+49 (0)6407 905691

WordPress .htaccess – Das Sicherheits-Schloss für Ihre Website

Stand 23. Februar 2021 führt WordPress das Ranking der Top 10 Content-Management-Systeme (CMS) weltweit nach Marktanteil von rund 64 Prozent mit deutlichem Abstand an. Quelle: statista » Ranking der 10 Content-Management-Systeme (CMS) weltweit nach Marktanteil im Februar 2021.

Allgemein sind WordPress-Sites die am meisten genutzten im Internet. Hacker lieben daher WordPress. Besonders da in diesem Segment viele “Amateur” Webdesigner unterwegs sind. Aufgrund der Einfachheit mit der eine WordPress Website aufzusetzen ist, entstehen, auch im Unternehmensumfeld, viele Seiten nach dem Motto: “Ich kenne Einen, der hat einen Sohn der kann das”. So eine Website geht dann relativ schnell, vielleicht auch ganz hübsch, online. Der Sicherheitsaspekt wird dabei oft, meist aus Unwissenheit, außer Acht gelassen. Der Hacker freut sich …

.htaccess – Das Schloss für Ihre WordPress Webseite

.htaccess steht für hypertext access, also „Hypertext-Zugriff“. Dies ist die Konfigurationsdatei für die Webseite, richtigerweise für den Ordner, indem sich diese auf Ihrem Apache Server befindet. Diese Datei ist eine reine Textdatei mit Regeln (Anweisungen) wie der Server mit Requests umgehen soll. Von Hause aus bringt WordPress eine standardisierte .htaccess mit, die Grundfunktionalitäten von WordPress sicherstellt. Der Sicherheitsaspekt steht hier allerdings nicht im Vordergrund. Das wollen wir hier ändern und damit Hackern das Leben richtig schwer machen. Mit folgenden Regeln werden Sie ruhiger schlafen und Hacker werden sich die Zähne ausbeißen.

Standardinhalt der WordPress .htaccess

# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress

Hacker aussperren ist die halbe Miete

Mit folgenden Regeln, die sie hinter dem Standardinhalt einfügen, sperren Sie wichtige Verzeichnisse und Dateien vor unberechtigtem Zugriff.

#############################
# BEGIN Local Folder Security
#############################
# Disable Directory Browsing
    Options -Indexes
# Deny wp-config.php
<Files wp-config.php>
    order allow,deny
    deny from all
</Files>

# Disable Access to wp-includes
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^wp-admin/includes/ - [F,L]
    RewriteRule !^wp-includes/ - [S=3]
    RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
    RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
    RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
#############################
# END Local Folder Security
#############################

Ein Haupteinfallstor ist der Upload Ordner von WordPress. Da dieser öffentlich zugänglich sein muss, kann er nicht vollständig gesperrt werden. Es muss aber verhindert werden, dass PHP-Scripte in diesem Ordner ausgeführt werden. Dazu ist eine weitere Regel notwendig um die WordPress Website abzusichern.

#############################
# BEGIN Uploads Deny PHP
#############################
<Files ~ "\.ph(?:p[345]?|t|tml)$">
    deny from all
</Files>
#############################
# END Uploads Deny PHP
#############################

Bei allen diesen Änderungen sollten Sie immer vorab eine Sicherung der aktuellen .htaccess anlegen.

Gerne unterstützen wie Sie bei der Absicherung Ihrer WordPress Website. Der schnelle Weg zu Ihrer Sicherheit führt über unser Kontaktformular