WordPress: Uploadordner schützen

Hacker abwehren. Bild: onlineshop-diy.de

Hackerabwehr. Bild: onlineshop-diy

Der Erfolg von WordPress ist Segen und Fluch zugleich. Weil der Marktanteil ständig steigt, steht  WordPress heute auf der Angriffsliste der Hacker ganz oben. Die Fieslinge schleusen Schadcode ein, um Beiträge zu illegalen Seiten zu erstellen oder Kundendaten abzugreifen. Was hilft? Schwachstellen in WordPress kennen und so gut wie möglich abdichten. Eine beliebter Angriffspunkt ist der Ordner  /wp-content/uploads. Hier befindet sich nämlich deine Mediathek, also der Ort, an dem du Bilder und andere Mediendateien speicherst. Sichere deinen Uploadordner, damit das auch so bleibt:

  • Du kannst Dateien in die Mediathek hochladen
  • Die Hacker bleiben draußen

Vorsicht: HT-Access-Datei nicht überschreiben

Absichern kannst du den Uploadordner mit einer HT-Access-Datei. Sei aber vorsichtig, denn falsche oder überschriebene HT-Access-Dateien richten Schaden an! In deinem WordPress-Stammordner befindet sich (wahrscheinlich) bereits eine Datei mit dem Namen .htaccess. WordPress legt sie nach dem Umstellen der Permalinks an. Die siehst du allerdings nur, wenn du in deinem FTP-Programm den Haken bei Versteckte Dateien anzeigen aktiviert hast!

Nochmal: Die bestehende HT-Access-Datei soll unangetastet bleiben! Prüfe vor dem Punkt 3, in welchen Ordner du deine neue HT-Access hochlädst. Jetzt aber erstmal weiter mit dem Erstellen…

HT-Access-Datei erstellen

htaccess-erstellen

Die Datei .htaccess erstellen

Die zweite HT-Access erstellst du in einem einfachen Texteditor (Notepad unter Windows. Textedit beim Mac, dort als Plain Text abspeichern). Kopiere den Code und speichere die Datei unter genau diesem komischen Namen ab, mit Punkt am Anfang: .htaccess

<Files *.php>
deny from all
</Files>

HT-Access-Datei hochladen

Via FTP schiebst du jetzt die eben erstellte .htaccess-Datei in den WordPress-Ordner /wp-content/uploads.  Dort wird nun via HT-Access die Ausführung von PHP verhindert, aber nicht das Ablegen einer PHP-Datei! Schau also trotzdem ab und zu nach, ob sich etwas verdächtiges im Uploadverzeichnis eingenistet hat. Achtung, die Hacker verwenden gerne unauffällige Dateinamen wie system.php oder media.php!

Rechtevergabe im Uploadordner

Die Rechte im Uploadordner sind standardmäßig wie in jedem WordPress-Verzeichnis auf 755 gesetzt. Das heißt: Du als Besitzer kannst uploaden, sonst niemand. Wenn du nur selten neue Bilder hochlädst, kannst du auch niedrigere Rechte vergeben, beispielsweise 550, und dann temporär zum Upload die Standardrechte einstellen. Hier findet du eine Anleitung zur Änderung der Dateirechte.

2 Gedanken zu „WordPress: Uploadordner schützen

  1. Howdy, vielen dank für diese idiot*Innensichere HT-Access erklärung. Die beste im Netz, die ich bisher gefunden habe. Überhaupt hst du hier sehr schöne Bilder und sehr schöne Erklärungen auf deinem Blog. Man bekommt richtig Lust auf einen eigenen Shop… was ja dann auch zu einer beruflichen Neuorientierung gehört. Ich komme aus dem sozialen bereich und habe die Nase fertich.. jetzt sehe ich neue Horizonte dank WordPress und guten Ideen und viel Spirit. Ich träume von einer Work-Life-Balance aus Reisen und Arbeiten, und wenn sich das mit einem Shop verwirklichen lässt, der mal läuft.. vielleicht mit Aushilfen für den Versand, wenn ich wieder mal in fernen Gestaden weile.
    Diese Lebensperspektive motiviert mich, an allen Ecken weiterzumachen.
    Ganz Herzliche GRüße und ein WEITER SO!!!
    Marianne

    • Hallo Marianne,
      freut mich, dass dir onlineshop-diy gefällt.
      Und ja, der Traum vom unabhängigen Leben, ohne Chef und feste Arbeitszeiten lässt sich mit einem Onlineshop erfüllen.
      Rechne aber mit Rückschlägen und Neuanfängen… und dass es dann im 2. oder 3. Anlauf erst klappt.

      Grüße,
      Bernd

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.