1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

wp-content kann von jedem eingesehen werden

Dieses Thema im Forum "Konfiguration" wurde erstellt von Bugmenicht, 3. Juli 2007.

  1. Bugmenicht

    Bugmenicht Gast

    Hallo!
    Bei meinem Wordpress Blog (2.2.1) kann jeder der will in meiner wp-content herum surfen und sich die Inhalte jeglicher Ordner anzeigen lassen. Nun ja, bei anderen Blogs ist das nicht so und letztens als ich mein Blog mit Hilfe des Wordpress Scanners nochmal gescannt habe, ist mir dies wieder aufgefallen. Nun, wie kann ich das Ganze so einstellen, dass sich den Ordner niemand anschauen kann, über CHMOD hat das bei mir irgendwie nicht geklappt. :confused:

    Vielen Dank im Voraus
     
    #1 Bugmenicht, 3. Juli 2007
  2. Iunius

    Iunius Well-Known Member

    Registriert seit:
    29. September 2006
    Beiträge:
    245
    Zustimmungen:
    1
    Hi,
    erstelle eine .htaccess in dem Verzeichnis mit folgendem Inhalt:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Gruß
     
    #2 Iunius, 3. Juli 2007
  3. Bugmenicht

    Bugmenicht Gast

    Leider funktioniert das nicht, da nun mein Theme nicht mehr geht und ich einfach nur noch den Text sehe. :(
     
    #3 Bugmenicht, 4. Juli 2007
  4. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.955
    Zustimmungen:
    47
    Eigentlich sollte dieses 'Options -Indexes' schon ausreichen, um zu verhindern, das der Inhalt aufgelistet wird. Bei mir steht übrigens im wp-content-Verzeichnis eine kleine index.php folgenden Inhalts:
    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Das verhindert ebenso das Auflisten, erzeugt aber keinen 403er Fehler.

    Alle Zugriffe auf PHP-Dateien zu verbieten, ist wohl keine so gute Idee.

    Gruß
    Ingo
     
    #4 Putzlowitsch, 4. Juli 2007
  5. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
    Mal 'ne andere Frage: Was ist so schlimm, wenn man's einsehen kann? Okay, man sieht, welche Plugins du nutzt...
     
    #5 jottlieb, 4. Juli 2007
  6. Bugmenicht

    Bugmenicht Gast

    zum beispiel könnte jemand durch die plugins sicherheitslücken herausfinden und so. außerdem bei jedem anderen blog ist es auch so das niemand was sehen kann. das mit dem silence is golden ;) ist umständlich da ich dann in jedes verzeichnis die datei einfügen müsste. :(
    hat jemand noch eine idee?
     
    #6 Bugmenicht, 4. Juli 2007
  7. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.955
    Zustimmungen:
    47
    Wie gesagt, in der .htaccess im Wurzelverzeichnis
    Options -Indexes
    eintragen. Das mit dem <Files *.php>...</Files> aber weglassen.

    Gruß
    Ingo
     
    #7 Putzlowitsch, 4. Juli 2007
  8. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
    Er sieht aber nur die Namen des Plugins anhand der Dateinamen. Den PHP-Code kann er sich nicht anschauen...
     
    #8 jottlieb, 4. Juli 2007
  9. Bugmenicht

    Bugmenicht Gast

    trotzdem könnte er sich aber selber die plugins runterladen und scannen :(

    @Putzlowitsch dann gibt es leider aber einen 500 Internal Server Error :(
     
    #9 Bugmenicht, 4. Juli 2007
  10. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
    Eben nicht. PHP wird immer ausgeführt, wenn die Datei auch nur irgendwie aufgerufen wird. Er kann also NICHT den Quellcode sehen, sondern nur das was, was die Datei ausgibt. Bei Einzelaufruf vermutlich nix (sinnvolles).
     
    #10 jottlieb, 4. Juli 2007
  11. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.955
    Zustimmungen:
    47
    Das bedeutet, das diese Option nicht unterstützt wird. Da mußt Du Dich an Deinen Webhoster wenden und in Erfahrung bringen, wie man das Directorylisting abschalten kann.
    Und so gab es keinen 500er? Komisch.

    Gruß
    Ingo
     
    #11 Putzlowitsch, 4. Juli 2007
  12. Karbrüggen

    Karbrüggen Well-Known Member

    Registriert seit:
    3. Dezember 2005
    Beiträge:
    160
    Zustimmungen:
    0
    Man könnte aber den Pluginnamen bei bspw. Google eingeben und so womöglich den Urheber dieses Plugins ausfindig machen. Wahrscheinlich hat der Urheber ja sogar eine eigene Seite in diesem Internet und stellt - man stelle sich das mal vor - das Plugin sogar für jedermann zum Download bereit...

    LG
    Dominik

    P.S.: ;)
     
    #12 Karbrüggen, 5. Juli 2007
  13. Bugmenicht

    Bugmenicht Gast

    zu karrbrüggen @ jottlieb genau das meinte ich mit herunterladen @ putzlowitsch funktioniert leider auch nicht, werde mich mal bei meinem hoster erkundigen
     
    #13 Bugmenicht, 5. Juli 2007
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden