wp-config.php eine Ebene höher verschieben

Die wp-config.php Datei ist reines Gold für Hacker, da sie alle sensiblen Informationen Ihrer WordPress-Website, einschließlich Passwörter und Datenbank-Standorten beinhaltet. Wichtig also, diese so gut wie möglich zu schützen. Wordpress wp-config.php eine Ebene höher setzen Standardmäßig ist die wp-config.php nicht auflistbar. Aber es ist allgemein bekannt wie sie heißt und das sie normalerweise im Wurzelverzeichnis (root) der WordPress-Installation liegt. Es ist allerdings möglich, diese Datei einfach ein Verzeichnis höher zu verschieben. WordPress sucht automatisch auch im übergeordneten Verzeichnis nach seiner Konfigurationsdatei. Somit ist sie für Hacker quasi nicht erreichbar, da der Einstiegspunkt der Webseite ja maximal das root-Verzeichnis ist.

Wie kann ich die wp-config.php eine Ebene höher verschieben?

Das ist relativ einfach. Mit dem FTP-Programm (z.B. FileZilla) verbindet man sich mit dem Webserver der eigenen Webseite und ziehen die wp-config.php einfach ein Verzeichnis nach oben. Das war es auch schon.

Was tun mit der wp-config.php, wenn ich mehrere WordPress-Webseiten habe?

Wenn Sie mehrere WordPress-Webseiten in jeweils eigenen Unterordnern gespeichert haben, können Sie natürlich nur von einer Webseite die wp-config.php eine Ebene höher verschieben. Alternativ verschachteln Sie dann so, dass jede WordPress-Installation einen eigenen übergeordneten Ordner hat. Zum Beispiel:

/webseite1/wordpress

/webseite1 ist der Ordner in den die wp-config.php geschoben wird und in
/webseite1/wordpress liegt die WordPress-Installation OHNE die verschobene wp-config.php

/webseite2/wordpress

/webseite2 ist der Ordner in den die wp-config.php geschoben wird und in
/webseite2/wordpress liegt die WordPress-Installation OHNE die verschobene wp-config.php

Das Prinzip sollte verstanden sein. Die Domains werden über das Backend des Webhosters jeweils auf die Unterordner gelinkt (z.B. /webseite2/wordpress), sodass dieser Unterordner wiederrum das root-Verzeichnis der Installation ist.

Wie kann ich die wp-config.php sonst noch absichern?

Ganz einfach: nehmen Sie jegliche Schreibrechte von der Datei. Diese muss nur gelesen werden können. 0444 sollte also ausreichend sein.

Sie benötigen Hilfe bei WordPress-Sicherheitsmaßnahmen?

Dann kontaktieren Sie mich doch einfach. Ich unterstütze Sie gerne dabei, Ihre Webseite gegen Hackerangriffe abzusichern.

Letzte Version vom 24. März 2016 von Netzgänger
Jetzt WordPress Newsletter in dein Postfach

Melde dich jetzt für meinen Newsletter an und du erhältst regelmäßig Tipps und Tricks zu WordPress in dein Postfach. Natürlich kannst du ihn jederzeit abbestellen.


13 Kommentare

  1. Michael sagt:

    Bioshade ich verstehe nicht, welchen Sicherheitseffekt dieses Vorgehen haben soll. Die wp-config.php wird als PHP-Datei bei einer HTTP-Anfrage durch einen Browser interpretiert. Wenn du durch einen Browser-Aufruf den Inhalt der Datei lesen kannst, hast du keinen PHP-Interpreter installiert oder etwas anderes ist massiv kaputt.

  2. Bioshade sagt:

    Gibt doch so viele Wege das auch einfacher zu machen. Aber alle haben einen Knackpunkt: Hast du FTP-Zugriff, war es das mit der zusätzlichen Sicherheit. Und mal Hand auf Herz: Wie viele von den Usern die hier mitlesen machen sich überhaupt Gedanken über Sicherheit? Es werden diese Postings gelesen, weil man sich denkt „naja das machts ja sicherer“ aber keiner macht sich darüber Gedanken, dass per FTP statt SFTP auf den Server zugegriffen wird, oder sich in den Adminbereich per http statt https verbunden wird.

    Zurück zum Thema: Eine Absicherung gegen Zugriffe aus dem Browser – selbst wenn der PHP-Interpreter ausfallen sollte – bietet ein einfacher Include. Beispielsweise kann man die wp-config.php auch einfach #wp-config.php nennen, oder wegen mir auch #karlheinzvonhabsburg.php – alles was man dazu braucht ist eine Datei die wp-config.php heißt und einen Include auf den neuen Namen der wp-config hat. Beispiel:

    Wir nennen die wp-config.php nun #save-config.php. Dann brauchen wir als neue Datei die „wp-config.php“, die nur eine Zeile enthält: „include ‚#save-config.php‘;“ – fertig ist die Sache. Im Browser kann sie nicht mehr geöffnet werden, da die als Sprungmarke auf der Index.php interpretiert wird, statt als Datei – und der PHP-Interpreter kommt damit prima klar. Solange der PHP-Interpreter läuft bedeutet das, dass die Configuration nicht mehr in der Datei liegt und somit unlesbar wird.

    Alternative: Verschlüsselt es einfach. Es gibt so viele Tools, die zwar keine 100%ige Sicherheit bieten, aber vor Scriptkiddies schützt es allemal – und die Tools sind teilweise sogar kostenfrei.

    • Guter Tipp, aber auch hier nochmal der Hinweis: Diese Securitymaßnahmen sind nicht gedacht für den Hacker, der FTP Zugriff will und bekommen hat, sondern eben gegen Script-Kiddies. Gegen automatisierte Angriffe mit den üblichen Mitteln auf Sicherheitslücken im System und den bekannten Plugins. Das sind die 99%, die es zuallererst abzuwehren gilt. Wenn man das nicht mal macht oder schafft, geht es blitzschnell und die Seite ist kompromitiert. Noch bevor einer angegriffen hat, der es WIRKLICH konkret darauf anlegt. SFTP etc. sollte selbstverständlich sein. Leider kapieren das die meisten nicht.

  3. Dominik sagt:

    Hallo René, ich habe meine wp-config.php ebenfalls gemäss deiner Anleitung verschoben und stelle nun fest, dass die Automatisierung der kleinen WP-Upgrades nicht mehr geht. Nicht, dass mich dies stört, aber mir ist nicht klar, weshalb, da ich ja keinen entsprechenden „Verbots-Code“ in die config.php geschrieben habe. Muss also das Verschieben der Grund sein, nehme ich an. Was meinst Du?

  4. LinuxMan sagt:

    Hi! hab hier einen Denkfehler:
    wenn ich die Datei

    /var/www/meinblog/wp-config.php auf
    /var/www/wp-config.php verschiebe..

    ist die doch noch lesbar? besser wärs doch
    wenns noch ne Ebene höher wäre dann ist der Zugriff
    blockiert.

  5. Frank sagt:

    Hm, entweder verstehe ich was falsch oder bei mir klappt das nicht. Meine Seite meckert eine fehlende wp-config.php an.
    Verschoben habe ich sie ein mal in wp-admin und das zweite mal extra ein wordpress-Verzeichnis erstellt und die da rein. Klappt auch nicht.

    • Hallo Frank. Du hast das vermutlich falsch verstanden. Du musst eine Ebene zurückgehen und die Datei dahin verschieben. Würde deine wp-config.php zum Beispiel in htdocs/wordpress liegen, würdest du sie in htdocs/ verschieben. Also eine Ebene vor der eigentlichen Installation.

  6. Werner sagt:

    Vielen Dank, der Tip mit der wp.config.php habe ich ausprobiert und es funktioniert fabelhaft. Hatte mir immer schon Gedanken darüber gemacht wie man diese Datei einigermaßen schützen kann. Ich wusste allerdings nicht das WordPress in übergeordneten Ordnern auch sucht.
    Danke nochmals.

    Werner

  7. Jens sagt:

    Ich habe das jetzt wie beschrieben ausprobiert und es funzt. Es sollte echt mehr Spezialisten wie Dich geben die ihr Wissen der Öffentlichkeit zugänglich machen. Ich denke das wird Dir auch einiges an Zuspruch bringen. Auf jeden Fall bietet Dein Blog wirklichen Mehrwert. Ich werde jetzt öfter hierher kommen.

  8. Tom sagt:

    Supper, danke für die Hilfe… hat funktioniert 😉
    Vielen Dank und ich hoffe weitere Beiträge folgen bald 🙂

Kommentar schreiben

Mit Absenden deines Kommentars erklärst du dich mit der Verarbeitung deiner hier angegebenen Daten einverstanden (Datenschutzerklärung). Diese werden nur zur Verwaltung der Kommentare verwendet und keinem anderen Zweck zugefügt. Du kannst jederzeit per E-Mail an info@netz-gaenger.de der Speicherung deiner Daten widersprechen.

* Notwendige Angaben

Netzgänger Webdesign | Rohrersmühlstraße 22 in Schwabach | Bayern
Kontakt: info@netz-gaenger.de
↑ oben
Inhalt