1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Ordnerstruktur in WP, mehrere index.php und htaccess

Dieses Thema im Forum "Allgemeines" wurde erstellt von Autor33, 19. Juni 2020.

  1. Autor33

    Autor33 Well-Known Member

    Registriert seit:
    29. Mai 2010
    Beiträge:
    273
    Zustimmungen:
    0
    Hallo,
    ist es normal, dass eine "index.php" und "htaccess" in Unterordnern wie dem von "UpdraftPlus" oder "Themes" oder in "wp-content" sind? Siehe screenshots.

    In der index steht
    <?php
    // Silence is golden.

    In der htaccess
    deny from all
     

    Anhänge:

  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    7.642
    Zustimmungen:
    794
    Lade ein frisches WordPress Archiv herunter, dann kannst Du abgleichen, welche Dateien mit welchem Inhalt standardmässig wo sind.

    Ergänzung: Viele Trojaner verstecken sich u.a. auch in diesen standardmässig vorhandenen index.php Dateien, das erkennt man an der dann abweichenden Grösse der Datei und natürlich auch am Inhalt.

    Eine solche .htaccess wird von WordPress selbst nirgends genutzt, vom Updraft Plugin vermutlich für seine eigenen Ordner.
     
    #2 b3317133, 19. Juni 2020
    Zuletzt bearbeitet: 19. Juni 2020
  3. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.986
    Zustimmungen:
    126
    ja

    Verhindert, dass der WebServer eine Inhaltsangabe des verzeichnisses erzeugt sondern eine helle Seite anzeigt

    https://exmaple/wp-content/

    [/QUOTE]

    ist veraltet und funktioniert nur bei alten Apache WebServern.

    damit soll verhindert werden, dass man PHP Scripte per URL aufrufen kann

    Beispiel Hacker legt sich beispiel.php in das Verzeischnis und ruft auf

    https://exmaple/wp-content/beispiel.php
     
  4. Autor33

    Autor33 Well-Known Member

    Registriert seit:
    29. Mai 2010
    Beiträge:
    273
    Zustimmungen:
    0
    Alles klar, dank euch.

    Und ich dachte, "Silence is golden" ist eine Veräppelung vom Hacker, denn diese Dateien waren schon letzte Woche dort drin.

    Hätte aber auch ohne Hacking und bei einem ganz neuen WP mit diesen beiden Dateien in vielen Unterordnern nichts anzufangen gewusst und mich gewundert.
    Ich kannte die immer nur vom Hauptverzeichnis.

    "Lade ein frisches WordPress Archiv herunter, dann kannst Du abgleichen, welche Dateien mit welchem Inhalt standardmässig wo sind."

    Für das hacking braucht es das nicht mehr, aber ich habe es vor einigen Tagen mal probiert und das hätte wohl Ewigkeiten gedauert, ist dann irgendwann plötzlich stecken geblieben. Habe dann gegoogelt nach den Standardpfaden und so, aber immer nur Teile gefunden.

    "Ergänzung: Viele Trojaner verstecken sich u.a. auch in diesen standardmässig vorhandenen index.php Dateien, das erkennt man an der dann abweichenden Grösse der Datei und natürlich auch am Inhalt."

    Das war bei mir auch so. Offenbar ein Backdoor-Trojaner, der durch eine Sicherheitslücke eines Editors im Theme reinkam. Kleiner Trost ist, dass es zumindest nicht an etwas lag, was ich in der Hand und mich darum gekümmert habe (Plugins, Passwort ect.).

    Schon erschreckend, ich meine, wirklich erschreckend, wenn du dein Herzblut in nicht nur primär kommerzielle Sites und sehr viel Zeit legst und alles aus deiner Sicht Erdenkliche tust, um auch der Sicherheit genüge zu tun und dann passiert es trotzdem.

    Eine Erfahrung, die mich lehrt, zukünftig etwas für den Fall zu tun, dass eine Infizierung geschehen ist, also dass das sofort entdeckt wird. Denn wirklich sicher vermeiden kann man es nicht, auch bei aller guter Absicht und Bewusstheit nicht. Selbst dann, wenn ich mir demnächst gleich zwei Sicherheitsplugins zulege.
    Sogar UpdraftPlus und Duplicator sind schon Mal Risiken gewesen und sogar Sicherheitsplugins selbst! Was soll man da noch sagen...
     
    #4 Autor33, 19. Juni 2020
    Zuletzt bearbeitet: 19. Juni 2020
  5. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    7.642
    Zustimmungen:
    794
    Hinweis am Rande für Mitleser: Wenn man diese .htaccess direkt in den /wp-content/ Ordner legt, wird der ganze Website danach sehr seltsam aussehen, da dadurch nicht nur PHP Scripte sondern jeglicher Inhalt aus dem Ordner selbst und aus allen Unterordnern, also z.B. hochgeladene Bilder und alle Styles und Scripts des Themes und der Plugins blockiert werden.
    Hierzu am Rande bemerkt, auch für Mitleser: Ein gleichzeitiger Betrieb verschiedener Sicherheitsplugins ist in WordPress nicht sinnvoll und führt mit relativ hoher Wahrscheinlichkeit später zu den unterschiedlichsten Problemen.
     
    #5 b3317133, 19. Juni 2020
    Zuletzt bearbeitet: 19. Juni 2020
  6. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.986
    Zustimmungen:
    126
    Wer mit so einem alten WebServer, auf dem diese .htaccess funktioniert - verwendet - ... hat es nicht anders verdient.
     
  7. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    7.642
    Zustimmungen:
    794
    Auch mit einer .htaccess mit entspr. Blockieranweisungen für den allerneusten Webserver wird sich der gleiche Effekt ergeben.
     
  8. Autor33

    Autor33 Well-Known Member

    Registriert seit:
    29. Mai 2010
    Beiträge:
    273
    Zustimmungen:
    0
    Soweit es mich betrifft, liegt die htaccess im Updraft-Ordner, nicht in wp-content und die index.php in den beiden anderen, siehe Eingangspost und die Beispiele.
    "Kopfschüttel".
     
  9. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    7.642
    Zustimmungen:
    794
    Im Eingangspost steht:
    Evtl. solltest Du Deine Fragen genauer formulieren.
     
  10. Autor33

    Autor33 Well-Known Member

    Registriert seit:
    29. Mai 2010
    Beiträge:
    273
    Zustimmungen:
    0
    Das "Kopfschüttel" war auf die Schadenfreude von r23 bezogen, das war missverständlich, weil nach deinem post, sorry.

    Ansonsten, es geht um die beiden genannten Dateien und die beiden Ordner, nur nicht "jeder in jedem". Die Schreenshots machen es dann aber deutlich. Würde man mit der falsch plazierten htaccess in wp-content dann gar nichts sehen, wäre die Frage diesbezüglich nach "kann das o.k. sein" überflüssig gewesen, denn dann hätte ich einen offensichtlichen Murks am Frontend gehabt.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden