nicht selten steigen Hacker über Lücken in Themes ein, was viele Nutzer nicht wissen. Überprüfen Sie freie Themes oder den Autor: Wie seriös ist sein Blog, wie sehen die Kommentare zum Theme aus? Alternativ prüfen Sie die Sicherheit auch direkt im Backend von Wordpress, indem Sie die Aufgabe an die Plugins WP Security Scan[5] oder WordPress Exploit Scanner[6] übergeben.

Abbildung 4: Die Sicherheit Ihres Blogs lässt sich auch ganz bequem mit Hilfe der Online-Version des WP-Scanners überprüfen.