Wie schützt man WordPress-Dateien und -Verzeichnisse mit .htaccess?
· Время на чтение: 10мин · von
·
Veröffentlicht
· Aktualisiert
Hören Sie sich diesen Artikel an
Die .htaccess-Datei ist eine Serverkonfigurationsdateiwird von vielen Webservern unterstützt, einschließlich der beliebtesten Apache-Webserversoftware. Diese scheinbar unscheinbare Datei ist mit allen möglichen Funktionen gefüllt, die bei korrekter Verwendung sehr effektiv bestimmen können, wie Ihr Webserver Anfragen verarbeitet. Erfahren Sie, wie Sie den Zugriff auf WordPress-Dateien und -Verzeichnisse mit einer .htaccess-Datei einschränken.
Neben der Bestimmung, wie der Webserver Anfragen verarbeitet, ist es auch sehr nützlich, Ihre WordPress-Dateien vor unbefugtem Zugriff durch Hacker zu schützen. In diesem Artikel werde ich mir viele Möglichkeiten ansehen, WordPress-Dateien und -Verzeichnisse mit .htaccess zu sichern.
Der Inhalt des Artikels:
- 1. Wie schützt man WordPress-Dateien und -Verzeichnisse mit .htaccess?
- 1.1 Schutz der .htaccess-Datei
- 1.2 Beschränken Sie den Zugriff auf den wp-admin-Ordner mit .htaccess
- 1.3 Blockieren Sie den unbefugten Zugriff auf wp-config.php
- 1.4 Wie blockiere ich den Zugriff auf WP-Inhalte/Downloads und deaktiviere die pHp-Ausführung?
- 1.5 Deaktivieren Sie das Durchsuchen von Verzeichnissen in WordPress
- 1.6 Blockieren des Zugriffs bestimmter IP-Adressen auf die Website
- 1.7 Blockieren des Zugriffs bestimmter Domains auf Ihre Website
- 2. Alternative Lösung
1. Wie schützt man WordPress-Dateien und -Verzeichnisse mit .htaccess?
Werfen wir einen Blick auf einige einfache Methoden, mit denen Sie Ihre WordPress-Dateien vor neugierigen Blicken schützen können.
Bevor ich zum Schutz anderer Dateien übergehe, beginnen wir mit dem Schutz von .htaccess. Wie ich jedoch immer sage: Bevor Sie Änderungen vornehmen (egal wie groß oder klein), erstellen Sie immer eine Sicherungskopie Ihrer Website und bewahren Sie in diesem Fall einige Kopien Ihrer .htaccess-Datei auf Ihrem lokalen System auf. Dies soll Schäden verhindern, die durch versehentliche Manipulationen an der Datei entstehen können.
1.1 Schutz der .htaccess-Datei
Die .htaccess-Datei ist leicht im Root-Webordner zu finden public_html. Es gibt zwei Möglichkeiten, auf diese Datei zuzugreifen – über FTP wie FileZilla oder über den Dateimanager Ihres WordPress-Hosting-Kontos. In diesem Artikel greife ich mit einem Dateimanager auf eine Datei zu und zeige Ihnen, wie Sie diese schützen können.
Schritt 1: Melden Sie sich mit Ihrem Benutzernamen und Passwort bei Ihrem Webhosting-Konto an. Wenn Sie sich über die Anmeldedaten Ihres Webhosting-Kontos nicht sicher sind, wenden Sie sich an Ihren Hosting-Anbieter.
Schritt 2: Klicken "Dateimanager".
Wählen Sie Dateimanager.
Schritt 3: Klicken Sie dann auf den Ordner public_html.
Wählen Sie „public_html“.
Schritt 4: Darin sehen Sie eine .htaccess-Datei. Klicken Sie mit der rechten Maustaste darauf. Und wählen Sie eine Option Bearbeitung.
Sobald Sie Zugriff auf die Datei haben, fügen Sie den folgenden Codeausschnitt ein.
# Zugriff auf .htaccess verweigern Befehl, Erlauben, Verweigern, Verweigern von allen
Dadurch wird der Benutzerzugriff auf Ihre .htaccess-Datei eingeschränkt. Ganz einfach, oder?
Nachdem wir nun die .htaccess-Datei gesichert haben, ist es an der Zeit, mit dem Rest fortzufahren. Beginnen wir also mit der Sicherung des wp-admin-Ordners.
1.2 Beschränken Sie den Zugriff auf den wp-admin-Ordner mit .htaccess
Der Ordner „wp-admin“ enthält die Dateien, die zusammen für die Funktion der Verwaltungstools sorgen. Die Datei admin.php in diesem Ordner führt die folgenden Funktionen aus:
- Ermöglicht Ihnen, eine Verbindung zur Datenbank herzustellen.
- Zeigt die WordPress-Symbolleiste an.
- Verwalten Sie die Anmeldeseite der Website.
Wie Sie sehen, ist das wp-admin-Verzeichnis sehr wichtig und es muss darauf geachtet werden, es vor unbefugtem Zugriff zu schützen. Dies liegt daran, dass ein Hacker durch den Zugriff auf das Admin-Panel verheerende Schäden auf Ihrer Website anrichten kann. Beschränken Sie dazu den Zugriff der Benutzer auf den WordPress-Administratorordner mithilfe der .htaccess-Datei. Erlauben Sie den Zugriff auf bestimmte IP-Adressen Ihrer Wahl. Dazu müssen Sie eine separate .htaccess-Datei mit etwas Code erstellen (die im blauen Feld unten) und laden Sie es in den wp-admin-Ordner hoch.
Um eine neue .htaccess-Datei zu erstellen, öffnen Sie einfach die neue Datei in Ihrem Standard-Texteditor und nennen Sie sie .htaccess. Nicht .htaccess.txt oder .htaccess.doc oder andere zusätzliche Dateierweiterungen. Nur .htaccess. Sobald Sie das getan haben, fügen Sie den folgenden Code ein.
# Beschränken Sie Anmeldungen und Administratoren nach IP Befehl verweigern, zulassen, verweigern von allen, zulassen ab 12.34.56.78
Um die neu erstellte .htaccess-Datei in den wp-admin-Ordner hochzuladen, melden Sie sich bei Ihrem Webhosting-Konto an und öffnen Sie den Dateimanager wie unten gezeigt.
Wählen Sie Dateimanager.
Sobald Sie auf „Dateimanager“ klicken, werden alle Dateien und Ordner auf Ihrer Website angezeigt, wie unten dargestellt. Klicken Sie dann auf den Ordner public_html.
Wählen Sie „public_html“.
Klicken Sie auf den Ordner wp-admin.
Wählen Sie „wp-admin“.
Klicken Sie dann wie oben gezeigt auf den Download-Button.
Wählen Sie Herunterladen.
Wählen Sie die soeben erstellte .htaccess-Datei auf Ihrem lokalen System aus und laden Sie sie im sich öffnenden Fenster hoch.
Laden Sie die Datei herunter.
Sobald Sie Ihre neue .htaccess-Datei hochgeladen haben, sind Sie fertig! Diese neuen Sicherheitsmaßnahmen verhindern, dass andere Benutzer auf Ihr Admin-Panel zugreifen als diejenigen, denen Sie ausdrücklich die Erlaubnis erteilt haben.
Bitte beachten Sie, dass dadurch nur der Zugriff auf wp-admin und nicht der Zugriff auf die WordPress-Site vollständig eingeschränkt wird. Registrierte Benutzer können weiterhin auf wp-admin zugreifen, dies kann jedoch auch durch Benutzerrollen eingeschränkt werden. Sie können die Berechtigungen für Benutzer einschränken, sodass nicht jeder registrierte Benutzer auf den Ordner zugreifen kann.
1.3 Blockieren Sie den unbefugten Zugriff auf wp-config.php
Die wp-config-Datei verwaltet grundlegende WordPress-Konfigurationen und schützt vertrauliche Informationen über Ihre WordPress-Installation wie MySQL-Einstellungen, geheime Schlüssel, Verbindungsdetails zur WordPress-Datenbank usw. vor neugierigen Blicken.
Die .htaccess-Datei kann nützlich sein, um diese sehr wichtige Datei zu schützen, auf die ein Webbenutzer zugreift. Dazu müssen Sie lediglich den folgenden Code in Ihre .htaccess-Datei kopieren.
Öffnen Sie die .htaccess-Datei im Dateimanager, wie im Abschnitt „Sichern der .htaccess-Datei“ beschrieben, und fügen Sie den folgenden Code hinzu.
Befehl erlauben, verweigern, verweigern von allen
Sobald Sie den obigen Code hinzufügen, blockieren Sie den unbefugten Zugriff auf wp-config.php.
1.4 Wie blockiere ich den Zugriff auf WP-Inhalte/Downloads und deaktiviere die pHp-Ausführung?
Hacker hinterlassen oft eine Hintertür, um auf Dateien auf Ihrer Website zuzugreifen, sodass sie, selbst wenn der Hack entdeckt und behoben wird, in Zukunft problemlos auf die Website zugreifen können. Diese Backdoor-Dateien werden oft als WordPress-Dateien in den Verzeichnissen wp-includes oder wp-content/uploads/ getarnt. Und das sind oft .php-Dateien. Um Ihre WordPress-Dateien und -Ordner besser zu schützen, müssen Sie die Ausführung solcher Dateien deaktivieren. Dies kann bei der Einschränkung des WordPress-Zugriffs hilfreich sein. Dies kann durch Deaktivieren der PHP-Ausführung in diesen Verzeichnissen erreicht werden.
Das Deaktivieren der PHP-Ausführung mit .htaccess ist ein sehr einfacher Vorgang, wenn Sie diese einfachen Anweisungen in der Datei befolgen.
Erstellen Sie zunächst eine neue .htaccess-Datei in einem Texteditor und fügen Sie den folgenden Code hinzu.
abgelehnt von allen
Melden Sie sich im nächsten Schritt bei Ihrem Webhosting-Konto an und öffnen Sie es Dateimanager. Hier gelangen Sie zum Inhalts- und Download-Ordner. Suchen Sie einen Ordner wp-content/upload/.
Wählen "Downloads" aus "wp-Inhalt".
Drück den KnopfHerunterladen' und laden Sie die soeben erstellte .htaccess-Datei hoch.
Wählen Sie Herunterladen.
Durch Drücken der Taste „Herunterladen» Es öffnet sich ein neues Fenster, in dem Sie eine .htaccess-Datei von Ihrem lokalen System auswählen können.
Datei hochladen.
Nachdem Sie die .htaccess-Datei in den Ordner hochgeladen haben wp-content/upload/, müssen Sie es dem Ordner hinzufügen wp-includes.
Identisch mit dem Hinzufügen zum Ordner wp-content/upload/, öffnen Sie den Dateimanager, um auf den Ordner zuzugreifen wp-includes aus dem Home-Verzeichnis Ihrer Website.
Wählen "wp-includes".
Klicken Sie auf einen Ordner wp-includes, und klicken Sie dann auf die Schaltfläche „Herunterladen“.
Wählen Sie Herunterladen.
Nachdem Sie auf die Download-Schaltfläche geklickt haben, können Sie eine Datei von Ihrem lokalen System auswählen. Wählen Sie die soeben erstellte .htaccess-Datei aus und laden Sie sie hoch.
Lade deine Datei herunter.
Nachdem Sie .htaccess zu diesen beiden sehr wichtigen Ordnern hinzugefügt haben, haben Sie jegliche PHP-Ausführung in diesen Ordnern erfolgreich deaktiviert.
1.5 Deaktivieren Sie das Durchsuchen von Verzeichnissen in WordPress mit htaccess
Beim Durchsuchen von Verzeichnissen handelt es sich um eine Funktion, bei der Sie beim Versuch, auf eine Website zuzugreifen, statt einer Webseite eine Liste mit Dateien und Ordnern sehen. Sie haben beispielsweise ein Verzeichnis mit dem Namen Privatgelände (als Beispiel) auf Ihrer Website, sagen wir mal www.example.com. Wenn das Durchsuchen von Verzeichnissen in diesem bestimmten Verzeichnis nicht deaktiviert wurde, dann, wenn jemand tippt www.example.com/private/, werden alle darin enthaltenen Dateien und Ordner angezeigt privates Verzeichnis.
Dies kann für Ihre Website katastrophal sein, da ein Hacker an eine große Menge an Informationen gelangen kann. Wer kann dann mit der Kenntnis der Dateihierarchie Ihrer Website einen Angriff auf Ihre Website planen? Indem Sie das Durchsuchen von Verzeichnissen in WordPress mit htaccess deaktivieren, schränken Sie die Zugriffsebene auf Ihre Website ein.
Um die Verzeichnissuche für ein bestimmtes Verzeichnis zu deaktivieren, erstellen Sie eine .htaccess-Datei in einem Texteditor und speichern Sie sie als .htaccess (ohne zusätzliche Dateierweiterungen). Fügen Sie dann den folgenden Code hinzu und beschränken Sie den Zugriff auf Ihre WordPress-Dateien.
# deaktiviert das Durchsuchen von Verzeichnissen, Optionen Alle – Indizes
Nachdem Sie den Code hinzugefügt haben, laden Sie diese neu erstellte .htaccess-Datei in das Verzeichnis hoch, für das Sie diese Funktion deaktivieren möchten. Wenn Sie beispielsweise die Verzeichnissuche für den Ordner „wp-includes“ deaktivieren möchten, laden Sie diese .htaccess-Datei wie zuvor über den Dateimanager in den Ordner „wp-includes“ hoch.
1.6 Blockieren des Zugriffs bestimmter IP-Adressen auf die Website
Möglicherweise ist Ihnen aufgefallen, dass einige Benutzer von bestimmten IP-Adressen wiederholt Spam verschickt haben, versucht haben, zu hacken oder einfach versucht haben, sich unbefugten Zugriff auf Ihre WordPress-Site zu verschaffen. Sie können den unbefugten Zugriff eines WordPress-Benutzers vollständig verhindern, indem Sie mithilfe der .htaccess-Datei den Zugriff seiner IP-Adresse auf Ihre Website blockieren. Kopieren Sie dazu den folgenden Code in Ihre .htaccess-Datei.
Befehl erlauben, verweigern, verweigern von 128.476.75.1, von allen zulassen
Die im obigen Code angegebene IP-Adresse ist nur ein Dummy. Sie können diese Werte durch die IP-Adresse ersetzen, die Sie blockieren möchten. Wenn Sie mehrere statt einer haben, fügen Sie einfach jede einzeln zu einer Zeile hinzu, die wie folgt aussieht:
ablehnen von 213.546.87.9
Wenn Sie anstelle der vollständigen IP-Adresse den Zugriff auf einen Block von IP-Adressen verweigern möchten, lassen Sie einfach das letzte Oktett weg, wie unten gezeigt.
ablehnen von 213.546.87.9
Dadurch werden alle IP-Adressen von 213.546.87.0 bis 213.546.87.255 blockiert.
1.7 Blockieren des Zugriffs bestimmter Domains auf Ihre Website
Möglicherweise kennen Sie nicht immer die spezifischen IP-Adressen, von denen Sie Spam erhalten. Möglicherweise wissen Sie jedoch, dass diese Angriffe von Links ausgehen, die auf bestimmten bösartigen Domänen gehostet werden. Mit .htaccess können Sie jeden Besucher blockieren, der über einen Link von solchen bösartigen Websites auf Ihre Website gelangt ist.
Um einen Domainnamen zu blockieren, fügen Sie den folgenden Code zu Ihrer .htaccess-Datei hinzu.
SetEnvIfNoCase Referer „badsite.com“ bad_referer Order Allow,Deny Allow from ALL Deny from env=bad_referer
Ersetzen Sie im obigen Code „schlechte Website“ durch die Domain, die Sie blockieren möchten. Wenn ein Benutzer jedoch versucht, über eine von Ihnen blockierte Domain auf Ihre Website zuzugreifen, erhält er eine Fehlermeldung und kann nicht auf Ihre Website zugreifen.
2. Alternative Lösung
Obwohl alle oben genannten Lösungen den Zugriff auf Dateien und Verzeichnisse in WordPress wirksam einschränken, lässt sich nicht leugnen, dass sie ein großes Risiko für Ihre Website darstellen. Warum? Nun, weil Sie mit einer sehr wichtigen Konfigurationsdatei herumspielen. Selbst ein unpassender Punkt kann die Funktionalität Ihrer Website beeinträchtigen! Beängstigend, oder?
Wenn Sie kein Experte sind, verwenden Sie daher am besten ein WordPress-Website-Sicherheits-Plugin, da es zur Sicherheit Ihrer Website beiträgt. WordPress-Plugins namens Wordfence, All In One WP Security und MalCare können sich um die Sicherheitsaspekte Ihrer Website kümmern. Ob es darum geht, bestimmte IP-Adressen auf die schwarze Liste zu setzen, Website-Härtungsmaßnahmen zu implementieren, Ihre Anmeldeseite zu schützen, nach Malware zu suchen oder viele andere wichtige Sicherheitsmaßnahmen – diese Sicherheits-Plugins erledigen alles!
Lesen dieses Artikels:
- So reduzieren Sie Kontaktformular-Spam in WordPress
- XSS-Angriffe auf WordPress: So verhindern Sie sie
Danke fürs Lesen: SEO HELPER | NICOLA.TOP
