WordPress ist nicht von Haus auf unsicher. Aber durch die Verwendung von Plugins, ist die Sicherheit nur so weit gewährleistet, wie Plugins frei von Sicherheitslücken und aktuell gehalten sind. Dennoch gibt es Maßnahmen die WordPress Sicherheit ungeachtet von Plugin-Schwachstellen sicher zu halten. Zum Beispiel durch die Umbenennung des Ordners, in dem Plugins und auch Themes stecken: dem Ordner /wp-content.
WordPress ist eines der beliebtesten Content-Management-Systeme weltweit, was es leider auch zu einem attraktiven Ziel für Hacker macht. Eine Möglichkeit, die Sicherheit deiner WordPress-Website zu verbessern, ist die Umbenennung des Ordners /wp-content. In diesem Artikel erkläre ich, was dieser Ordner ist, welche Funktion er hat, warum seine Umbenennung die Sicherheit erhöhen kann und wie man dies umsetzt.
Inhaltsverzeichnis:
Was ist der Ordner /wp-content?
Der Ordner /wp-content ist ein zentraler Bestandteil jeder WordPress-Installation. Er enthält wichtige Dateien und Ressourcen, die für den Betrieb und die Funktionalität der Website unerlässlich sind. Typischerweise finden sich hier:
- Themes: Die Design- und Layout-Dateien deiner Website.
- Plugins: Erweiterungen, die zusätzliche Funktionen bereitstellen.
- Uploads: Medien wie Bilder, Videos oder Dokumente, die du in die Mediathek hochlädst.
Wozu wird der Ordner verwendet?
Die Hauptaufgabe von /wp-content besteht darin, alle benutzerdefinierten Inhalte und Anpassungen zu speichern. WordPress greift regelmäßig auf diesen Ordner zu, um z. B. das aktive Theme zu laden, Plugin-Funktionen auszuführen oder Bilder auf deiner Website anzuzeigen.
Warum hilft es der Sicherheit, den Ordner /wp-content umzubenennen?
Die Standardstruktur von WordPress-Installationen ist allgemein bekannt. Hacker wissen, dass sich benutzerdefinierte Inhalte und wichtige Ressourcen im Ordner /wp-content befinden. Wenn der Ordner umbenannt wird, erschwert dies es potenziellen Angreifern, gezielte Angriffe wie das Einfügen schädlicher Skripte oder das Auffinden bekannter Sicherheitslücken durchzuführen.
Ein umbenannter /wp-content-Ordner kann:
- Automatisierte Angriffe erschweren: Viele Angriffe erfolgen durch Bots, die standardisierte Pfade wie /wp-content scannen. Ein anderer Ordnername bricht diese Muster.
- Unnötige Informationen verbergen: Indem du den Ordnernamen änderst, machst du es schwerer, die genaue Struktur deiner Website zu ermitteln.
- Individuelle Anpassungen ermöglichen: Neben Sicherheitsvorteilen kann ein umbenannter Ordner für mehr Flexibilität bei der Strukturierung deiner Dateien sorgen.
Wie kann man den Ordner /wp-content umbenennen?
Die Umbenennung ist technisch möglich, erfordert jedoch einige Anpassungen an der WordPress-Konfiguration. Hier ist eine Schritt-für-Schritt-Anleitung:
- Backup erstellen: Sichere deine gesamte Website, einschließlich der Datenbank und Dateien.
- Neuen Ordner erstellen: Benenne den Ordner /wp-content z. B. in /mein-inhalt um.
- wp-config.php anpassen:
- Öffne die Datei wp-config.php im Hauptverzeichnis deiner WordPress-Installation.
- Füge folgende Zeilen hinzu oder passe bestehende an:
define('WP_CONTENT_DIR', '/absoluter/pfad/zur/wp/installation/mein-inhalt'); define('WP_CONTENT_URL', 'http://www.domain.tld/mein-inhalt');
- Dateipfade in Plugins und Themes prüfen: Stelle sicher, dass alle Plugins und Themes dynamische Funktionen wie content_url() verwenden. Andernfalls musst du die Pfade manuell anpassen.
- Website testen: Überprüfe, ob alles wie gewohnt funktioniert. Teste insbesondere Themes, Plugins und Medien.
Kann ich den wp-content Ordner im Nachhinein umbenennen?
Die Umbenennung dieses Ordners sollte nämlich möglichst bald geschehen. Nachträgliches Umbenennen kann unter Umständen dazu führen, dass Plugins nicht mehr funktionieren. Diese speichern häufig den absoluten Pfad zum Plugin in der Datenbank ab. Ebenso werden Einträge in der wp_posts oder wp_options Tabelle manchmal mit dem absoluten Pfad versehen. Ändert sich dann der Ordnername, sind die Einträge ungültig. Also: Installiert man einen Blog neu, sollte man noch vor der Installation neuer Plugins den wp-content Ordner umbenennen. Man darf hier gerne kreativ sein und kann einen beliebigen Namen vergeben.
Wie finde ich den absoluten Pfad meiner WordPress Installation?
Wenn man nicht weiß, wie der absolute Pfad lautet, schaut man entweder auf der Webseite seines Webhosters nach (z.B. durch die Google Suchanfrage „absoluter Pfad NameDesWebhosters“). Oder aber man legt eine PHP Datei im WordPress-Root-Verzeichnis mit dem folgenden Code an und ruft diese im Browser auf:
$p = getcwd();
echo $p;
Fazit: Es ist ein leichtes für mehr Sicherheit bei WordPress Webseiten zu sorgen. Mit dem Umbenennen des wp-content Ordners ist ein Schritt in die richtige Richtung gemacht. Was du sonst so tun kannst, um die Sicherheit deiner WordPress Website erhöhen zu können, liest du hier. Professionelle Unterstützung bei der Absicherung deiner WordPress Website findest du hier.
Bildnachweis: Security icons created by Freepik – Flaticon
Manuel
Hallo zusammen,
warum sollte man WordPress komplett verbergen?
Die Scanner heute testen doch eh alles durch und ob jetzt ein Pfad „wp-content“ oder „content“ oder „plugin“ heißt spielt hier keine Rolle.
Glaube hier setzt man auf falsche Sicherheit?
LG Manuel
René Dasbeck Post author
Es gibt immer noch Bots, die nach diesen einfachen Merkmalen suchen und dann die Ergebnisse in die interne Datenbank speichern um diese dann mit Angriffsversuchen zu versehen. Das kann man jetzt als Security by Obscurity bezeichnen. Ich würde auf Nummer sicher gehen und alles nutzen, was evtl. ein paar Prozentpunkte mehr Sicherheit bringen.
Tanja
Hallo René,
habe die Antwort aus dem Jahr 2016 verpasst. Ich musste damals im neuen Premium Theme den Pfad wp-content in der *custom.css.php* anpassen, weil ich den Ordner umbenannt hatte. Hat ein wenig gedauert, bis bei mir der Groschen fiel. Heute installiere ich eine neue Seite, und ich bin dankbar für die vielen wertvollen Tipps und Anleitungen.
Ria
Hallo René,
bin leider jetzt erst auf Deine Seite gestoßen, super und da ich gerade eine Neu-WP-Installation beginnen will, fallen mir 2. Fragen ein, deren Antwort ich sonst nicht gefunden habe:
Zitat:
„Also: Installiert man einen Blog neu, sollte man noch vor der Installation neuer Plugins den wp-content Ordner umbenennen. Man darf hier gerne kreativ sein und kann einen beliebigen Namen vergeben. Anschließend gibt man WordPress in der wp-config.php (welche NATÜRLICH aus Sicherheitsgründen eine Ebene über dem Blog Root Verzeichnis liegt) bekannt, wo der Content Ordner liegt.“
Zitat Ende
1. sollte man nicht zusätzlich # den Zugriff auf den a)wp-content Ordner und b) wp-config.php über die .htaccess verbieten?
a) deinewebseite/wp-content/).
Order deny,allow
Deny from all
Allow from all
b).
Order deny,allow
deny from all
Übrigens müssen sich .htaccess und wp-config.php im selben Verzeichnis befinden.
Und ist das Umbenennen dann noch nötig?
2. Du schreibst richtig, dass die wp-config.php eine Ebene über dem Blog Root Verzeichnis liegen soll.
Normal muss ich doch, wenn ich keinen „eigenen“ Server habe, beim Hoster, mein WP ins root Verzeichnis (Stammordner)installieren oder in einen Unterordner. Wenn z.B. die URL meine Domain.com ist würde z.B. in einem Unterordner WordPress sich die URL ändern in meine Domain.com/wordpress
Mit einer entspr. .htaccess im Stammordner könnte die URL meine Domain.com jedoch so erhalten bleiben.
FRAGE: wäre es dann richtig die config.php vom Unterordner in den höher gelegenen Stammordner zu verschieben?
Oder ist das mit „eine Ebene über dem Blog Root Verzeichnis“ anders gemeint?
Bei einem normalen Hostingpaket habe ich ja über dem Stammordner keinen weiteren Ebenen Zugriff.
Dann wäre die config.php ja immer noch im root-Stammverzeichnis?
(jedoch nicht im Blog root?)
Würde da gerne meine „Denkblokade“ aufgelöst bekommen 🙂 besten Dank im voraus!
l.G. Ria
René Dasbeck Post author
Du kannst WP auch in einem Unterordner wie zB /wordpress installieren. In / wird dann die wp-config.php verschoben. WP schaut dort standardmäßig nach. Die .htaccess muss übrigens nicht im gleichen Verzeichnis liegen.
Armin
Hallo René,
dieser Tipp und viele andere deiner Tricks funktionieren gut und auch sehr gut, aber hier ist bei WP leider feintuning nötig.
Es geht um den Upload-Ordner – .
Leider bleibt hier, so wie auch bei den anderen Uploads der Seiten, alles beim alten WP-CONTENT Ordner 🙁
Liebevoll abgemüht aber vielleicht gibt es ja noch eine Lösung.
Servus Armin
PS: Auch verschiedene Plugins haben hier versagt.
Tanja
Moin Herr Dasbeck,
sehr oft bin ich hier zugegen und daher möchte ich mich zuerst bei Ihnen für ihre hilfreichen u. besonders wertvollen Tipps bedanken. Es ist schon eine Weile her, dass ich den wp-content Ornder umbenannt und den Pfad angepasst habe. Auch die Umstellung auf SSL habe ich hinbekommen mit DB Abgleich u. allem pipapo. In den letzten Tagen habe ich auf ThemeForest ein kostenpflichtiges Theme gekauft und es scheint, als könne das Theme auf sämtliche CSS Dateien nicht zugreifen, was bei meinem alten Theme jedoch ohne Probleme funktioniert hat. Es ist nämlich so, dass ich das Theme zwar installieren konnte, aber die Theme-Settings nur teilweise funktionieren, der Style und jedwede Änderung wird nicht übernommen. Ich bin so ratlos, dass ich überlege mir proffessionell helfen zu lassen, sobald ich eine Antwort von ThemeForest erhalte. Ob es vielleicht an dem deutschen Sprachpaket liegt? Wie auch immer, ich schreibe hier, weil ich mir gedacht habe, dass wenn einer eine Idee hätte, dann Sie.
Lieben Gruß,
Tanja
René Dasbeck Post author
Hallo Tanja, ja das lässt sich so aus der Ferne schlecht beurteilen. Das müsste ich mir auf dem Server anschauen. Ich bin ein wenig spät dran, aber falls das noch aktuell ist, dann bitte mal schreiben. Schön, dass mein Blog Anklang findet.
Uli
Hallo,
bin gestern auf Deine Seite gestossen und schon viele hilfreiche Tipps geefunden.
Eine Frage zur Umbenennung der wp-content.
Du schreibst, dass somit automatisierte Scripts Probleme hätten, auf Plugins zuzugreifen.
Kann man nicht auch durch eine WP-Installation in ein Unterverzeichnis (also nicht im Root) Bots abhalten?
Der „normale“ Pfad
domtain.tld/wp-content/..
wäre ja dann nicht enthalten in
domain.tld/wpinstallation/wp-content/..
Gibt es einen Grund, warum Du diese Umbenennung nicht nutzt?
Vielen Dank,
Uli
René Dasbeck Post author
Die automatisierten Angriffe finden nicht auf Ebene des absoluten Pfades statt, sondern es wird bei Webseiten nach bestimmten angreifbaren Plugins gesucht. Dort befinden sich zB PHP Dateien mit Sicherheitslücken. Weiß der Bot nicht, in welchem Ordner er suchen muss, ist der Angriff schwieriger. Ja schwieriger, da nicht unmöglich. Daher nennt man diese Art der Securitytechnik auch „Security by Obscurity“.
Uli
Hallo,
habe gestern erst Deine Seite gefunden, danke für die vielen hilfreichen Infos.
JoMel
Interessanter Artikel aber was genau bringt einem das Umbenennen des Ordners bzw. welche Art von Angriff kann man damit konkret vereiteln? Verstehe das Sicherheitsrisiko nicht…
René Dasbeck Post author
Automatisierte Angriffe auf WordPress Webseiten gehen zB auf den wp-content Ordner, da dort im schlimmsten Fall alte Plugins liegen. Benennt man diesen Ordner um, kann ein Bot hier zumindest nicht direkt greifen. Bei einem manuellen Hackerangriff wird das allerdings nicht viel Auswirkung haben. Das widerrum passiert sehr selten im Vergleich zu automatisierten Angriffen auf Webseiten.
K. Martin Bönki
Moin Moin / Hallo,
ich habe Frage, wo genau platziere ich die beiden Code Zeilen ? Einfach ans Ende oder zwischen:
/** Absolute path to the WordPress directory. */
und
/** Sets up WordPress vars and included files. */
Ich Danke vielmals.
MfG: K. Martin Bönki
René Dasbeck Post author
Die beiden Zeilen einfach irgendwo in der wp-config.php aufführen. Ich stell die immer direkt nach den Sicherheitsschlüsseln rein.
MAX
Eins versteh ich nicht. Wenn ich die wp-content umbenenne, dann ganz normal ein Bild in die Mediathek hochlade und das in einen Beitrag einfüge, dann erscheint im Quelltext doch der ganze Pfand zum Bild, inkl. dem ganz toll kryptischen Namen der wp-content. Dann bringt doch das ganze Umbenennen nichts … oder hab ich da jetzt einen Denkfehler drin?
Max
René Dasbeck Post author
Hallo Max,
da hast du generell schon Recht. D.h. wenn es ein Hacker konkret auf dich abgesehen hat, dann bringt es dir nichts. Aber die allermeisten Angriffe finden automatisiert statt. Und zwar auf Standardpfade, zB auf den Pfad zu einer Plugindatei, die eine Sicherheitslücke aufweist. Ist dieser Standardpfad nicht gültig, funktioniert auch der automatisierte Angriff nicht.
Gruß
René Dasbeck
Andreas
Hallo,
sehr schöne Anleitung, leider gibt es ein Plugin (oder mehrere, wie zum Beispiel Counter per Day), die die Änderung nicht akzeptieren. Ich musste dann trotzdem einen zusätzlichen wp-content Ordner mit dem Plugin erstellen.
Andreas
Bei dem Plugin Counter per day funktioniert es jetzt auch.
Andreas Pierson
Wenn man oben beschriebene sicher sinnvolle Sicherheitsmassnahme nachträglich durchgeführen will und schon eine Reihe von Plugins installiert hat, reicht es dann aus, die Plugins nur zu deaktivieren oder sollte man sie komplett löschen und neu installieren?
René Dasbeck Post author
Löschen bringt nichts, da die Einträge in der Datenbank dabei bestehen bleiben. Am besten man überschreibt anschließend die Pfade in der Datenbank, damit es keine Probleme bei vereinzelten Plugins gibt…
Andreas Pierson
Okay, danke!
René Dasbeck Post author
Also bei mir mit XAMPP auf Windows installiert, lauten die Angaben:
define(‚WP_CONTENT_DIR‘, ‚C:/xampp/htdocs/wpordner/wp-content‘);
define(‚WP_CONTENT_URL‘, ‚http://localhost/wpordner/wp-content‘);
Bruno B.
Sehr gute Informationen hier auf der Seite, insbesondere zu dem sehr wichtigen Thema Sicherheit! Kompliment!
Eine Frage bezüglich des hier genannten änderns des wp-content Ordners.
Ich richte mir meine WordPress Installation zunächst lokal auf dem Rechner über MAMP Pro ein und ich bekomme es einfach nicht hin, in der wp-config.php die richtigen Pfade anzulegen.
Bzw. das ist falsch ausgedrückt: Ich weiß einfach nicht, wie die Pfade heißen, lauten, wie auch immer…
Die config bearbeiten ist natürlich kein Problem.
Der Browser schafft keine Verbindung…
Hat vielleicht jemand einen Tipp?
Vielen Dank