Eine erste Einleitung in Sachen .htaccess
Die .htaccess-Datei ist ein mächtiges Werkzeug, um die WordPress-Sicherheit auf Server-Ebene zu verbessern.
Wichtig vorab! Bevor du die .htaccess bearbeitest, mach immer ein Backup der Datei, da Fehler die gesamte Website lahmlegen können!
Hier sind die nützlichsten und relativ einfachen Befehle, die du zur ersten Absicherung deines Blogs verwenden kannst:
1. Schutz der wichtigsten Konfigurationsdateien
Die Datei wp-config.php enthält die Datenbank-Zugangsdaten und ist daher extrem schützenswert. Auch die .htaccess selbst sollte geschützt werden.
| Zweck | Code-Snippet |
wp-config.php sperren (Zugriff von außen komplett verbieten) | <files wp-config.php> Order allow,deny Deny from all </files> |
.htaccess und .htpasswd sperren | <FilesMatch "^.*\.([Hh][Tt][AaPp])"> Order allow,deny Deny from all Satisfy all </FilesMatch> |
2. Verhindern des Auslesens von Benutzer-IDs (Autor-Scans)
Hacker versuchen oft, Benutzer-IDs (z.B. ?author=1) auszulesen, um mögliche Admin-Namen für Brute-Force-Attacken zu erhalten.
| Zweck | Code-Snippet |
| Abfrage von Autor-IDs blockieren/umleiten | # Blockiere das Auslesen von Benutzernamen (Author-Scan) <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{QUERY_STRING} author=([0-9]*) [NC] RewriteRule .* - [F,L] </IfModule> |
| Alternative (Umleitung) | <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{QUERY_STRING} ^author=([0-9]*) RewriteRule .* https://deinewebsite.de/? [L,R=302] </IfModule> |
3. Deaktivieren des Verzeichnis-Browsings
Wenn jemand einen Ordner aufruft, der keine Index-Datei (wie index.php) enthält, wird normalerweise eine Liste aller Dateien im Verzeichnis angezeigt. Das gibt Angreifern unnötige Informationen.
| Zweck | Code-Snippet |
| Verzeichnis-Browsing verbieten | Options -Indexes |
4. Beschränkung des Admin-Bereichs (für statische IPs)
Wenn du immer von derselben IP-Adresse auf das Backend (/wp-admin und wp-login.php) zugreifst, ist dies eine sehr effektive Schutzmaßnahme gegen Brute-Force-Angriffe.
| Zweck | Code-Snippet |
| Zugriff auf die Login-Datei auf bestimmte IP beschränken | <Files wp-login.php> Order Deny,Allow Deny from all Allow from DEINE.ERSTE.IP.ADRESSE Allow from DEINE.ZWEITE.IP.ADRESSE </Files> |
Zugriff auf den wp-admin-Ordner beschränken | AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Admin Access Control" AuthType Basic <LIMIT GET POST> order deny,allow deny from all allow from DEINE.IP.ADRESSE </LIMIT> |
Hinweis: Ersetze DEINE.IP.ADRESSE durch deine tatsächliche IP. Wenn du eine dynamische IP hast, ist dieser Schutz weniger praktikabel. |
5. XML-RPC abschalten (falls nicht benötigt)
Die XML-RPC-Schnittstelle (xmlrpc.php) wird oft für Brute-Force-Attacken missbraucht. Wenn du sie nicht für mobile Apps oder bestimmte Plugins benötigst, schalte sie ab.
| Zweck | Code-Snippet |
xmlrpc.php sperren | <files xmlrpc.php> Order Deny,Allow Deny from all </files> |
6. HTTP Security Headers hinzufügen (Moderner Schutz)
Diese Header schützen deine Website vor gängigen Angriffen wie Cross-Site Scripting (XSS) oder Click-Jacking.
| Zweck | Code-Snippet |
| Security Headers setzen | <IfModule mod_headers.c> Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options "nosniff" Header always append X-Frame-Options SAMEORIGIN </IfModule> |
Denke daran, die Snippets am besten ans Ende deiner bestehenden .htaccess-Datei zu setzen, um Konflikte zu vermeiden.
Und wie gesagt: Denke zuerst an ein Backup!
Dies sind nur die ersten Schritte in Sachen WordPress und .htaccess. Es geht also bald weiter hier im Blog.
Schreibe einen Kommentar