Die wp-config.php ist die wichtigste Datei für Hacker um Zugriff auf deinen Blog zu bekommen, da dort die Logindaten für die MySQL-Datenbank hinterlegt sind und man mit diesen den gesamten Blog modifizieren kann. Deshalb ist es extrem wichtig grade diese Datei zu schützen – alles andere sollte man natürlich auch nicht aus den Augen verlieren. In diesem Tutorial gehe ich auf die Absicherung der wp-config.php ein.
Die wp-config.php kann zwar nicht direkt ausgelesen werden, doch Hacker haben ja bekanntlicherweise für fast alles eine Lösung parat. Da die Datei im Rootverzeichnis der WordPress-Installation liegt, kann man grundsätzlich auf die Datei zugreifen, da sie öffentlich zugänglich ist. Doch man kann die wp-config.php auch ein Verzeichnis höher schieben, also ein Verzeichnis höher als die WordPress-Installation eigentlich ist. Somit ist sie von außen nicht zugänglich, außer ihr habt WordPress in einem Unterverzeichnis einer Domain also z. B. basic-tutorials.de/blog. Eure WordPress-Installation wird trotz der Verschiebung der wichtigen wp-config.php weiterhin funktionieren, denn es wird automatisch auch im übergeordneten Verzeichnis nach der Datei gesucht.
Verschiebe deine wp-config.php in das übergeordnete Verzeichnis
Um die wp-config.php zu verschieben musst du beispielsweise per FTP mithilfe von Filezilla auf deinen Webspace zugreifen und die Datei ein Verzeichnis höher ziehen. Bei Filezilla geschieht das, indem man die Datei auf den Ordner „..“ zieht. Sollte das bei dir nicht möglich sein, musst du zuerst einen Ordner anlegen und dort deine eigentliche WordPress-Installation reinpacken. Vergiss dann aber nicht das Zielverzeichnis deiner Domain anzupassen, die WordPress-Installation sollte sich nämlich nicht in einem Unterordner der Domain befinden, denn sonst ist die wp-config.php immer noch öffentlich zugänglich.
Bei mehreren WordPress-Installationen kann das ganze ein wenig komplexer werden, da jede eine andere wp-config.php benötigt. Da muss also eine gute Ordnerstruktur aufgebaut werden, damit sich nichts überschneidet.
Was man nie vergessen sollte
Ganz wichtig sind auch bei der wp-config.php natürlich die CHMOD-Rechte. Diese sollte man für alle WordPress-Dateien ordentlich eingestellt haben. Bei der wp-config.php reichen 0444-Rechte, also lediglich Leserechte.
Ein wichtiger Schritt in Richtung Sicherheit ist außerdem eine .htaccess-Datei. Dort sollte man folgendes reinpacken:
# wpconfig.php Schutz <files wp-config.php> Order deny,allow deny from all </files>
Die .htaccess-Datei muss sich jedoch im gleichen Ordner wie die wp-config.php befinden, um diese auch zu schützen.
Wenn dir der Artikel gefallen hat, würde ich mich über Kommentare und Shares freuen. Bei Fragen oder Problemen stehe ich euch selbstverständlich zur Verfügung.
