No Access mit .htaccess

Die Möglichkeit, eine Webpräsenz mit Hilfe der Datei .htaccess abzusichern, besteht auch für Wordpress. Prinzipiell können Sie so jedes Verzeichnis schützen. Sie sollten die Anforderungen dabei allerdings genau prüfen, denn nicht selten leidet die Benutzbarkeit unter den Sicherheitseinstellungen. Betrachten Sie die Sicherheit von Wordpress daher auch aus Sicht der Nutzer, nicht nur aus der des Administrators – zu restriktive Einstellungen machen eine Wordpress-Installation mitunter praktisch unbenutzbar.

Dabei kommt dem Ordner wp-admin eine erhöhte Bedeutung zu, denn dort lagern die Dateien für den Zugriff auf das Backend. Wie erwähnt, verwaltet die Datei wp-config.php die Zugänge zur Datenbank (Abbildung 3), was sie besonders schützenswert macht. Legen Sie die Datei .htaccess im Verzeichnis wp-admin der Wordpress-Installation ab und fügen Sie folgende Zeilen ein:

<files wp-config.php>
Order deny,allow
deny from all
</files>
Abbildung 3: Über die Datei wp-config.php verwalten Sie einige der wichtigsten Einstellungen von Wordpress, unter anderem die Secret Keys.

Lässt die von Ihnen genutzte Serverumgebung eine offene Verzeichnisumgebung zu, empfiehlt es sich, die oben angesprochenen leeren index.html-Dateien im jeweiligen Verzeichnis abzulegen. Alternativ sperren Sie den Zugriff über den Eintrag Options -Indexes in der Datei .htaccess.

Auch die Ordner wp-content und wp-includes sind schützenswert. Das erschwert aber unter Umständen einigen Anwendern das Leben, da das eine oder andere Plugin Daten aus diesen Ordnern benötigt. Listing 3 zeigt eine einfache Variante, mit der Sie den jeweiligen Ordner schützen. Dadurch dürfen externe Anwender nur Bilder, Stylesheets und Javascript-Dateien aus den betroffenen Ordnern holen. Gegebenenfalls müssen Sie diese Liste erweitern und testen.

Listing 3
Order Allow,Deny
Deny from all
<Files ~ "js/tinymce/*.$">
Allow from all
</Files>
<Files ~ "\.(css|jpe?g|png|gif|js)$">
Allow from all
</Files>

Wie sicher ist mein Wordpress?

Über Sicherheit und Wordpress gibt es viel zu sagen und zu lesen. Wie aber überprüfen Sie die Sicherheit Ihrer Installation?

Das Team von Blogsecurity bietet die Online-Version des WP-Scanners [4] (Abbildung 4) schon eine geraume Weile an und aktualisiert diesen auch immer wieder. Nutzen Sie diese Möglichkeit und prüfen Sie Ihr Blog. Nicht selten steigen Hacker über Lücken in Themes ein, was viele Nutzer nicht wissen. Überprüfen Sie freie Themes oder den Autor: Wie seriös ist sein Blog, wie sehen die Kommentare zum Theme aus? Alternativ prüfen Sie die Sicherheit auch direkt im Backend von Wordpress, indem Sie die Aufgabe an die Plugins WP Security Scan[5] oder WordPress Exploit Scanner[6] übergeben.

Abbildung 4: Die Sicherheit Ihres Blogs lässt sich auch ganz bequem mit Hilfe der Online-Version des WP-Scanners überprüfen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 3 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...