WordPress steht aufgrund seiner Polularität auch auf der Angriffsliste der Hacker ganz oben. Angreifer schleusen Schadcode ein, um Beiträge zu illegalen Seiten zu erstellen oder Kundendaten abzugreifen. Was hilft? Schwachstellen in WordPress kennen und abdichten. Eine beliebter Angriffspunkt ist der Ordner /wp-content/uploads. Hier befindet sich die WordPress-Mediathek, also der Ort zum Hochladen und Speichern für Bilder.
Inhalt
Vorsicht: HT-Access-Datei nicht überschreiben
Absichern kannst du den Uploadordner mit einer HT-Access-Datei. Sei aber vorsichtig, denn fehlerhafte oder überschriebene HT-Access-Dateien richten Schaden an! In deinem WordPress-Stammordner befindet sich (wahrscheinlich) bereits eine Datei mit dem Namen .htaccess – mit Punkt am Anfang und ohne Dateiendung, die Datei heißt genau so. WordPress legt eine HT-Access-Datei nach dem Umstellen der Permalinks an. Die siehst du allerdings nur, wenn du in deinem FTP-Programm den Haken bei Versteckte Dateien anzeigen aktiviert hast!
Nochmal: Die bestehende HT-Access-Datei soll unangetastet bleiben! Prüfe vor dem Punkt 3, in welchen Ordner du deine neue HT-Access hochlädst. Jetzt aber erstmal weiter mit dem Erstellen…
HT-Access-Datei erstellen
Die zweite HT-Access erstellst du in einem einfachen Texteditor (Notepad unter Windows. Textedit beim Mac, dort als Plain Text abspeichern). Kopiere den Code und speichere die Datei wieder genau unter diesem komischen Namen ab, mit Punkt am Anfang: .htaccess
<Files *.php> deny from all </Files>
HT-Access-Datei hochladen
Via FTP schiebst du jetzt die eben erstellte .htaccess in den WordPress-Ordner /wp-content/uploads. Dort wird nun die Ausführung von PHP verhindert, aber nicht das Ablegen einer PHP-Datei! Schau also trotzdem ab und zu nach, ob sich etwas verdächtiges im Uploadverzeichnis eingenistet hat. Achtung, die Hacker verwenden gerne unauffällige Dateinamen wie system.php oder media.php!
Rechtevergabe im Uploadordner
Die Rechte im Uploadordner sind standardmäßig wie in jedem WordPress-Verzeichnis auf 755 gesetzt. Das heißt: Du als Besitzer kannst uploaden, sonst niemand. Wenn du nur selten neue Bilder hochlädst, kannst du auch niedrigere Rechte vergeben, beispielsweise 550, und dann temporär zum Upload die Standardrechte einstellen. Hier findet du eine Anleitung zur Änderung der Dateirechte.
2 Antworten auf „WordPress: Uploadordner schützen“
Howdy, vielen dank für diese idiot*Innensichere HT-Access erklärung. Die beste im Netz, die ich bisher gefunden habe. Überhaupt hst du hier sehr schöne Bilder und sehr schöne Erklärungen auf deinem Blog. Man bekommt richtig Lust auf einen eigenen Shop… was ja dann auch zu einer beruflichen Neuorientierung gehört. Ich komme aus dem sozialen bereich und habe die Nase fertich.. jetzt sehe ich neue Horizonte dank WordPress und guten Ideen und viel Spirit. Ich träume von einer Work-Life-Balance aus Reisen und Arbeiten, und wenn sich das mit einem Shop verwirklichen lässt, der mal läuft.. vielleicht mit Aushilfen für den Versand, wenn ich wieder mal in fernen Gestaden weile.
Diese Lebensperspektive motiviert mich, an allen Ecken weiterzumachen.
Ganz Herzliche GRüße und ein WEITER SO!!!
Marianne
Hallo Marianne,
freut mich, dass dir onlineshop-diy gefällt.
Und ja, der Traum vom unabhängigen Leben, ohne Chef und feste Arbeitszeiten lässt sich mit einem Onlineshop erfüllen.
Rechne aber mit Rückschlägen und Neuanfängen… und dass es dann im 2. oder 3. Anlauf erst klappt.
Grüße,
Bernd