No Access mit .htaccess

Die Möglichkeit, eine Webpräsenz mit Hilfe der Datei .htaccess abzusichern, besteht auch für Wordpress. Prinzipiell können Sie so jedes Verzeichnis schützen. Sie sollten die Anforderungen dabei allerdings genau prüfen, denn nicht selten leidet die Benutzbarkeit unter den Sicherheitseinstellungen. Betrachten Sie die Sicherheit von Wordpress daher auch aus Sicht der Nutzer, nicht nur aus der des Administrators – zu restriktive Einstellungen machen eine Wordpress-Installation mitunter praktisch unbenutzbar.

Dabei kommt dem Ordner wp-admin eine erhöhte Bedeutung zu, denn dort lagern die Dateien für den Zugriff auf das Backend. Wie erwähnt, verwaltet die Datei wp-config.php die Zugänge zur Datenbank (Abbildung 3), was sie besonders schützenswert macht. Legen Sie die Datei .htaccess im Verzeichnis wp-admin der Wordpress-Installation ab und fügen Sie folgende Zeilen ein:

<files wp-config.php>
Order deny,allow
deny from all
</files>
Abbildung 3: Über die Datei wp-config.php verwalten Sie einige der wichtigsten Einstellungen von Wordpress, unter anderem die Secret Keys.

Lässt die von Ihnen genutzte Serverumgebung eine offene Verzeichnisumgebung zu, empfiehlt es sich, die oben angesprochenen leeren index.html-Dateien im jeweiligen Verzeichnis abzulegen. Alternativ sperren Sie den Zugriff über den Eintrag Options -Indexes in der Datei .htaccess.

Auch die Ordner wp-content und wp-includes sind schützenswert. Das erschwert aber unter Umständen einigen Anwendern das Leben, da das eine oder andere Plugin Daten aus diesen Ordnern benötigt. Listing 3 zeigt eine einfache Variante, mit der Sie den jeweiligen Ordner schützen. Dadurch dürfen externe Anwender nur Bilder, Stylesheets und Javascript-Dateien aus den betroffenen Ordnern holen. Gegebenenfalls müssen Sie diese Liste erweitern und testen.

Listing 3
Order Allow,Deny
Deny from all
<Files ~ "js/tinymce/*.$">
Allow from all
</Files>
<Files ~ "\.(css|jpe?g|png|gif|js)$">
Allow from all
</Files>

Wie sicher ist mein Wordpress?

Über Sicherheit und Wordpress gibt es viel zu sagen und zu lesen. Wie aber überprüfen Sie die Sicherheit Ihrer Installation?

Das Team von Blogsecurity bietet die Online-Version des WP-Scanners [4] (Abbildung 4) schon eine geraume Weile an und aktualisiert diesen auch immer wieder. Nutzen Sie diese Möglichkeit und prüfen Sie Ihr Blog. Nicht selten steigen Hacker über Lücken in Themes ein, was viele Nutzer nicht wissen. Überprüfen Sie freie Themes oder den Autor: Wie seriös ist sein Blog, wie sehen die Kommentare zum Theme aus? Alternativ prüfen Sie die Sicherheit auch direkt im Backend von Wordpress, indem Sie die Aufgabe an die Plugins WP Security Scan[5] oder WordPress Exploit Scanner[6] übergeben.

Abbildung 4: Die Sicherheit Ihres Blogs lässt sich auch ganz bequem mit Hilfe der Online-Version des WP-Scanners überprüfen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Huawei
Pit Hampelmann, 13.12.2017 11:35, 2 Antworten
Welches Smartphone ist für euch momentan das beste? Sehe ja die Huawei gerade ganz weit vorne. Bi...
Fernstudium Informatik
Joe Cole, 12.12.2017 10:36, 2 Antworten
Hallo! habe früher als ich 13 Jahre angefangen mit HTML und später Java zu programmieren. Weit...
Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 3 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...