Das Finden einer seltsamen PHP-Datei in Ihrem WordPress-Upload-Ordner kann beunruhigend sein. Wir kennen dieses Gefühl gut, denn wir haben Hunderten von Benutzern geholfen, die dasselbe Problem entdeckt haben.
Dies deutet oft auf eine Sicherheitslücke hin, die viele Leute übersehen. Hacker können beschreibbare Verzeichnisse missbrauchen, um bösartige Skripte hochzuladen, die ihnen Backdoor-Zugriff auf Ihre Website verschaffen.
Die gute Nachricht ist, dass es eine einfache Möglichkeit gibt, eine ihrer bevorzugten Angriffsmethoden zu blockieren. Indem Sie die PHP-Ausführung in bestimmten Ordnern deaktivieren, machen Sie Ihre Website zu einem viel schwierigeren Ziel.
Wir zeigen Ihnen Schritt für Schritt, wie das geht. Lassen Sie uns durchgehen, wie Sie diese wichtige Sicherheitsebene zu Ihrer WordPress-Website hinzufügen.
Warum die PHP-Ausführung in bestimmten WordPress-Verzeichnissen deaktivieren?
Standardmäßig macht WordPress bestimmte Verzeichnisse beschreibbar, damit Sie und andere autorisierte Benutzer Ihrer Website problemlos Themes, Plugins, Bilder und Videos auf Ihre Website hochladen können.
Diese Funktion kann jedoch missbraucht werden, wenn sie in die falschen Hände gerät, z. B. Hacker, die sie verwenden können, um Backdoor-Zugangsdateien oder Malware auf Ihre WordPress-Website hochzuladen.
Diese bösartigen Dateien werden oft als Kern-WordPress-Dateien getarnt. Sie sind meist in PHP geschrieben und können im Hintergrund ausgeführt werden, um vollen Zugriff auf jeden Aspekt Ihrer Website zu erhalten.
Klingt beängstigend, oder?
Keine Sorge. Dafür gibt es eine einfache Lösung. Deaktivieren Sie einfach die PHP-Ausführung in bestimmten Verzeichnissen, in denen Sie sie nicht benötigen. Dadurch werden in diesen Verzeichnissen keine PHP-Dateien ausgeführt.
Sehen wir uns an, wie Sie die WordPress-Sicherheit verbessern können, indem Sie die PHP-Ausführung mit der .htaccess-Datei deaktivieren.
Deaktivieren der PHP-Ausführung in bestimmten WordPress-Verzeichnissen mit der .htaccess-Datei
Die meisten WordPress-Websites haben eine .htaccess-Datei im Stammverzeichnis. Dies ist eine Konfigurationsdatei, die von Apache, einer der beliebtesten Webserver-Softwaretypen, verwendet wird. (Wenn Ihr Hoster einen anderen Server wie Nginx verwendet, machen Sie sich keine Sorgen, das behandeln wir im FAQ-Bereich unten.)
Diese leistungsstarke Konfigurationsdatei wird verwendet, um den Admin-Bereich mit einem Passwort zu schützen, das Durchsuchen von Verzeichnissen zu deaktivieren, eine SEO-freundliche URL-Struktur zu generieren und mehr.
Standardmäßig befindet sich die .htaccess-Datei im Stammverzeichnis Ihrer WordPress-Website, Sie können jedoch auch zusätzliche .htaccess-Dateien in Ihren inneren WordPress-Verzeichnissen erstellen und verwenden.
Um Ihre Website vor Backdoor-Zugriffsdateien zu schützen, müssen Sie eine .htaccess-Datei erstellen und sie in die Verzeichnisse /wp-includes und /wp-content/uploads Ihrer Website hochladen. Der Schutz des /wp-content/uploads-Ordners ist besonders wichtig, da dies der häufigste Ort ist, an dem Hacker versuchen, bösartige Skripte zu platzieren.
Erstellen Sie einfach eine neue Datei auf Ihrem Computer mit einem Texteditor wie Notepad (unter Windows) oder TextEdit (unter Mac). Speichern Sie die leere Datei anschließend unter dem Namen .htaccess
Kopieren Sie nun den folgenden Code und fügen Sie ihn in Ihre .htaccess-Datei ein:
<Files *.php>
Require all denied
</Files>
Dieser Code weist Ihren Server an, jeden Versuch zu blockieren, eine Datei, die mit .php endet, direkt aus diesem Ordner auszuführen. Nachdem Sie den Code eingefügt haben, speichern Sie die Datei.
Als Nächstes müssen Sie diese Datei in die Ordner /wp-includes und /wp-content/uploads auf Ihrem WordPress-Hosting-Server hochladen.
Sie können es mit einem FTP-Client oder der Dateimanager-App in Ihrem Hosting-Konto-cPanel-Dashboard hochladen.
Sobald die .htaccess-Datei mit dem obigen Code hinzugefügt wurde, werden keine PHP-Skripte mehr in diesen Verzeichnissen ausgeführt.
Backdoors in WordPress mit Sucuri überprüfen
Die Verwendung dieses .htaccess-Tricks hilft Ihnen, Ihre WordPress-Sicherheit zu erhöhen, aber es wird keine bereits gehackte WordPress-Website reparieren.
Backdoors sind raffiniert getarnt und können bereits offen sichtbar sein.
Wenn Sie nach möglichen Backdoors auf Ihrer Website suchen möchten, müssen Sie Sucuri auf Ihrer Website aktivieren.
Sucuri ist das beste WordPress-Sicherheits-Plugin auf dem Markt. Es scannt Ihre Website auf mögliche Bedrohungen, verdächtigen Code, Malware und Schwachstellen.
Es blockiert auch effektiv die meisten Hacking-Versuche, bevor sie überhaupt Ihre Website erreichen, indem es eine Firewall zwischen Ihre Website und verdächtigen Datenverkehr schaltet.
Am wichtigsten ist, dass es Ihre WordPress-Website bereinigt, falls sie gehackt wird. Um mehr zu erfahren, können Sie unsere Sucuri-Bewertung lesen, da wir deren Dienst seit Jahren nutzen.
Sie können mehr in unserem Leitfaden zum Finden und Beheben von Backdoors auf einer gehackten WordPress-Website erfahren.
Häufig gestellte Fragen zur Deaktivierung der PHP-Ausführung
Hier sind einige der häufigsten Fragen, die uns zur Härtung der WordPress-Sicherheit durch Deaktivierung der PHP-Ausführung in bestimmten Verzeichnissen gestellt werden.
1. Was ist eine .htaccess-Datei und wo befindet sie sich?
Die .htaccess-Datei ist eine Serverkonfigurationsdatei, die von Apache-Webservern verwendet wird. In WordPress steuert sie Dinge wie die URL-Struktur Ihrer Website und kann verwendet werden, um Sicherheitsregeln hinzuzufügen. Sie finden sie normalerweise im Hauptstammverzeichnis Ihrer WordPress-Installation.
2. Wird die Deaktivierung der PHP-Ausführung im Uploads-Ordner meine Website beeinträchtigen?
Nein, diese Sicherheitsmaßnahme sollte den normalen Betrieb Ihrer Website nicht beeinträchtigen. Die Verzeichnisse wp-content/uploads und wp-includes sind nicht dafür vorgesehen, PHP-Dateien zu enthalten, die direkt ausgeführt werden. Ihre Themes und Plugins speichern ihre notwendigen Dateien in separaten Ordnern, in denen die PHP-Ausführung weiterhin erlaubt ist.
3. Reicht dieser .htaccess-Trick aus, um meine Website vollständig zu sichern?
Obwohl dies ein wirksamer und wichtiger Sicherheitsschritt ist, ist er nur ein Teil eines vollständigen Sicherheitsplans. Eine vollständige Strategie sollte auch die Verwendung eines WordPress-Sicherheits-Plugins, die Aktualisierung aller Ihrer Themes und Plugins sowie die Durchsetzung starker Passwörter für alle Benutzer umfassen.
4. Was ist, wenn mein Webhost Nginx anstelle von Apache verwendet?
Die .htaccess-Datei funktioniert nur auf Apache-Webservern. Wenn Ihr Hosting-Anbieter Nginx verwendet, müssen Sie eine andere Regel in die Konfigurationsdatei Ihres Servers einfügen, um dasselbe Ergebnis zu erzielen. Wir empfehlen, sich an das Support-Team Ihres Hosts zu wenden, um Hilfe bei der richtigen Codierung für deren Plattform zu erhalten.
Was soll ich tun, wenn ich nach dem Hinzufügen der .htaccess-Datei eine Fehlermeldung erhalte?
In sehr seltenen Fällen kann nach dem Hochladen der Datei eine '500 Internal Server Error'-Meldung angezeigt werden. Dies bedeutet normalerweise, dass Ihr Webhost eine ältere Version der Apache-Serversoftware verwendet.
Wenn dies geschieht, öffnen Sie einfach Ihre .htaccess-Datei und ersetzen Sie den von Ihnen hinzugefügten Code durch den folgenden Ausschnitt:
<Files *.php>
deny from all
</Files>
Speichern Sie die Datei und laden Sie sie erneut hoch. Diese ältere Version des Codes tut dasselbe, ist aber mit veralteten Servern kompatibel.
Experten-Anleitungen zur Verbesserung der WordPress-Sicherheit
Wir hoffen, dieser Artikel hat Ihnen geholfen zu lernen, wie Sie die PHP-Ausführung in bestimmten WordPress-Verzeichnissen deaktivieren, um die Sicherheit Ihrer Website zu erhöhen. Möglicherweise möchten Sie auch einige andere Sicherheitstechniken erlernen. Hier sind einige unserer besten Anleitungen zur Verbesserung der WordPress-Sicherheit:
- Der ultimative WordPress-Sicherheitsleitfaden (Schritt für Schritt)
- So führen Sie eine WordPress-Sicherheitsprüfung durch (vollständige Checkliste)
- So scannen Sie Ihre WordPress-Site auf potenziell bösartigen Code
- Die besten WordPress-Sicherheits-Scanner zur Erkennung von Malware und Hacks
- So finden und entfernen Sie Spam-Link-Injektionen in WordPress
- So fügen Sie die Zwei-Faktor-Authentifizierung in WordPress hinzu (kostenlose Methode)
- So fügen Sie dem WordPress-Anmeldebildschirm Sicherheitsfragen hinzu
- Was, warum und wie von WordPress-Sicherheitsschlüsseln
Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.
tom
bezüglich des Deaktivierens von PHP-Ausführungen im wp-includes-Ordner, um die Ausführung von Backdoor-Code usw. zu verhindern – aber es scheint viele viele PHP-Dateien in diesem Ordner zu geben, z. B.: admin-bar.php oder author-template.php, um nur einige zu nennen, die wichtig zu sein scheinen und ich frage mich, ob das Platzieren einer htaccess-Datei in diesem Ordner diese Dateien nicht an der Ausführung hindert und möglicherweise Kernfunktionen von WordPress stört? übrigens danke für viele schöne Artikel auf Ihrer Website
WPBeginner Support
Sofern Sie kein spezielles Plugin haben, das die Funktionalität zu den Dateien hinzufügt, sollte es kein Problem geben, die PHP-Ausführung in den Ordnern zu verhindern.
Admin
tom
Danke für deine Antwort. Mein Setup ist einfach: Astra/Spectra, Malcare und All in One SEO. In diesem Fall werde ich .htaccess auch in wp-includes platzieren. Danke nochmals für viele tolle Artikel
Mrteesurez
Ich sehe dies als eine großartige Form der Website-Sicherung, indem die PHP-Ausführung in Ordnern deaktiviert wird. Laut diesem Artikel sind nur zwei Verzeichnisse gesichert, was ist mit anderen? Sind sie natürlich gesichert oder brauchen Hacker sie während des Versuchs nicht?
WPBeginner Support
Andere Bereiche der Website-Dateien erfordern normalerweise strengeren Zugriff oder enthalten PHP-Dateien, die für die Funktion Ihrer Website erforderlich sind.
Admin
Jiří Vaněk
Danke für diese Sicherheitstipps. Ich habe eine htaccess-Datei erstellt und werde sie per FTP hochladen. Ich habe eine Website auf meinem eigenen Server, daher liegt die Frage der Sicherheit ganz bei mir. Danke für den nächsten Schritt, um mein WordPress wieder etwas sicherer zu machen.
Unarine Leo Netshifhefhe
Ich habe auch diese Benachrichtigung bei meinem Updraft-Plugin, dass Backups nicht stattfinden. Kann das an htaccess liegen?
„Backup-Verzeichnis konnte nicht erstellt werden…
Der Ordner existiert, aber Ihr Webserver hat keine Berechtigung, dorthin zu schreiben. Sie müssen sich an Ihren Webhosting-Anbieter wenden, um herauszufinden, wie Sie Berechtigungen für ein WordPress-Plugin festlegen, um in das Verzeichnis zu schreiben. (wp-content/updraft)
WPBeginner Support
Das scheint ein Problem mit den Datei-/Ordnerberechtigungen zu sein. Sie sollten sich an Ihren Hosting-Anbieter wenden, der Ihnen helfen kann. Sie können auch unseren Leitfaden unten einsehen:
https://www.wpbeginner.com/beginners-guide/how-to-fix-file-and-folder-permissions-error-in-wordpress/
Admin
Brian Prom
FYI: Sie haben einen Tippfehler in Ihrem Code-Snippet für das .htaccess-Snippet.
Die Verwendung Ihres Code-Snippets, wie es ist (ohne den schließenden /), unterbricht das Laden von Bildern.
WPBeginner Support
Thank you for pointing that out, our code should be fixed
Admin
Vitor Gonçlaves
Ich habe einige .php-Dateien im Uploads-Ordner gefunden, die von Plugins erstellt wurden. Kann ich davon ausgehen, dass dies kein Problem verursacht, oder muss ich jedes Plugin einzeln analysieren?
WPBeginner Support
Wenn Sie sich an Ihre Plugins wenden, können diese Ihnen die spezifischen Details für diese Dateien mitteilen.
Admin
nirbo
Danke für die Informationen
WPBeginner Support
You’re welcome
Admin
cliff denney
vielen Dank
WPBeginner Support
You’re welcome
Admin
Suman Samanta
Großartige Schreibweise! Sie haben ein Händchen für informative Texte. Ihre Inhalte haben mich über alle Maßen beeindruckt. Ich habe große Bewunderung für Ihre Schreibweise. Vielen Dank für all Ihre wertvollen Beiträge zu diesem Thema.
WPBeginner Support
Thank you, glad you enjoy our writing
Admin
Thato
Leute, ich glaube, ich habe meine htaccess-Datei vermasselt, meine Website zeigt keine Bilder mehr an
WPBeginner Support
Hallo Thato,
Sie können Ihre .htaccess-Datei als Backup auf Ihren Computer herunterladen und sie dann von Ihrer Website löschen. Gehen Sie zum WordPress-Adminbereich Einstellungen » Permalinks und klicken Sie auf die Schaltfläche Änderungen speichern. Dies sollte Ihre .htaccess-Datei neu generieren.
Admin
Shawn Rebelo
Nicht wp-content machen.
Machen Sie wp-content/uploads.
Und das:
allow,deny bestellen
denied from all
Kann auf Servern stark variieren.
Hardik
Beeinflusst es die Uploads von Dateien auf Webseiten?
Ich habe festgestellt, dass nach dem Hochladen dieser htaccess-Datei in den Ordner viele Bilder aus vielen Beiträgen nicht angezeigt werden.
Chuck Cochems
Ja, das Verweigern des Zugriffs auf PHP-Dateien im Verzeichnis „includes“ zerstört die Website, da „include“ tatsächlich .htaccess-Beschränkungen befolgt.
Aber die Einschränkung des Uploads-Verzeichnisses ist sehr clever und sollte standardmäßig im Uploads-Verzeichnis vorhanden sein, und es gibt keinen guten Grund, warum sie nicht vorhanden sein sollte.
Stan
Wie lautet die Methode für IIS-Server?
Danke,
KOnnie
ZOMG! Kannst du nicht einfach den Schreibzugriff auf den Ordner /wp-includes deaktivieren?
Warum sich mit den Konsequenzen herumschlagen, wenn man die Ursache verhindern kann?
Jonathan Hodgson
Würde das nicht verhindern, dass WordPress die Dateien bei Kernaktualisierungen aktualisieren kann?
Jeff Wigal
Sie können dies auch in Ihre Apache VirtualHost einfügen, was dasselbe bewirkt:
Bestellung erlauben,verweigern
Verweigern von allen
anton
wie implementiere ich diesen Code, wenn wir eine Kombination aus Klein- und Großbuchstaben bei der Dateiendung haben, zum Beispiel on.php auf meiner Website funktioniert es, aber es funktioniert nicht, wenn die Datei mit.PHp,.PHP .PhP oder einer Kombination davon benannt ist. Das Backdoor-Skript wird immer noch ausgeführt.
Danke
Timothée Moulin
Sie können dies in Ihre .htaccess-Datei einfügen
Bestellung verweigern, erlauben
Verweigern von allen
Shams
Hallo Syed,
Danke für diesen informativen Beitrag, und er bietet tatsächlich eine großartige Lösung, um WordPress vor Hackern zu retten.
Vladimir
Hallo!
Ich habe alle Ihre Anweisungen in diesem Artikel befolgt, aber es funktioniert nicht...
Danke
Aurélien Debord
Ein so nützlicher Beitrag mit solch guten und schnellen Tipps.
Danke
Ramon
Ich habe eine .htaccess-Datei im wp-includes-Ordner erstellt. Die Seite sah gut aus, aber mein WYSIWYG-Editor auf den Admin-Seiten funktionierte nicht. Ich musste die .htaccess-Datei wieder entfernen. (WP 3.9.1)
Wes
Ich habe auch meinen wp-includes-Ordner voller PHP-Dateien gefunden und ich sehe nicht, wie die Verwendung dieser .htaccess-Datei dort etwas nicht kaputt machen würde. Ich habe sie im Uploads-Verzeichnis verwendet.
Redaktion
Es bricht es manchmal (abhängig vom verwendeten Plugin), aber nicht immer.
Admin
Rot
verzeihen Sie mein schlechtes Englisch...
Ich habe alle Ihre Anweisungen in diesem Artikel befolgt, aber als ich zu meinem Dashboard ging, um einen neuen Beitrag hinzuzufügen, war mein Beitragsbereich durcheinander. ... Ich vermute, die .htaccess war das Problem.
Als ich sie löschte, war der Beitrag in Ordnung.
Redaktion
In welches Verzeichnis haben Sie die .htaccess-Datei hochgeladen, die dieses Problem verursacht hat?
Admin
Chris
Ich habe die .htaccess-Datei zu meinem wp-includes hinzugefügt und hatte keine Probleme. Vielen Dank für die Tipps.
Brad
Ich habe dies in meinem Verzeichnis /wp-includes/ ausprobiert, das voller PHP-Dateien ist. Natürlich konnte ich die Website nicht mehr aufrufen. Meinten Sie wirklich, das Includes-Verzeichnis für die Verwendung mit der .htaccess-Datei einzuschließen?
Meinten Sie vielleicht /wp-includes/images ?
Redaktion
Nein. Wir meinten den Ordner /wp-includes/. Wir haben das in unserem wp-includes-Ordner. Wenn es aus irgendeinem Grund Ihre Website beeinträchtigt, löschen Sie die .htaccess-Datei aus Ihrem wp-includes-Ordner.
Admin
Brad
Seltsam, mein wp-includes-Ordner hat über 90 PHP-Dateien darin. Und es zerstört die Website. Ich habe es sofort wieder entfernt.
Aber ich habe es in den Ordner /wp-content/uploads/ gelegt und es funktioniert dort einwandfrei. Danke für die Antwort
Alfred
Eine htaccess-Datei, die den Zugriff auf PHP-Dateien in einem Verzeichnis voller PHP-Dateien verweigert, erscheint ziemlich seltsam. Ich gehe davon aus, dass dies daran liegt, dass diese Dateien normalerweise nur eingebunden und nicht direkt ausgeführt werden. Wenn das stimmt, wäre es dann nicht besser, einfach den Zugriff auf das gesamte Verzeichnis zu verweigern?