Internet Tutorials

So sicherst du die wp-config.php deiner WordPress-Installation!

Die wp-config.php ist die wichtigste Datei für Hacker um Zugriff auf deinen Blog zu bekommen, da dort die Logindaten für die MySQL-Datenbank hinterlegt sind und man mit diesen den gesamten Blog modifizieren kann. Deshalb ist es extrem wichtig grade diese Datei zu schützen – alles andere sollte man natürlich auch nicht aus den Augen verlieren. In diesem Tutorial gehe ich auf die Absicherung der wp-config.php ein.

Die wp-config.php kann zwar nicht direkt ausgelesen werden, doch Hacker haben ja bekanntlicherweise für fast alles eine Lösung parat. Da die Datei im Rootverzeichnis der WordPress-Installation liegt, kann man grundsätzlich auf die Datei zugreifen, da sie öffentlich zugänglich ist. Doch man kann die wp-config.php auch ein Verzeichnis höher schieben, also ein Verzeichnis höher als die WordPress-Installation eigentlich ist. Somit ist sie von außen nicht zugänglich, außer ihr habt WordPress in einem Unterverzeichnis einer Domain also z. B. basic-tutorials.de/blog. Eure WordPress-Installation wird trotz der Verschiebung der wichtigen wp-config.php weiterhin funktionieren, denn es wird automatisch auch im übergeordneten Verzeichnis nach der Datei gesucht.

Verschiebe deine wp-config.php in das übergeordnete Verzeichnis

Um die wp-config.php zu verschieben musst du beispielsweise per FTP mithilfe von Filezilla auf deinen Webspace zugreifen und die Datei ein Verzeichnis höher ziehen. Bei Filezilla geschieht das, indem man die Datei auf den Ordner „..“ zieht. Sollte das bei dir nicht möglich sein, musst du zuerst einen Ordner anlegen und dort deine eigentliche WordPress-Installation reinpacken. Vergiss dann aber nicht das Zielverzeichnis deiner Domain anzupassen, die WordPress-Installation sollte sich nämlich nicht in einem Unterordner der Domain befinden, denn sonst ist die wp-config.php immer noch öffentlich zugänglich.

Bei mehreren WordPress-Installationen kann das ganze ein wenig komplexer werden, da jede eine andere wp-config.php benötigt. Da muss also eine gute Ordnerstruktur aufgebaut werden, damit sich nichts überschneidet.

Was man nie vergessen sollte

Ganz wichtig sind auch bei der wp-config.php natürlich die CHMOD-Rechte. Diese sollte man für alle WordPress-Dateien ordentlich eingestellt haben. Bei der wp-config.php reichen 0444-Rechte, also lediglich Leserechte.

Ein wichtiger Schritt in Richtung Sicherheit ist außerdem eine .htaccess-Datei. Dort sollte man folgendes reinpacken:

# wpconfig.php Schutz
<files wp-config.php>
Order deny,allow
deny from all
</files>

Die .htaccess-Datei muss sich jedoch im gleichen Ordner wie die wp-config.php befinden, um diese auch zu schützen.

 

Wenn dir der Artikel gefallen hat, würde ich mich über Kommentare und Shares freuen. Bei Fragen oder Problemen stehe ich euch selbstverständlich zur Verfügung.

Tags

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Berlin.

Related Articles

9 Comments

  1. Wenn man nicht immer wieder im Web unterwegs ist und sich Inspirationen holt dann kann man manchmal ganz schön blöd da stehen. 🙂

    So wie in diesem Fall.

    Ich habe mir bis jetzt nie Gedanken darüber gemacht das die wp-config.php auslesbar sein könnte und Hacker so die Möglichkeit hätten Schaden anzurichten.
    Aber irgendwie verschließt man auch die Augen davor weil es ja immer gut läuft.

    Ich bin allerdings bis jetzt auch noch nirgendwo auf Aussagen gestoßen, die sagen das Hacker sich den Weg über die wp-config.php in die Datenbank verschaffen.

    wp-config.php auch ein Verzeichnis höher schieben ist also die Lösung?
    Aber da hätten die Hacker doch auch Zugriff drauf? Die brauchen doch nur nach wp-config.php zu suchen? Oder verstehe ich das irgendwie falsch?

    Ich müsste jetzt auf jeden Fall die Ordner Struktur ändern um die wp-config.php eine ebene höher auslagern zu können.

    Ich probiere das mal bei Gelegenheit.
    Danke für den Hinweis.

    Social Klick sind Dir von mir gewiss 🙂

    Grüße
    Lothar

    1. Hallo Lothar,
      klar ist es nicht ganz einfach an die wp-config.php zu kommen, wenn man die normalen Absicherungen wie die richtigen CHMOD-Rechte vornimmt. Dennoch sind Hacker ja immer sehr kreativ und lassen sich alles mögliche einfallen. Wenn du einen eigenen FTP-Account für die WordPress-Installation hast, kann man dann ja noch nichtmal mehr mit dem auf die Datei zugreifen. Und da WordPress ja intelligent genug ist, wieso soll man nicht so viele Sicherheitsmaßnahmen wie möglich ausnutzen?

      Beste Grüße,
      Simon

  2. Hallo Simon,

    dieser Methode habe ich noch nicht ausprobiert, gehört davon habe schon, aber
    mir schient das etwas zu Kompleziert.
    Deswegen sichere ich wp-config.php mit einem einfacheren eintrag ins .htaccess und zwar so.

    # Datei wp-config Schutz

    Order deny,allow
    deny from all


    das sollte reichen.

    Grüß
    Viktor

  3. Hallo Viktor,
    klar das sollte man natürlich auch machen! Nur ich bin der Meinung man kann nie genug Sicherheitsmaßnahmen treffen und diese finde ich doch sehr gut, da man damit schon von der Standardinstallation von WordPress abweicht, was dann vor allem für Scriptkiddys ein großes Hindernis ist.

    Beste Grüße,
    Simon

Schreibe einen Kommentar

Back to top button