1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

direkten Zugriff auf Verzeichnisse unter wp-content verhindern

Dieses Thema im Forum "Konfiguration" wurde erstellt von ASenna, 3. September 2020.

  1. ASenna

    ASenna Well-Known Member

    Registriert seit:
    20. Januar 2017
    Beiträge:
    102
    Zustimmungen:
    0
    Guten Morgen,

    mehr zufällig habe ich festgestellt, dass wenn ich im Browser bspw. www.example.com/wp-content/plugins/privat/daten.csv aufrufe, ich eine dort liegende Datei öffnen kann, in der Daten meiner Webseite abgelegt werden. Das ist sicherheitstechnisch nicht hoch kritisch, aber dennoch will ich das nicht. Auch alle meine PHP-Skripte kann man dort sehen. Voraussetzung ist natürlich, dass man den Pfad kennt sowie den konkreten Dateinamen.

    Ruft man www.example.com/wp-content/plugins/privat/ auf, wird allerdings nichts geliefert, also kein Listing aller Dateien.

    Wie kann man das verhindern? Was ioch bisher gefunden habe, hat mir nicht weitergeholfen:

    1. Daten nicht als CSV-Datei speichern sondern in den WP-DAtenbanken ablegen - ist richtig, aber so weit bin ich noch nicht. Ich bin kein PHP-Experte. P.S. Wer diesbezüglich eine gute Einweisung kennt, gerne mal den Link rüberschicken.

    2. Plugin intsallieren, hier wurde Prevent Direct Access genannt, hat nicht funktioniert. Es schützt wohl nur das Uploadverzeichnis.

    3. wp-content umbenennen - ok, machbar, aber ich kann mir nicht vorstellen, dass das die beste Lösung ist.

    Vielen Dank schon mal vorab.

    AS
     
  2. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.535
    Zustimmungen:
    109
    Du erstellst ein Ordner und sicherst den mit einem Passwort ab mit .htaccess.

    wp-content kann man aber nicht "absichern", so wie du es willst.

    Ansonsten kann du auch via .htaccess einiges machen wie zum Beispiel Files mit .txt Endung verbieten. Allerdings siehst du die dann auch nicht mehr.
     
  3. ASenna

    ASenna Well-Known Member

    Registriert seit:
    20. Januar 2017
    Beiträge:
    102
    Zustimmungen:
    0
    Hast du da zufällig einen Link, über den ich mich in diese Thematik ein wenig einlesen kann?
     
  4. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.535
    Zustimmungen:
    109
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden