Den Ordner wp-content in WordPress umbenennen

Wordpress absichern

WordPress ist nicht von Haus auf unsicher. Aber durch die Verwendung von Plugins, ist die Sicherheit nur so weit gewährleistet, wie Plugins frei von Sicherheitslücken und aktuell sind. Gegen fiese Bösewichter wie sogenannte Script-Kiddies, die z.B. aus Langeweile während der Schulferien mit frei verfügbaren Tools nach offenen Systemen suchen, kann man aber Maßnahmen ergreifen indem man WordPress absichert.

Warum den Ordner wp-content in WordPress umbenennen?

Eine wirkungsvolle Maßnahme ist das umbenennen des Ordners, der die Plugins und Upload-Daten enthält. Während man beispielsweise zumindest darauf achtet die Datenbanktabellen durch einen individuellen Prefix zu härten, wird der Ordner wp-content leider häufig komplett vergessen. Oder man denkt zu spät daran diesen umzubenennen, wenn es dann aber schon zu spät.

Kann ich den wp-content Ordner im Nachhinein umbenennen?

Die Umbenennung dieses Ordners sollte nämlich möglichst bald geschehen. Nachträgliches Umbenennen kann unter Umständen dazu führen, dass Plugins nicht mehr funktionieren. Diese speichern häufig den Pfad zum Plugin in der Datenbank ab. Ebenso werden Einträge in der wp_posts oder wp_options Tabelle manchmal mit dem absoluten Pfad versehen. Ändert sich dann der Ordnername, sind die Einträge ungültig. Also: Installiert man einen Blog neu, sollte man noch vor der Installation neuer Plugins den wp-content Ordner umbenennen. Man darf hier gerne kreativ sein und kann einen beliebigen Namen vergeben. Anschließend gibt man WordPress in der wp-config.php (welche NATÜRLICH aus Sicherheitsgründen eine Ebene über dem Blog Root Verzeichnis liegt) bekannt, wo der Content Ordner liegt. Das geht folgendermaßen:

define('WP_CONTENT_DIR', '/absoluter/pfad/zur/wordpress/installation/neuercontentordnername');
define('WP_CONTENT_URL', 'http://www.domain.tld/neuercontentordnername');

Das war es schon. Der Blog funktioniert wie gewohnt.

Wie finde ich den absoluten Pfad meiner WordPress Installation?

Wenn man nicht weiß, wie der absolute Pfad lautet, schaut man entweder auf der Webseite seines Webhosters nach (z.B. durch die Google Suchanfrage „absoluter Pfad NameDesWebhosters“). Oder aber man legt eine PHP Datei im WordPress-Root-Verzeichnis mit dem folgenden Code an und ruft diese im Browser auf:

     $p = getcwd();
     echo $p;

Fazit: Es ist ein leichtes für mehr Sicherheit bei WordPress Webseiten zu sorgen. Mit dem Umbenennen des wp-content Ordners ist ein Schritt in die richtige Richtung gemacht.

Jetzt WordPress Newsletter in dein Postfach

Melde dich jetzt für meinen Newsletter an und du erhältst regelmäßig Tipps und Tricks zu WordPress in dein Postfach. Natürlich kannst du ihn jederzeit abbestellen.


22 Kommentare

  1. Tanja sagt:

    Hallo René,
    habe die Antwort aus dem Jahr 2016 verpasst. Ich musste damals im neuen Premium Theme den Pfad wp-content in der *custom.css.php* anpassen, weil ich den Ordner umbenannt hatte. Hat ein wenig gedauert, bis bei mir der Groschen fiel. Heute installiere ich eine neue Seite, und ich bin dankbar für die vielen wertvollen Tipps und Anleitungen.

  2. Ria sagt:

    Hallo René,

    bin leider jetzt erst auf Deine Seite gestoßen, super und da ich gerade eine Neu-WP-Installation beginnen will, fallen mir 2. Fragen ein, deren Antwort ich sonst nicht gefunden habe:
    Zitat:
    „Also: Installiert man einen Blog neu, sollte man noch vor der Installation neuer Plugins den wp-content Ordner umbenennen. Man darf hier gerne kreativ sein und kann einen beliebigen Namen vergeben. Anschließend gibt man WordPress in der wp-config.php (welche NATÜRLICH aus Sicherheitsgründen eine Ebene über dem Blog Root Verzeichnis liegt) bekannt, wo der Content Ordner liegt.“
    Zitat Ende

    1. sollte man nicht zusätzlich # den Zugriff auf den a)wp-content Ordner und b) wp-config.php über die .htaccess verbieten?

    a) deinewebseite/wp-content/).

    Order deny,allow
    Deny from all

    Allow from all

    b).

    Order deny,allow
    deny from all

    Übrigens müssen sich .htaccess und wp-config.php im selben Verzeichnis befinden.
    Und ist das Umbenennen dann noch nötig?

    2. Du schreibst richtig, dass die wp-config.php eine Ebene über dem Blog Root Verzeichnis liegen soll.

    Normal muss ich doch, wenn ich keinen „eigenen“ Server habe, beim Hoster, mein WP ins root Verzeichnis (Stammordner)installieren oder in einen Unterordner. Wenn z.B. die URL meine Domain.com ist würde z.B. in einem Unterordner WordPress sich die URL ändern in meine Domain.com/wordpress

    Mit einer entspr. .htaccess im Stammordner könnte die URL meine Domain.com jedoch so erhalten bleiben.

    FRAGE: wäre es dann richtig die config.php vom Unterordner in den höher gelegenen Stammordner zu verschieben?

    Oder ist das mit „eine Ebene über dem Blog Root Verzeichnis“ anders gemeint?
    Bei einem normalen Hostingpaket habe ich ja über dem Stammordner keinen weiteren Ebenen Zugriff.

    Dann wäre die config.php ja immer noch im root-Stammverzeichnis?
    (jedoch nicht im Blog root?)

    Würde da gerne meine „Denkblokade“ aufgelöst bekommen 🙂 besten Dank im voraus!

    l.G. Ria

    • Du kannst WP auch in einem Unterordner wie zB /wordpress installieren. In / wird dann die wp-config.php verschoben. WP schaut dort standardmäßig nach. Die .htaccess muss übrigens nicht im gleichen Verzeichnis liegen.

  3. Armin sagt:

    Hallo René,

    dieser Tipp und viele andere deiner Tricks funktionieren gut und auch sehr gut, aber hier ist bei WP leider feintuning nötig.

    Es geht um den Upload-Ordner – .

    Leider bleibt hier, so wie auch bei den anderen Uploads der Seiten, alles beim alten WP-CONTENT Ordner 🙁
    Liebevoll abgemüht aber vielleicht gibt es ja noch eine Lösung.

    Servus Armin
    PS: Auch verschiedene Plugins haben hier versagt.

  4. Tanja sagt:

    Moin Herr Dasbeck,
    sehr oft bin ich hier zugegen und daher möchte ich mich zuerst bei Ihnen für ihre hilfreichen u. besonders wertvollen Tipps bedanken. Es ist schon eine Weile her, dass ich den wp-content Ornder umbenannt und den Pfad angepasst habe. Auch die Umstellung auf SSL habe ich hinbekommen mit DB Abgleich u. allem pipapo. In den letzten Tagen habe ich auf ThemeForest ein kostenpflichtiges Theme gekauft und es scheint, als könne das Theme auf sämtliche CSS Dateien nicht zugreifen, was bei meinem alten Theme jedoch ohne Probleme funktioniert hat. Es ist nämlich so, dass ich das Theme zwar installieren konnte, aber die Theme-Settings nur teilweise funktionieren, der Style und jedwede Änderung wird nicht übernommen. Ich bin so ratlos, dass ich überlege mir proffessionell helfen zu lassen, sobald ich eine Antwort von ThemeForest erhalte. Ob es vielleicht an dem deutschen Sprachpaket liegt? Wie auch immer, ich schreibe hier, weil ich mir gedacht habe, dass wenn einer eine Idee hätte, dann Sie.

    Lieben Gruß,
    Tanja

    • Hallo Tanja, ja das lässt sich so aus der Ferne schlecht beurteilen. Das müsste ich mir auf dem Server anschauen. Ich bin ein wenig spät dran, aber falls das noch aktuell ist, dann bitte mal schreiben. Schön, dass mein Blog Anklang findet.

  5. Uli sagt:

    Hallo,

    bin gestern auf Deine Seite gestossen und schon viele hilfreiche Tipps geefunden.

    Eine Frage zur Umbenennung der wp-content.
    Du schreibst, dass somit automatisierte Scripts Probleme hätten, auf Plugins zuzugreifen.

    Kann man nicht auch durch eine WP-Installation in ein Unterverzeichnis (also nicht im Root) Bots abhalten?
    Der „normale“ Pfad
    domtain.tld/wp-content/..
    wäre ja dann nicht enthalten in
    domain.tld/wpinstallation/wp-content/..

    Gibt es einen Grund, warum Du diese Umbenennung nicht nutzt?

    Vielen Dank,
    Uli

    • Die automatisierten Angriffe finden nicht auf Ebene des absoluten Pfades statt, sondern es wird bei Webseiten nach bestimmten angreifbaren Plugins gesucht. Dort befinden sich zB PHP Dateien mit Sicherheitslücken. Weiß der Bot nicht, in welchem Ordner er suchen muss, ist der Angriff schwieriger. Ja schwieriger, da nicht unmöglich. Daher nennt man diese Art der Securitytechnik auch „Security by Obscurity“.

  6. Uli sagt:

    Hallo,
    habe gestern erst Deine Seite gefunden, danke für die vielen hilfreichen Infos.

  7. JoMel sagt:

    Interessanter Artikel aber was genau bringt einem das Umbenennen des Ordners bzw. welche Art von Angriff kann man damit konkret vereiteln? Verstehe das Sicherheitsrisiko nicht…

    • Automatisierte Angriffe auf WordPress Webseiten gehen zB auf den wp-content Ordner, da dort im schlimmsten Fall alte Plugins liegen. Benennt man diesen Ordner um, kann ein Bot hier zumindest nicht direkt greifen. Bei einem manuellen Hackerangriff wird das allerdings nicht viel Auswirkung haben. Das widerrum passiert sehr selten im Vergleich zu automatisierten Angriffen auf Webseiten.

  8. K. Martin Bönki sagt:

    Moin Moin / Hallo,

    ich habe Frage, wo genau platziere ich die beiden Code Zeilen ? Einfach ans Ende oder zwischen:

    /** Absolute path to the WordPress directory. */
    und
    /** Sets up WordPress vars and included files. */

    Ich Danke vielmals.

    MfG: K. Martin Bönki

  9. MAX sagt:

    Eins versteh ich nicht. Wenn ich die wp-content umbenenne, dann ganz normal ein Bild in die Mediathek hochlade und das in einen Beitrag einfüge, dann erscheint im Quelltext doch der ganze Pfand zum Bild, inkl. dem ganz toll kryptischen Namen der wp-content. Dann bringt doch das ganze Umbenennen nichts … oder hab ich da jetzt einen Denkfehler drin?

    Max

    • Hallo Max,

      da hast du generell schon Recht. D.h. wenn es ein Hacker konkret auf dich abgesehen hat, dann bringt es dir nichts. Aber die allermeisten Angriffe finden automatisiert statt. Und zwar auf Standardpfade, zB auf den Pfad zu einer Plugindatei, die eine Sicherheitslücke aufweist. Ist dieser Standardpfad nicht gültig, funktioniert auch der automatisierte Angriff nicht.

      Gruß
      René Dasbeck

  10. Andreas sagt:

    Hallo,

    sehr schöne Anleitung, leider gibt es ein Plugin (oder mehrere, wie zum Beispiel Counter per Day), die die Änderung nicht akzeptieren. Ich musste dann trotzdem einen zusätzlichen wp-content Ordner mit dem Plugin erstellen.

  11. Wenn man oben beschriebene sicher sinnvolle Sicherheitsmassnahme nachträglich durchgeführen will und schon eine Reihe von Plugins installiert hat, reicht es dann aus, die Plugins nur zu deaktivieren oder sollte man sie komplett löschen und neu installieren?

  12. Also bei mir mit XAMPP auf Windows installiert, lauten die Angaben:

    define(‚WP_CONTENT_DIR‘, ‚C:/xampp/htdocs/wpordner/wp-content‘);

    define(‚WP_CONTENT_URL‘, ‚http://localhost/wpordner/wp-content‘);

  13. Bruno B. sagt:

    Sehr gute Informationen hier auf der Seite, insbesondere zu dem sehr wichtigen Thema Sicherheit! Kompliment!

    Eine Frage bezüglich des hier genannten änderns des wp-content Ordners.

    Ich richte mir meine WordPress Installation zunächst lokal auf dem Rechner über MAMP Pro ein und ich bekomme es einfach nicht hin, in der wp-config.php die richtigen Pfade anzulegen.
    Bzw. das ist falsch ausgedrückt: Ich weiß einfach nicht, wie die Pfade heißen, lauten, wie auch immer…

    Die config bearbeiten ist natürlich kein Problem.

    Der Browser schafft keine Verbindung…

    Hat vielleicht jemand einen Tipp?

    Vielen Dank

Kommentar schreiben

Mit Absenden deines Kommentars erklärst du dich mit der Verarbeitung deiner hier angegebenen Daten einverstanden (Datenschutzerklärung). Diese werden nur zur Verwaltung der Kommentare verwendet und keinem anderen Zweck zugefügt. Du kannst jederzeit per E-Mail an info@netz-gaenger.de der Speicherung deiner Daten widersprechen.

* Notwendige Angaben

Netzgänger Webdesign | Rohrersmühlstraße 22 in Schwabach | Bayern
Kontakt: info@netz-gaenger.de
↑ oben
Inhalt