Die Macher_innen des WordPress-Buches haben einen Artikel von Perun im Petto, wie man WordPress installiert und sicherer macht. Als UNIX-Guru und WordPress-Neuling möchte ich einen ebenso einfachen und effektiven Tipp zu dem recht erhellenden Artikel beisteuern.
Diverse statische Verzeichnisse der WordPress-Installation sind mit den Standard-Einstellungen des Apache-Webservers öffentlich einsehbar. Dazu gehören fast alle Unterverzeichnisse von wp-content, insbesondere wp-content/uploads. Aus Sicherheitsgründen ist das nicht so schön: Am Frontend vorbei können Kundige munter in Inhalten herumsuchen, die (noch nicht) für die Öffentlichkeit bestimmt sind. Auch legitime Such-Bots könnten sich hierher verirren, weil diese Verzeichnisse von der automatischen robots.txt-Datei nicht versteckt werden. Aber viel schlimmer: Böse Hacker können mit einem Blick in wp-content/plugins nach installierten Plugins, deren Versionen und damit nach evtl. vorhandenen Sicherheitslücken suchen.
So sieht ein ungeschütztes Verzeichnis aus:
Index of /wp-content/uploads
Name Last modified Size Description Parent Directory - 2010/ 28-Aug-2010 16:16 -
![[ICO]](../icons/blank.gif){kind=icon}
![[DIR]](../icons/back.gif){kind=icon}
![[DIR]](../icons/folder.gif){kind=icon}
Mit nur einer Zeile in der Webserverkonfiguration lässt sich die Freizügigkeit abstellen. Folgendes muss an geeigneter Stelle in der .htaccess bzw. httpd.conf untergebracht werden:
Options -Indexes
Wo dies hinzuschreiben ist, hängt davon ab, welche Rechte man auf dem Webserver hat. Üblicherweise darf man eine .htaccess-Datei im Hauptverzeichnis des FTP-Zugangs benutzen. In Anlehnung an Tipp 4 des erwähnten Artikels sähe die .htaccess dann so aus:
# Schuetzt die wp-config.php <files wp-config.php> Order deny,allow deny from all </files> # Verbietet automatsche Verzeichnislistings Options -Indexes
Wenn man das Privileg besitzt, direkt die httpd.conf beschreiben zu können, so gibt es mehrere Möglichkeiten, wo man die Zeile unterbringen kann. Es sei auf die entsprechende Apache Dokumentation verwiesen. Die Options-Direktive kann, außer in der .htaccess, in der Hauptebene der Serverkonfiguration und in VirtualHost- und Directory-Bereichen verwendet werden. Bei den meisten WordPress-Installationen bietet sich der VirtualHost-Bereich an, um das Indexing für die gesamte Domain zu verbieten.
Zu Neugierige bekommen dann eine kalte Fehlermeldung präsentiert:
Forbidden
You don’t have permission to access /wp-content/uploads/ on this server.
Meiner Meinung nach ist mit dieser Zeile an der richtigen Stelle ein wenig Mehr an Sicherheit auf einfachste Weise hinzugewonnen.