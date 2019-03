Die .htaccess Datei ist ein mächtiges Konfigurationswerkzeug für deinen Webserver oder dein Webhosting-Paket. Du solltest es grundsätzlich für das Selbsthosting von WordPress nutzen und konsequent anwenden. In diesem Beitrag zeige ich dir, welche Grundeinstellungen in diese Datei gehören, damit WordPress sicherer und besser wird.

Die Vorbereitung

Zuerst einmal muss die Datei gefunden werden. Der folgende Screenshot zeigt, wo die Datei liegt. Regelmäßig sollte sie sich im Hauptverzeichnis deiner WordPress-Installation finden lassen, also dort, wo die Ordner wp-content, wp-admin usw. liegen.

Ganz wichtig ist es, vor dem Bearbeiten der .htaccess Datei ein Backup selbiger zu erstellen. Dazu kopiere die Datei einfach in einen neuen/anderen Ordner.

Eine Besonderheit unter Mac OS X: Der Mac sieht alle Dateien mit einem Punkt vor dem Dateinamen als Systemdateien an, also auch die .htaccess. Das bedeutet, dass er sie ausblendet, sobald du sie etwa auf den Desktop gezogen hast. Abhilfe schafft hier das kleine Dashboard Widget Hidden Files, mit dem man nach Belieben die versteckten Dateien ein- und wieder ausblenden kann.

Nach jeder Änderung an der .htaccess-Datei muss ein Refresh des Browsers durchgeführt werden, um feststellen zu können, ob die Webseite noch erreichbar ist. Schon bei nur einem fehlerhaften Zeichen wird die betreffende Webseite nicht mehr angezeigt werden. Die .htaccess ist sehr empfindlich. Sollte deine Webseite also nicht mehr darstellbar sein, lade bitte die Backup-Version wieder hoch. Das behebt den Fehler zumeist augenblicklich.

Die nun folgenden Code-Schnipsel füge bitte einfach an das Ende der .htaccess an.

1. Zugriff von außen auf .htaccess Datei verbieten

Damit die wichtige Serversteuerungs-Datei .htaccess keinesfalls von außerhalb des (S)FTP Zugangs erreichbar und damit verändert werden kann, verbieten wir als erstes den Zugriff darauf.

# Zugriff auf .htaccess und .htpasswd verbieten, falls in Benutzung <FilesMatch "(\.htaccess)"> Order deny,allow Deny from all </FilesMatch>

2. Bild-Hotlinking verbieten

Das sogenannte Hotlinking von Bildern kann zum echten Problem werden. Hierbei laden andere Menschen die Bilder aus deiner Webseite nicht herunter, um sie dann anschliessend zu verlinken, sondern es wird nur der Pfad zu deinem Bild angegeben. Dies kann deine Webseite verlangsamen und wichtige Bandbreite stehlen. Die externe Verlinkung der Bilder kannst du mit dem folgenden Code jedoch ganz leicht verhindern.

Der Platzhalter deinewebseite.com muss durch die URL deiner Webseite ersetzt werden. Ganz unten ist der Pfad zu einer Grafik zu finden, die anstatt des verlinkten Bildes angezeigt wird. Diese Grafik kann durch jede andere ersetzt werden.

RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?deinewebseite.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?deinewebseite.com [NC] RewriteRule \.(jpg|jpeg|png|gif)$ http://i.imgur.com/g7ptdBB.png [NC,R,L]

Bitte beachten: Solltest du einen externen Feedanbieter, wie zum Beispiel Feedburner, benutzen, könnte es sein, dass keine Bilder im Feed landen.

3. Browser-Caching aktivieren

Kaum eine andere Tuning-Maßnahme bringt mit so wenig Aufwand so viel Ergebnis. Viele der größten Dateien deiner Webseite ändern sich im Grunde genommen nie. Deshalb ist es eine gute Idee, diese für eine lange Zeit in den Browser-Cache zu befördern. Dateien, wie zum Beispiel das CSS oder das JavaScript einer Webseite, werden dann nur beim ersten Besuch einmal vom Browser geladen. Bei jedem weiteren Besuch (oder aber auch beim Aufruf weiterer Seiten beim ersten Besuch) muss der Browser diese Dateien nicht mehr laden. Dementsprechend wird die Webseite viel schneller angezeigt.

## EXPIRES CACHING ## <IfModule mod_expires.c> ExpiresActive On ExpiresByType image/jpg "access 1 year" ExpiresByType image/jpeg "access 1 year" ExpiresByType image/gif "access 1 year" ExpiresByType image/png "access 1 year" ExpiresByType text/css "access 1 month" ExpiresByType text/html "access 1 month" ExpiresByType application/pdf "access 1 month" ExpiresByType text/x-javascript "access 1 month" ExpiresByType application/x-shockwave-flash "access 1 month" ExpiresByType image/x-icon "access 1 year" ExpiresDefault "access 1 month" </IfModule> ## EXPIRES CACHING ##

4. IP-Adressen dauerhaft bannen

Es kann schon mal vorkommen, dass man spezielle IP-Adressen einfach bannen möchte. Sei es, weil derjenige versucht hat, den Administrationsbereich zu hacken, oder aber, weil er vielleicht nur böswillige (Spam) Kommentare hinterlässt. Wenn du die IP-Adresse desjenigen herausgefunden hast, nutze folgenden Code um ihn für immer, zumindest unter dieser IP-Adresse, auszusperren.

<Limit GET POST> order allow,deny deny from 123.456.78.9 deny from 987.654.32.1 allow from all </Limit>

Bitte beachten: Die IP-Adressen im obigen Code müssen natürlich noch angepasst werden. Diese Änderung gehörte einstmals zum Standard-Repertoire, ist jedoch mit Inkrafttreten der DSGVO deutlich schwieriger umzusetzen, da du IP-Adressen nicht mehr standardmäßig erfassen darfst.

5. Include-Only-Dateien blocken

Etliche, wirklich wichtige Dateien sollten niemals zugänglich sein, außer von WordPress selbst. Auch davor kann man sich mit folgendem Code schützen.

Bitte beachten: Für eine WordPress-Multisite-Installation funktioniert der Code nicht.

# Block the include-only files. <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule>

6. Separate Htaccess schützt den Wp-Content-Ordner

Der WordPress Ordner wp-content ist der wichtigste Ordner, da er deineThemes, die Plugins und Bilder, gecachte Dateien usw. enthält. Für Hacker ist dieser Ordner das Hauptangriffsziel, deshalb sollte er gut geschützt sein.

Erstelle eine separate .htaccess Datei, füge den folgenden Code hinein und lade die Datei in den wp-content Ordner hoch (www.deinewebseite/wp-content/).

Order deny,allow Deny from all <Files ~ ".(xml|css|jpe?g|png|gif|js)$"> Allow from all </Files>

7. Die XML-RPC Schnittstelle abschalten

Die XML-RPC Schnittstelle in WordPress dient dazu, WordPress mit externen Programmen verwalten zu können; zum Beispiel, um Artikel zu veröffentlichen oder Kommentare zu bearbeiten. Zu den Programmen gehören unter anderem die mobilen Anwendungen für iOS, Android und Co, aber auch die WordPress-Desktopanwendung.

Die Schnittstelle kann aber auch für DDoS-Angriffe genutzt werden, die dafür sorgen, dass deine Webseite lahm gelegt wird. Mit einem kurzen Eintrag in die .htaccess schaltest du die Schnittstelle komplett ab:

<Files xmlrpc.php> Order Deny,Allow Deny from all </Files>

Diesen Eintrag solltest du allerdings nur verwenden, wenn deine Webseite keine Blog-Funktionalität hat, da auch keine Trackbacks mehr durch gelassen werden. Solltest du einen Blog betreiben oder dein WordPress mit mobilen Anwendungen betreiben wollen, nutze den folgenden Code, um die Schnittstelle abzusichern:

<IfModule mod_setenvif.c> <Files xmlrpc.php> BrowserMatch "Poster" allowed BrowserMatch "WordPress" allowed BrowserMatch "wp-iphone" allowed BrowserMatch "wp-android" allowed Order Deny,Allow Deny from All Allow from env=allowed </Files> </IfModule>

Im Beispiel-Code sind Zeile für Zeile folgende Clients freigegeben:

Poster

WordPress-Blogs

WordPress for iOS

WordPress for Android

Nicht benötigte Freigaben gehören zeilenweise entfernt. Neue User-Agents können hinzugefügt und somit freigeschaltet werden.

8. PHP – Fehlermeldungen unterdrücken

Dies ist ein ganz wichtiger Punkt, denn sobald PHP eine Fehlermeldung heraus gibt, wird damit auch der Dateipfad sichtbar. Sergej Müller schreibt zu diesem Problem:

In WordPress-Blogs ist es recht simpel, einen PHP-Fehler (indirekt) zu erzeugen, um an die Fehler-Ausgabe inklusive Pfad heran zu kommen. Dafür muss man weder Administrator noch Experte sein. Durch einen direkten Aufruf bestimmter WordPress-Core- wie Plugins-Dateien in der Adresszeile des Browsers werden PHP-Fatal-Fehler generiert (weil notwendige und referenzierte WordPress-Funktionen fehlen).Erlauben Server- bzw. PHP-Einstellungen die Darstellung von Fehlern, erscheinen Fehler der Anwendung im Browser. Kaum jemand kann etwas mit der Fehlerausgabe anfangen, für Angreifer ist es jedoch eine sehr wertvolle Information, um nach Hintertüren zu suchen und diese auszunutzen.

Mit einem simplen Eintrag in der .htaccess Datei löst du das Problem:

php_flag display_errors Off

Zugabe – denn Sicherheit geht über alles

Blocken wir nun den Zugriff von außen auf wichtige Dateien, denn schließlich solltest nur du Zugriff auf diese Dateien haben. Der untere Punkt schützt deine Webseite zusätzlich gegen URL-Exploits, also gegen Hackversuche über die URL. Dieser Code befindet sich in jeder .htaccess Datei meiner Webseiten.

# ---------------------------------------------------------------------- # Wichtige Sicherheitseinstellungen # ---------------------------------------------------------------------- #wichtige Dateien gegen Zugriff von außen blocken <files install.php> Order allow,deny Deny from all </files> <files wp-config.php> Order allow,deny Deny from all </files> # PROTECT readme.html <files readme.html> Order Allow,Deny Deny from all Satisfy all </Files> # PROTECT liesmich.html für DE Edition <Files liesmich.html> Order Allow,Deny Deny from all Satisfy all </Files> <files error_log> Order allow,deny Deny from all </files> # Keine URL-based Exploits zulassen RedirectMatch 403 \[ <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / # Double slashes in allen URLs verbieten RewriteCond %{THE_REQUEST} ^[A-Z]+\ /(([^/\ ]+/)*)/+([^\ ]*) RewriteRule ^ /%1%3 [L,R=301] </IfModule>

Fazit

Mit nur ein paar Minuten Zeitaufwand machst du mit dem Code dieses Artikels deine WordPress-Webseite wesentlich sicherer und sogar schneller. Hacker haben jetzt bedeutend weniger Chancen, deine Webseite zu kompromittieren und deine Leser wird es freuen, dass die Webseite durch das Aktivieren von Browser-Caching schneller geworden ist.

(Der Beitrag erschien erstmals im Dezember 2014 und wird seitdem aktuell gehalten. Das letzte Update erfolgte am 20.03.2019.)

(Beitragsbild: Depositphotos)