Cookies sind kleine Textdateien, die auf deinem Gerät gespeichert werden und dein Online-Erlebnis komfortabler gestalten, indem sie Informationen wie Login-Daten oder Spracheinstellungen speichern. Gleichzeitig können sie jedoch auch verwendet werden, um dein Surfverhalten…
Die Datei wp-config.php ist das Nervenzentrum deiner WordPress-Installation. Sie enthält sensible Informationen wie deine Datenbankzugangsdaten, Sicherheitsschlüssel und andere wichtige Konfigurationseinstellungen. Fällt diese Datei in die falschen Hände, kann das verheerende Folgen für deine Website haben.
Deshalb ist es unerlässlich, deine wp-config.php-Datei bestmöglich zu schützen. Glücklicherweise gibt es einige einfache, aber effektive Maßnahmen, die du ergreifen kannst, um die Sicherheit dieser kritischen Datei zu erhöhen.
Was steht in der wp-config.php?
Ein kurzer Überblick über die wichtigsten Inhalte:
- Datenbankzugang: Name, Nutzer, Passwort und Host der Datenbank
- Sicherheitsschlüssel (Salts): Für Cookies und Passwortverschlüsselung
- Tabellenpräfix: Wird bei der Installation festgelegt
- Debug-Modus: Für Entwicklungs- oder Live-Umgebungen
- Benutzerdefinierte Konfigurationen: Cache-Plugins, Multisite, Memory-Limits usw.
Jeder, der Zugriff auf diese Datei hat, kann theoretisch volle Kontrolle über deine WordPress-Seite erlangen.
Verstecken ist Gold: Verlagere deine wp-config.php
Ein einfacher, aber wirkungsvoller Schritt ist, die wp-config.php-Datei aus dem direkten Blickfeld potenzieller Angreifer zu entfernen. WordPress ist intelligent genug, um die Konfigurationsdatei auch außerhalb des Hauptinstallationsverzeichnisses zu finden.
So geht’s:
Verschiebe die wp-config.php-Datei eine Ebene höher als dein WordPress-Installationsverzeichnis. Wenn deine WordPress-Dateien beispielsweise unter /home/deinbenutzer/public_html/ liegen, verschiebst du die wp-config.php nach /home/deinbenutzer/. Durch diese Verlagerung wird die Datei für Angreifer, die dein Dateisystem durchstöbern, nicht mehr fassbar.
Wer darf was? Beschränke die Zugriffsrechte
Stell dir vor, jeder könnte einfach in deine sensiblen Dateien schauen oder Änderungen daran vornehmen. Keine gute Vorstellung, oder? Deshalb ist es wichtig, die Zugriffsrechte deiner wp-config.php-Datei restriktiv zu gestalten.
Die empfohlenen Berechtigungen sind 400 oder 440.
- 400: Nur der Eigentümer der Datei hat Leserechte.
- 440: Der Eigentümer hat Lese- und Schreibrechte, die Gruppe hat Leserechte.
So änderst du die Zugriffsrechte:
Dies kannst du in der Regel über dein FTP-Programm (z.B. FileZilla) oder den Datei-Manager deines Hosting-Anbieters tun. Klicke mit der rechten Maustaste auf die wp-config.php-Datei und suche nach Optionen wie «Dateiattribute», «Zugriffsrechte» oder «Chmod». Gib dort den entsprechenden numerischen Wert (400 oder 440) ein.
Kein direkter Zugriff über den Browser, die .htaccess schützt
Selbst wenn ein Angreifer den direkten Pfad zu deiner wp-config.php-Datei eruieren könnte, soll die Auslieferung des PHP-Codes im Browser unterbunden werden. Dies lässt sich durch Konfigurationen auf Webserverebene erreichen. Eine gängige Methode für Apache-Server ist die Verwendung der .htaccess-Datei. Füge dort die folgenden Direktiven ein:
<files wp-config.php>
order allow, deny
deny from all
</files>Diese Anweisung in der .htaccess-Datei, welche sich im Hauptverzeichnis deiner WordPress-Installation befindet, blockiert jeglichen direkten Zugriff auf die wp-config.php-Datei über den Webbrowser. Selbst wenn jemand die URL direkt aufrufen würde, würde der Zugriff verweigert.
Fazit: Sicherheit in Schichten
Diese drei einfachen Maßnahmen bilden eine solide Grundlage, um deine wp-config.php-Datei und damit deine gesamte WordPress-Installation besser zu schützen. Denk daran, dass Sicherheit in Schichten funktioniert.
Kombiniere diese Tipps mit anderen bewährten Sicherheitspraktiken, wie starken Passwörtern, regelmäßigen Updates und der Verwendung von Sicherheits-Plugins, um deine WordPress-Seite optimal zu schützen. Je weniger Angriffsfläche du bietest, desto besser. Eine gehärtete Konfiguration ist keine Kür, sondern Pflicht für jede sichere WordPress-Seite.
