Zugriff auf sensible Dateien in WordPress entfernen

Nach der Installation von WordPress sind Dateien übrig, die keinen weiteren Nutzen für den User oder Webseitenbetreiber haben. Theoretisch bergen sie sogar die Gefahr zu viele Informationen preis zu geben und es Hackern leichter zu machen, als nötig. Wie man damit umgehen sollte…

Inhaltsverzeichnis:

Welche Dateien sollten in WordPress gelöscht werden

Im Wurzelverzeichnis der WordPress-Installation befinden sich zum Beispiel Readme-Dateien, die Versionsnummern verraten. Ebenso in den Verzeichnissen von Plugins. Diese sollten entfernt werden.

Oder aber auch die wp-config-sample.php, in der leider der ein oder andere richtige Verbindungsdaten einträgt und dann liegen lässt. Im Ordner wp-admin liegt die install.php, diese sollte auf jeden Fall entfernt werden.

Alternative: Zugriff auf bestimmte Dateien per .htaccess verbieten

Da es recht anstrengend ist, nach jedem Update irgendwelche Liesmich-Dateien oder Installationsdateien zu entfernen, lässt sich das Problem auch eleganter lösen. Man trägt folgende Befehle in der .htaccess-Datei im Wurzelverzeichnis der WordPress-Installation ein:

Options All -Indexes
<files readme.html>
Order allow,deny
Deny from all
</files>
<files .htaccess>
order allow,deny
deny from all
</files>
<files *.sql>
order allow,deny
deny from all
</files>
<files liesmich.html>
Order allow,deny
Deny from all
</files>
<files *.txt>
Order allow,deny
Deny from all
</files>
<files license.txt>
Order allow,deny
Deny from all
</files>
<files install.php>
Order allow,deny
Deny from all
</files>
<files wp-config.php>
Order allow,deny
Deny from all
</files>
<files wp-config-sample.php>
Order allow,deny
Deny from all
</files>
<files robots.txt>
Order allow,deny
Allow from all
</files>

Damit wird der Zugriff auf diese Dateien verhindert. Einfacher geht es nicht. Achtung: Der letzte Befehl erlaubt wiederrum den Zugriff auf die wichtige robots.txt.

Letzte Version vom 24. März 2016 von Netzgänger René Dasbeck

Jetzt WordPress Newsletter in dein Postfach

Melde dich jetzt für meinen Newsletter an und du erhältst regelmäßig Tipps und Tricks zu WordPress in dein Postfach. Natürlich kannst du ihn jederzeit abbestellen.

E-Mail:

Ja, ich habe die Datenschutzerklärung zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden dabei nur streng zweckgebunden zur Verwaltung und Versendung des Newsletters verwendet. Mit dem Absenden des Kontaktformulars erkläre ich mich mit der Verarbeitung einverstanden. Die Einverständniserklärung kann jederzeit per E-Mail an info@netz-gaenger.de und am Ende jedes Newsletters durch Betätigen des Abbestellen-Links widerrufen werden.

Zoroaster

Herbert: Am besten ist es, wenn User(namen) mit Adminrechten KEINE Beiträge schreiben/veröffentlichen. Der Admin sollte wirklich nur administrieren.

1. April 2018 at 21:36

Reply ↓
Lothar vom Blogger Forum

Hallo Rene,
ich hatte die Tage über die Möglichkeit der Schadcode Einschleusung über die liesmich.html / readme.html und Lizenz.txt gelesen und dann mal für einen Beitrag in meinem Blogger Forum weiter recherchiert.

Ich habe Deinen Beitrag als weiterführende Quelle verlinkt.
Ich hoffe das war so ok. Wenn nicht dann sage bitte kurz bescheid.

Hält man denn mit einem Eintrag in die .htaccess und die robots.txt die hackerbots fern von den Dateien?

Ich freue mich auf Deine Antwort.

Grüße Lothar

23. September 2017 at 12:45

Reply ↓
Scharlotte

Hallo,
was ist bitte damit gemeint: „Der letzte Befehl erlaubt wiederrum den Zugriff auf die wichtige robots.txt.“
Soll der Befehl nun in das Wurzelverzeichnis eingetragen werden oder nicht?

Danke

10. Februar 2017 at 20:22

Reply ↓
- René Dasbeck Post author
  
  Das bedeutet, dass txt Dateien verboten sind, der Zugriff auf die robots.txt aber wiederrum erlaubt wird.
  
  13. Februar 2017 at 17:24
  
  Reply ↓
Ronny

Durch einen Zufall bin ich auf diesen Artikel gelandet und habe ihn natürlich gleich umgesetzt. Besten Dank für den Tipp und die Sicherheit!!!

19. Oktober 2016 at 11:59

Reply ↓
Steven

Dank fuer den Artikel. Vielen Dank.

20. April 2016 at 10:14

Reply ↓
monogo

Hallo,

zunächst einmal möchte ich Dir ein großes Kompliment machen. Hier erfahre ich wichtige Informationen hinsichtlich Sicherheit meiner Blogs. Ich habe bisher die Augen und Ohren verschlossen und habe gerne weg gesehen. Jetzt mußte iuch aber feststellen, dass mein Benutzername (ich habe NICHT admin) auch schon bei den Versuchen sich unter selbigen, von Fremden benutz wird. Also, sicherlich nur eine Frage der Zeit bis Sie auch mein Passwort kennen.

Meine Fragen:
woher wissen die HAcker mein Benutzernamen?
Was kann ich vorallem dagegen tun?

Gruß und vielen Dank
Joachim

23. Oktober 2013 at 18:59

Reply ↓
- René Dasbeck Post author
  
  Hallo Joachim,
  
  deinen Benutzernamen bekommen Hacker durch sogenannte Brute Force Methoden heraus. Es werden in kürzester Zeit sehr sehr viele Varianten versucht. Man mag nicht glauben, wie gut diese Attacken mittlerweile sein können. Am besten man sichert sein wp-admin durch einen zusätzliche Passwortabfrage mit der .htaccess Datei ab. Das macht es deutlich schwerer reinzukommen. Ein anderer Benutzername ist als Admin ist aber sicher schonmal eine gute Hürde gegen automatisiert erfolgende Angriffe.
  
  Gruß
  René
  
  25. Oktober 2013 at 20:02
  
  Reply ↓
- Herbert
  
  Der Benutzername taucht im Quelltext der Beiträge auf und kann dort leicht ermittelt werden.
  Suche z.Zt. nach einer Möglichkeit, das zu unterbinden, habe aber bisher noch nichts hlfreiches gefunden.
  
  Irgenwelche Ideen?
  
  Gruß Herbert
  
  18. Dezember 2014 at 19:15
  
  Reply ↓

Zugriff auf sensible Dateien in WordPress entfernen

Welche Dateien sollten in WordPress gelöscht werden

Alternative: Zugriff auf bestimmte Dateien per .htaccess verbieten

Zoroaster

Lothar vom Blogger Forum

Scharlotte

René Dasbeck Post author

Ronny

Steven

monogo

René Dasbeck Post author

Herbert

Schreibe einen Kommentar Antworten abbrechen

Über René Dasbeck