Die wp-config.php Datei für WordPress ist vergleichbar mit der PIN einer EC-Karte. Wer auf die wp-config.php Datei Zugriff erhält, kann die Kontrolle des Blogs übernehmen. Hierbei handelt es sich um die Konfigurationsdatei, in welcher die kompletten Datenbank Informationen hinterlegt sind. Anhand dieser Daten können potentielle Angreifer Zugriffsberechtigungen verändern, Posts hinzufügen, bestehende Posts editieren oder gar noch schlimmer, die komplette Datenbank löschen.Nachfolgender Screenshot zeigt eine Beispiel wp-config.php. Mit den Daten DB_NAME, DB_USER, DB_PASSWORD und DB_HOST kann bereits eine Datenbankverbindung aufgebaut werden.
Um das Auslesen, dieser Informationen zu verhindern empfehle ich folgende Anpassungen an der .htaccess Datei vorzunehmen.
Fügt folgende Zeilen hinzu:
<files wp-config.php>
Order deny,allow
deny from all
</files>
Mit dieser Regelung verhindert Ihr, dass ein direktes Auslesen der Datei ermöglicht wird. Diese Regelung tritt nur für die Datei wp-config.php in Kraft. Wie Ihr sehen könnt, wird im einleitendenen <file , die Information der Datei übergeben … wp-config.php>. Zwischen <file wp-config.php> und </file> wird bestimmt, was mit der Datei geschehen soll.
Hoffe Ihr habt neben der Sicherheit eures WordPress Blogs noch etwas über die .htaccess lernen können.
Geile Sache! man lernt nie aus..
Bei mir schon standardmässig Aktiviert. Als ich grade meine .htaccess bearbeiten wollte stand es jedenfalls schon drin 🙂
das gleiche Problem hatte ich bei mir auch die configdatei ist wie oben beschrieben trotzdem hat es jemand geschafft meine pw’s auszulen.. Seitdem hatte ich keimen Zugriff auf meine eigene Page. Und meine ganze Datenbank wurde gelöscht. Jetzt darf ich wieder bei Null anfangen deshalb auch immer schön backups von seiner Page machen!!!
Macht eine config.php Datei und stellt diese in ein seperates Verzeichniss mit einer noch zusätzlichen index.html welche wieder eine Weiterleitung auf die eigentliche Homepage macht. Das hilft denke ich auch.
Ihr müsst auch nocht die Robots.txt einstellen, das hilft auch glaub ich.
Hier ein Beispiel, ist was lang aber funzt.
++++++Dateianfang+++++
User-agent: *
Disallow: *.xml
Disallow: wp-settings.php
Disallow: wp-config.php
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp-includes/
# hier ist die config.php drin
Disallow: /config/
#
#Despictable and evil robots to keep out 🙂
User-agent: grub-client
Disallow: /
User-agent: grub
Disallow: /
User-agent: looksmart
Disallow: /
User-agent: WebZip
Disallow: /
User-agent: larbin
Disallow: /
User-agent: b2w/0.1
Disallow: /
User-agent: psbot
Disallow: /
User-agent: Python-urllib
Disallow: /
User-agent: NetMechanic
Disallow: /
User-agent: URL_Spider_Pro
Disallow: /
User-agent: CherryPicker
Disallow: /
User-agent: EmailCollector
Disallow: /
User-agent: EmailSiphon
Disallow: /
User-agent: WebBandit
Disallow: /
User-agent: EmailWolf
Disallow: /
User-agent: ExtractorPro
Disallow: /
User-agent: CopyRightCheck
Disallow: /
User-agent: Crescent
Disallow: /
User-agent: SiteSnagger
Disallow: /
User-agent: ProWebWalker
Disallow: /
User-agent: CheeseBot
Disallow: /
User-agent: LNSpiderguy
Disallow: /
User-agent: ia_archiver
Disallow: /
User-agent: ia_archiver/1.6
Disallow: /
User-agent: Teleport
Disallow: /
User-agent: TeleportPro
Disallow: /
User-agent: MIIxpc
Disallow: /
User-agent: Telesoft
Disallow: /
User-agent: Website Quester
Disallow: /
User-agent: moget/2.1
Disallow: /
User-agent: WebZip/4.0
Disallow: /
User-agent: WebStripper
Disallow: /
User-agent: WebSauger
Disallow: /
User-agent: WebCopier
Disallow: /
User-agent: NetAnts
Disallow: /
User-agent: Mister PiX
Disallow: /
User-agent: WebAuto
Disallow: /
User-agent: TheNomad
Disallow: /
User-agent: WWW-Collector-E
Disallow: /
User-agent: RMA
Disallow: /
User-agent: libWeb/clsHTTP
Disallow: /
User-agent: asterias
Disallow: /
User-agent: httplib
Disallow: /
User-agent: turingos
Disallow: /
User-agent: spanner
Disallow: /
User-agent: InfoNaviRobot
Disallow: /
User-agent: Harvest/1.5
Disallow: /
User-agent: Bullseye/1.0
Disallow: /
User-agent: Mozilla/4.0 (compatible; BullsEye; Windows 95)
Disallow: /
User-agent: Crescent Internet ToolPak HTTP OLE Control v.1.0
Disallow: /
User-agent: CherryPickerSE/1.0
Disallow: /
User-agent: CherryPickerElite/1.0
Disallow: /
User-agent: WebBandit/3.50
Disallow: /
User-agent: NICErsPRO
Disallow: /
User-agent: Microsoft URL Control – 5.01.4511
Disallow: /
User-agent: DittoSpyder
Disallow: /
User-agent: Foobot
Disallow: /
User-agent: WebmasterWorldForumBot
Disallow: /
User-agent: SpankBot
Disallow: /
User-agent: BotALot
Disallow: /
User-agent: lwp-trivial/1.34
Disallow: /
User-agent: lwp-trivial
Disallow: /
User-agent: BunnySlippers
Disallow: /
User-agent: Microsoft URL Control – 6.00.8169
Disallow: /
User-agent: URLy Warning
Disallow: /
User-agent: Wget/1.6
Disallow: /
User-agent: Wget/1.5.3
Disallow: /
User-agent: Wget
Disallow: /
User-agent: LinkWalker
Disallow: /
User-agent: cosmos
Disallow: /
User-agent: moget
Disallow: /
User-agent: hloader
Disallow: /
User-agent: humanlinks
Disallow: /
User-agent: LinkextractorPro
Disallow: /
User-agent: Offline Explorer
Disallow: /
User-agent: Mata Hari
Disallow: /
User-agent: LexiBot
Disallow: /
User-agent: Web Image Collector
Disallow: /
User-agent: The Intraformant
Disallow: /
User-agent: True_Robot/1.0
Disallow: /
User-agent: True_Robot
Disallow: /
User-agent: BlowFish/1.0
Disallow: /
User-agent: JennyBot
Disallow: /
User-agent: MIIxpc/4.2
Disallow: /
User-agent: BuiltBotTough
Disallow: /
User-agent: ProPowerBot/2.14
Disallow: /
User-agent: BackDoorBot/1.0
Disallow: /
User-agent: toCrawl/UrlDispatcher
Disallow: /
User-agent: WebEnhancer
Disallow: /
User-agent: suzuran
Disallow: /
User-agent: VCI WebViewer VCI WebViewer Win32
Disallow: /
User-agent: VCI
Disallow: /
User-agent: Szukacz/1.4
Disallow: /
User-agent: QueryN Metasearch
Disallow: /
User-agent: Openfind data gathere
Disallow: /
User-agent: Openfind
Disallow: /
User-agent: Xenu’s Link Sleuth 1.1c
Disallow: /
User-agent: Xenu’s
Disallow: /
User-agent: Zeus
Disallow: /
User-agent: RepoMonkey Bait & Tackle/v1.01
Disallow: /
User-agent: RepoMonkey
Disallow: /
User-agent: Microsoft URL Control
Disallow: /
User-agent: Openbot
Disallow: /
User-agent: URL Control
Disallow: /
User-agent: Zeus Link Scout
Disallow: /
User-agent: Zeus 32297 Webster Pro V2.9 Win32
Disallow: /
User-agent: Webster Pro
Disallow: /
User-agent: EroCrawler
Disallow: /
User-agent: LinkScan/8.1a Unix
Disallow: /
User-agent: Keyword Density/0.9
Disallow: /
User-agent: Kenjin Spider
Disallow: /
User-agent: Iron33/1.0.2
Disallow: /
User-agent: Bookmark search tool
Disallow: /
User-agent: GetRight/4.2
Disallow: /
User-agent: FairAd Client
Disallow: /
User-agent: Gaisbot
Disallow: /
User-agent: Aqua_Products
Disallow: /
User-agent: Radiation Retriever 1.1
Disallow: /
User-agent: Flaming AttackBot
Disallow: /
User-agent: Oracle Ultra Search
Disallow: /
User-agent: MSIECrawler
Disallow: /
User-agent: PerMan
Disallow: /
User-agent: searchpreview
Disallow: /
++++++++++Datei Ende +++++++
Ich hoffe das hilft auch.
Schorsch, wenn du die wp-config.php nur in ein anderes, trotzdem öffentlich erreichbares Verzeichnis verschiebst ist nicht viel gewonnen. Insbesondere dann nicht wenn du dieses Verzeichnis auch noch hübsch erklärt in deine robots.txt reinschreibst welche eh von jedem aufrufbar ist.
Viele Grüße
Danke für Informationen, suche schon seit längerem nach Möglichkeiten die wp-config.php zu schützen, da fast Tag täglich Spamer irgendwelche Links in meine php files laden. Werde es direkt ausprobieren.
[…] Datei wp-config.php vor hackerangriffen schützen […]
Danke für Informationen, suche schon seit längerem nach Möglichkeiten die wp-config.php zu schützen, da fast Tag täglich Spamer irgendwelche Links in meine php files laden. Werde es direkt ausprobieren.
Hi,
nach etwas Recherche bin ich auf diverse Postings gekommen, die empfehlen, die wp-config.php mit einer htaccess zu sichern.
Wozu? So lange ein „hacker“ doch keinen ftp-user access zum Folder, in dem die WP Files liegen hat, wie soll er dann die wp-config auslesen?
Hallo, kann man einfach ein .htaccess datei selbst mit diesem inhalt erstellen oder finde ich irgendwo eine vorhandene die ich ergänzen kann. und wo kommt die hin ?
im gleichen ordner wo die wp-config schon ist ?
danke für tips bin anfänger !
Die .htaccess Datei liegt normalerweise direkt im Stammverzeichnis, dort wo auch die wp-config.php liegt. M. E. gibt es sogar Plugins für WordPress, mit welchen du deine .htaccess editieren kannst. Einfach unter Plugins > Installieren nach .htaccess suchen.
Gruß,
Markus.