Die wp-config.php Datei für WordPress ist vergleichbar mit der PIN einer EC-Karte. Wer auf die wp-config.php Datei Zugriff erhält, kann die Kontrolle des Blogs übernehmen. Hierbei handelt es sich um die Konfigurationsdatei, in welcher die kompletten Datenbank Informationen hinterlegt sind. Anhand dieser Daten können potentielle Angreifer Zugriffsberechtigungen verändern, Posts hinzufügen, bestehende Posts editieren oder gar noch schlimmer, die komplette Datenbank löschen.Nachfolgender Screenshot zeigt eine Beispiel wp-config.php. Mit den Daten DB_NAME, DB_USER, DB_PASSWORD und DB_HOST kann bereits eine Datenbankverbindung aufgebaut werden.

wp-config - WordPress Konfigurationsdatei

Um das Auslesen, dieser Informationen zu verhindern empfehle ich folgende Anpassungen an der .htaccess Datei vorzunehmen.

Fügt folgende Zeilen hinzu:

<files wp-config.php>
Order deny,allow
deny from all
</files>

Mit dieser Regelung verhindert Ihr, dass ein direktes Auslesen der Datei ermöglicht wird. Diese Regelung tritt nur für die Datei wp-config.php in Kraft. Wie Ihr sehen könnt, wird im einleitendenen <file , die Information der Datei übergeben … wp-config.php>. Zwischen <file wp-config.php> und </file> wird bestimmt, was mit der Datei geschehen soll.

Hoffe Ihr habt neben der Sicherheit eures WordPress Blogs noch etwas über die .htaccess lernen können.

TEILEN
Vor 20 Jahren habe ich meine erste Internetseite erstellt. Seit über 10 Jahren blogge ich nun auf diversen Blogs mit WordPress. Auf WP-Magazine veröffentliche ich in unregelmäßigen Abständen Artikel mit Tipps, die sicherlich auch dein Interesse wecken.

10 KOMMENTARE

  1. Bei mir schon standardmässig Aktiviert. Als ich grade meine .htaccess bearbeiten wollte stand es jedenfalls schon drin 🙂

  2. das gleiche Problem hatte ich bei mir auch die configdatei ist wie oben beschrieben trotzdem hat es jemand geschafft meine pw’s auszulen.. Seitdem hatte ich keimen Zugriff auf meine eigene Page. Und meine ganze Datenbank wurde gelöscht. Jetzt darf ich wieder bei Null anfangen deshalb auch immer schön backups von seiner Page machen!!!

  3. Macht eine config.php Datei und stellt diese in ein seperates Verzeichniss mit einer noch zusätzlichen index.html welche wieder eine Weiterleitung auf die eigentliche Homepage macht. Das hilft denke ich auch.

    Ihr müsst auch nocht die Robots.txt einstellen, das hilft auch glaub ich.

    Hier ein Beispiel, ist was lang aber funzt.
    ++++++Dateianfang+++++
    User-agent: *
    Disallow: *.xml
    Disallow: wp-settings.php
    Disallow: wp-config.php
    Disallow: /wp-admin/
    Disallow: /wp-content/
    Disallow: /wp-includes/
    # hier ist die config.php drin
    Disallow: /config/

    #
    #Despictable and evil robots to keep out 🙂

    User-agent: grub-client
    Disallow: /

    User-agent: grub
    Disallow: /

    User-agent: looksmart
    Disallow: /

    User-agent: WebZip
    Disallow: /

    User-agent: larbin
    Disallow: /

    User-agent: b2w/0.1
    Disallow: /

    User-agent: psbot
    Disallow: /

    User-agent: Python-urllib
    Disallow: /

    User-agent: NetMechanic
    Disallow: /

    User-agent: URL_Spider_Pro
    Disallow: /

    User-agent: CherryPicker
    Disallow: /

    User-agent: EmailCollector
    Disallow: /

    User-agent: EmailSiphon
    Disallow: /

    User-agent: WebBandit
    Disallow: /

    User-agent: EmailWolf
    Disallow: /

    User-agent: ExtractorPro
    Disallow: /

    User-agent: CopyRightCheck
    Disallow: /

    User-agent: Crescent
    Disallow: /

    User-agent: SiteSnagger
    Disallow: /

    User-agent: ProWebWalker
    Disallow: /

    User-agent: CheeseBot
    Disallow: /

    User-agent: LNSpiderguy
    Disallow: /

    User-agent: ia_archiver
    Disallow: /

    User-agent: ia_archiver/1.6
    Disallow: /

    User-agent: Teleport
    Disallow: /

    User-agent: TeleportPro
    Disallow: /

    User-agent: MIIxpc
    Disallow: /

    User-agent: Telesoft
    Disallow: /

    User-agent: Website Quester
    Disallow: /

    User-agent: moget/2.1
    Disallow: /

    User-agent: WebZip/4.0
    Disallow: /

    User-agent: WebStripper
    Disallow: /

    User-agent: WebSauger
    Disallow: /

    User-agent: WebCopier
    Disallow: /

    User-agent: NetAnts
    Disallow: /

    User-agent: Mister PiX
    Disallow: /

    User-agent: WebAuto
    Disallow: /

    User-agent: TheNomad
    Disallow: /

    User-agent: WWW-Collector-E
    Disallow: /

    User-agent: RMA
    Disallow: /

    User-agent: libWeb/clsHTTP
    Disallow: /

    User-agent: asterias
    Disallow: /

    User-agent: httplib
    Disallow: /

    User-agent: turingos
    Disallow: /

    User-agent: spanner
    Disallow: /

    User-agent: InfoNaviRobot
    Disallow: /

    User-agent: Harvest/1.5
    Disallow: /

    User-agent: Bullseye/1.0
    Disallow: /

    User-agent: Mozilla/4.0 (compatible; BullsEye; Windows 95)
    Disallow: /

    User-agent: Crescent Internet ToolPak HTTP OLE Control v.1.0
    Disallow: /

    User-agent: CherryPickerSE/1.0
    Disallow: /

    User-agent: CherryPickerElite/1.0
    Disallow: /

    User-agent: WebBandit/3.50
    Disallow: /

    User-agent: NICErsPRO
    Disallow: /

    User-agent: Microsoft URL Control – 5.01.4511
    Disallow: /

    User-agent: DittoSpyder
    Disallow: /

    User-agent: Foobot
    Disallow: /

    User-agent: WebmasterWorldForumBot
    Disallow: /

    User-agent: SpankBot
    Disallow: /

    User-agent: BotALot
    Disallow: /

    User-agent: lwp-trivial/1.34
    Disallow: /

    User-agent: lwp-trivial
    Disallow: /

    User-agent: BunnySlippers
    Disallow: /

    User-agent: Microsoft URL Control – 6.00.8169
    Disallow: /

    User-agent: URLy Warning
    Disallow: /

    User-agent: Wget/1.6
    Disallow: /

    User-agent: Wget/1.5.3
    Disallow: /

    User-agent: Wget
    Disallow: /

    User-agent: LinkWalker
    Disallow: /

    User-agent: cosmos
    Disallow: /

    User-agent: moget
    Disallow: /

    User-agent: hloader
    Disallow: /

    User-agent: humanlinks
    Disallow: /

    User-agent: LinkextractorPro
    Disallow: /

    User-agent: Offline Explorer
    Disallow: /

    User-agent: Mata Hari
    Disallow: /

    User-agent: LexiBot
    Disallow: /

    User-agent: Web Image Collector
    Disallow: /

    User-agent: The Intraformant
    Disallow: /

    User-agent: True_Robot/1.0
    Disallow: /

    User-agent: True_Robot
    Disallow: /

    User-agent: BlowFish/1.0
    Disallow: /

    User-agent: JennyBot
    Disallow: /

    User-agent: MIIxpc/4.2
    Disallow: /

    User-agent: BuiltBotTough
    Disallow: /

    User-agent: ProPowerBot/2.14
    Disallow: /

    User-agent: BackDoorBot/1.0
    Disallow: /

    User-agent: toCrawl/UrlDispatcher
    Disallow: /

    User-agent: WebEnhancer
    Disallow: /

    User-agent: suzuran
    Disallow: /

    User-agent: VCI WebViewer VCI WebViewer Win32
    Disallow: /

    User-agent: VCI
    Disallow: /

    User-agent: Szukacz/1.4
    Disallow: /

    User-agent: QueryN Metasearch
    Disallow: /

    User-agent: Openfind data gathere
    Disallow: /

    User-agent: Openfind
    Disallow: /

    User-agent: Xenu’s Link Sleuth 1.1c
    Disallow: /

    User-agent: Xenu’s
    Disallow: /

    User-agent: Zeus
    Disallow: /

    User-agent: RepoMonkey Bait & Tackle/v1.01
    Disallow: /

    User-agent: RepoMonkey
    Disallow: /

    User-agent: Microsoft URL Control
    Disallow: /

    User-agent: Openbot
    Disallow: /

    User-agent: URL Control
    Disallow: /

    User-agent: Zeus Link Scout
    Disallow: /

    User-agent: Zeus 32297 Webster Pro V2.9 Win32
    Disallow: /

    User-agent: Webster Pro
    Disallow: /

    User-agent: EroCrawler
    Disallow: /

    User-agent: LinkScan/8.1a Unix
    Disallow: /

    User-agent: Keyword Density/0.9
    Disallow: /

    User-agent: Kenjin Spider
    Disallow: /

    User-agent: Iron33/1.0.2
    Disallow: /

    User-agent: Bookmark search tool
    Disallow: /

    User-agent: GetRight/4.2
    Disallow: /

    User-agent: FairAd Client
    Disallow: /

    User-agent: Gaisbot
    Disallow: /

    User-agent: Aqua_Products
    Disallow: /

    User-agent: Radiation Retriever 1.1
    Disallow: /

    User-agent: Flaming AttackBot
    Disallow: /

    User-agent: Oracle Ultra Search
    Disallow: /

    User-agent: MSIECrawler
    Disallow: /

    User-agent: PerMan
    Disallow: /

    User-agent: searchpreview
    Disallow: /
    ++++++++++Datei Ende +++++++

    Ich hoffe das hilft auch.

  4. Schorsch, wenn du die wp-config.php nur in ein anderes, trotzdem öffentlich erreichbares Verzeichnis verschiebst ist nicht viel gewonnen. Insbesondere dann nicht wenn du dieses Verzeichnis auch noch hübsch erklärt in deine robots.txt reinschreibst welche eh von jedem aufrufbar ist.

    Viele Grüße

  5. Danke für Informationen, suche schon seit längerem nach Möglichkeiten die wp-config.php zu schützen, da fast Tag täglich Spamer irgendwelche Links in meine php files laden. Werde es direkt ausprobieren.

  6. Danke für Informationen, suche schon seit längerem nach Möglichkeiten die wp-config.php zu schützen, da fast Tag täglich Spamer irgendwelche Links in meine php files laden. Werde es direkt ausprobieren.

  7. Hi,

    nach etwas Recherche bin ich auf diverse Postings gekommen, die empfehlen, die wp-config.php mit einer htaccess zu sichern.

    Wozu? So lange ein „hacker“ doch keinen ftp-user access zum Folder, in dem die WP Files liegen hat, wie soll er dann die wp-config auslesen?

  8. Hallo, kann man einfach ein .htaccess datei selbst mit diesem inhalt erstellen oder finde ich irgendwo eine vorhandene die ich ergänzen kann. und wo kommt die hin ?
    im gleichen ordner wo die wp-config schon ist ?

    danke für tips bin anfänger !

    • Die .htaccess Datei liegt normalerweise direkt im Stammverzeichnis, dort wo auch die wp-config.php liegt. M. E. gibt es sogar Plugins für WordPress, mit welchen du deine .htaccess editieren kannst. Einfach unter Plugins > Installieren nach .htaccess suchen.

      Gruß,

      Markus.

HINTERLASSEN SIE EINE ANTWORT