1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Fragen zur *.htaccess und robots.txt

Dieses Thema im Forum "Allgemeines" wurde erstellt von Muckel, 4. Dezember 2009.

  1. Muckel

    Muckel Well-Known Member

    Registriert seit:
    27. Februar 2006
    Beiträge:
    461
    Zustimmungen:
    0
    Guten Abend zusammen,

    aktuell beschäftige ich mich mit einem neuen Layout für die Website meiner Pfadfindergruppe. In diesem Zusammenhang bin ich auch mal wieder auf die Sicherheit der Seite aufmerksam geworden. Bei dem einrichten des Blogs habe ich mich an die Punkte dieser "Anleitung" gehalten.

    So ist dort zum Beispiel empfohlen, dass man über die *.htaccess den Zugriff auf Dateien / Verzeichnisse beschränkt. Laut dem Tutorial sollte man eine *.htaccess in die jeweiligen Unterverzeichnisse packen um dann die entsprechenden Einstellungen vorzunehmen.

    Im Root-Verzeichnis habe ich aber schon die erste *.htaccess Datei. Jene wird zurzeit genutzt, um die URL-Namen zu erstellen und schaut so aus:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    In der Anleitung wurde empfohelen, dass man den Zugriff auf die config-Datei einschränkt bzw. verbietet. Als Beispiel wurde der folgende Code genannt:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Kann ich diese Zeilen einfach der ersten *.htaccess hinzufügen? Es wurde ebenfalls empfohlen, dass man den Zugriff nur auf bestimmte Dateien erlaubt. In dem Blog das wir nutzen haben wir Text der ganz normal über das Backend geschrieben wird. Bei einigen Artikel gibt es noch Bilder dazu. Eventuell folgt auch mal ein gepacktes Verzeichnis, eine PDF-Datei oder ähnliches. Gehe ich richtig in der Annahme, dass auch diese Dateien von einer *.htaccess eingeschlossen werden?

    Laut dem Beispiel soll man den "Verzeichnisschutz" in die Ordner /wp-content/ und /wp-includes/ kopieren. Doch was ist mit dem /wp-admin/ Verzeichnis? Zum schützen wurden die folgenden Zeilen vorgestellt:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    und auch nochmal um php-Dateien erweitert, falls PlugIns jene vorraussetzten:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Doch sollte man so einen Schutz nicht schon im root-Verzeichnis anlegen? Wie verhält es sich mit Medien, die man über das Backend hochlädt und dann seinen Usern anbietet? Muss man das Verzeichnis /wp-admin/ nicht auch schützen?

    Die Suchmaschinen kann man ja über die robots.txt beeinflussen, so kann man auch für jene den Zugriff auf Verzeichnisse verbieten. In meinem Fall reicht es voll kommen aus, wenn die Suchmaschinen "nur" die eigentliche Website sehen können. Also das, was auch der User sieht, wenn er die Seite auffruft und eine Seite, einen Artikel oder eine Kategorie liest. Wie sollte man daher den Zugriff gestalten? Aller verbieten ist ja noch leicht, doch auf welche Dateien/Verzeichnisse braucht die robots.txt zugriff?

    Dies sind wieder einige Fragen und ich hoffe, dass ihr mir helfen könnt oder vielleicht wisst, wo ich gute Tipps zu diesen Punkten finden kann.

    Vielen Dank
    Muckel
     
  2. fpr

    fpr Well-Known Member

    Registriert seit:
    12. Juni 2009
    Beiträge:
    86
    Zustimmungen:
    0
    Hi,
    ich finde es trickreicher, die Dateien einer WP-Installation in einem separaten Ordner im Root unterzubringen. So muss ein eventueller Angreifer die Verzeichnisse erstmal finden.

    Siehe http://playground.ebiene.de/954/adminbereich-in-wordpress-schuetzen/ Punkt 1.

    Wenn man dann noch den Quelltext nach Pfadangaben, die das Installations-Verzeichnis verraten könnten, durchsucht (etwa Link zu CSS, Kommentarfunktion, Pingback ...) und diese ändert, sodass sie auf Root zeigen, sie aber per .htaccess auf das echte Installations-Verzeichnis umschreibt, dürfte WP eigentlich hinreichend abgesichert sein.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden