Der Schutz Ihrer WordPress-Website vor Hackern hat höchste Priorität. Eine wirksame Methode zur Verbesserung der Sicherheit auf unseren Websites besteht darin, die Ausführung von PHP in bestimmten Ordnern zu deaktivieren.
Hacker versuchen manchmal, schädliche Dateien hochzuladen, die in PHP-Code geschrieben sind. Wenn diese Dateien ausgeführt werden können, können sie die Sicherheit Ihrer Website gefährden.
Indem Sie die Ausführung von PHP-Code in bestimmten Verzeichnissen nicht zulassen, können Sie verhindern, dass diese schädlichen Dateien Schaden anrichten, selbst wenn sie auf Ihren Server hochgeladen werden.
Dieser Artikel zeigt Ihnen, wie Sie die Ausführung von PHP in WordPress deaktivieren können. Wir erklären, wie Sie die .htaccess-Datei verwenden, um diese Sicherheitsmaßnahme zu aktivieren und Ihre Website vor potenziellen Angriffen zu schützen.
Warum die PHP-Ausführung in bestimmten WordPress-Verzeichnissen deaktivieren?
Standardmäßig macht WordPress bestimmte Verzeichnisse beschreibbar, damit Sie und andere autorisierte Benutzer Ihrer Website problemlos Themes, Plugins, Bilder und Videos auf Ihre Website hochladen können.
Diese Fähigkeit kann jedoch missbraucht werden, wenn sie in die falschen Hände gerät, z. B. von Hackern, die damit Backdoor-Zugangsdateien oder Malware auf Ihre WordPress-Website hochladen können.
Diese bösartigen Dateien sind oft als WordPress-Kerndateien getarnt. Sie sind meist in PHP geschrieben und können im Hintergrund ausgeführt werden, um vollen Zugriff auf jeden Aspekt Ihrer Website zu erhalten.
Klingt beängstigend, oder?
Machen Sie sich keine Sorgen. Es gibt eine einfache Lösung für dieses Problem. Deaktivieren Sie einfach die Ausführung von PHP in bestimmten Verzeichnissen, in denen Sie es nicht benötigen. Auf diese Weise werden keine PHP-Dateien in diesen Verzeichnissen ausgeführt.
Schauen wir uns an, wie man die Sicherheit von WordPress verbessern kann, indem man die Ausführung von PHP mit Hilfe der .htaccess-Datei deaktiviert.
Deaktivieren der PHP-Ausführung in bestimmten WordPress-Verzeichnissen mit der Datei .htaccess
Die meisten WordPress-Websites haben eine .htaccess-Datei im Stammverzeichnis.
Diese leistungsstarke Konfigurationsdatei wird verwendet, um den Verwaltungsbereich mit einem Passwort zu schützen, das Durchsuchen von Verzeichnissen zu deaktivieren, eine SEO-freundliche URL-Struktur zu erzeugen und vieles mehr.
Standardmäßig befindet sich die .htaccess-Datei im Root-Ordner Ihrer WordPress-Website, aber Sie können auch zusätzliche .htaccess-Dateien in Ihren inneren WordPress-Verzeichnissen erstellen und verwenden.
Um Ihre Website vor Backdoor-Zugriffsdateien zu schützen, müssen Sie eine .htaccess-Datei erstellen und sie in die Verzeichnisse /wp-includes und /wp-content/uploads Ihrer Website hochladen.
Erstellen Sie einfach eine neue Datei auf Ihrem Computer mit einem Texteditor wie Notepad unter Windows oder TextEdit unter Mac. Speichern Sie die Datei als .htaccess und fügen Sie den folgenden Codeschnipsel darin ein:
<Files *.php>
deny from all
</Files>
Speichern Sie nun die Datei auf Ihrem Computer.
Anschließend müssen Sie diese Datei in die Ordner /wp-includes und /wp-content/uploads auf Ihrem WordPress-Hosting-Server hochladen.
Sie können sie mit einem FTP-Client oder der Dateimanager-App im cPanel-Dashboard Ihres Hosting-Accounts hochladen.
Sobald die .htaccess-Datei mit dem oben genannten Code hinzugefügt wurde, werden alle PHP-Skripte in diesen Verzeichnissen nicht mehr ausgeführt.
Überprüfung auf Backdoors in WordPress mit Sucuri
Mit diesem .htaccess-Trick können Sie die Sicherheit Ihres WordPress-Systems erhöhen, aber eine WordPress-Website, die bereits gehackt wurde, lässt sich damit nicht reparieren.
Hintertüren sind raffiniert getarnt und können bereits im Verborgenen liegen.
Wenn Sie Ihre Website auf mögliche Hintertüren überprüfen möchten, müssen Sie Sucuri auf Ihrer Website aktivieren.
Sucuri ist das beste WordPress-Sicherheits-Plugin auf dem Markt. Es scannt Ihre Website auf mögliche Bedrohungen, verdächtigen Code, Malware und Schwachstellen.
Außerdem werden die meisten Hacking-Versuche wirksam daran gehindert, Ihre Website überhaupt zu erreichen, indem eine Firewall zwischen Ihrer Website und verdächtigem Datenverkehr eingerichtet wird.
Und das Wichtigste: Wenn Ihre WordPress-Website gehackt wird, wird sie für Sie bereinigt. Um mehr zu erfahren, können Sie unsere Sucuri-Bewertung lesen, da wir ihren Service seit Jahren nutzen.
Weitere Informationen finden Sie in unserem Leitfaden zum Auffinden und Beheben von Backdoors in einer gehackten WordPress-Website.
Expertenanleitungen zur Verbesserung der WordPress-Sicherheit
Wir hoffen, dass dieser Artikel Ihnen geholfen hat, zu lernen, wie Sie die Ausführung von PHP in bestimmten WordPress-Verzeichnissen deaktivieren können, um die Sicherheit Ihrer Website zu erhöhen. Vielleicht möchten Sie auch einige andere Sicherheitstechniken kennenlernen. Hier sind einige unserer besten Anleitungen zur Verbesserung der WordPress-Sicherheit:
- Der ultimative WordPress-Sicherheitsleitfaden (Schritt für Schritt)
- Durchführung eines WordPress-Sicherheitsaudits (vollständige Checkliste)
- So scannen Sie Ihre WordPress-Website nach potenziell bösartigem Code
- Die besten WordPress-Sicherheitsscanner zur Erkennung von Malware und Hacks
- Hinzufügen der Zwei-Faktor-Authentifizierung in WordPress (kostenlose Methode)
- Hinzufügen von Sicherheitsfragen zum WordPress-Anmeldebildschirm
- Was, Warum und Wie von WordPress-Sicherheitsschlüsseln
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
Jiří Vaněk
Thanks for these safety tips. I have created an htaccess file and will upload it to FTP. I have a website on my own server, so the question of security is entirely up to me. Thanks for the next step in making my WordPress a little more secure again.
Unarine Leo Netshifhefhe
I also have this alert on my Updraft plugin where backups are not happening can this be due to htaccess?
„Backup directory could not be created…
The folder exists, but your webserver does not have permission to write to it. You will need to consult with your web hosting provider to find out how to set permissions for a WordPress plugin to write to the directory. (wp-content/updraft)“
WPBeginner Support
That looks to be a file/folder permissions issue, you would want to reach out to your hosting provider and they can help, you can also take a look at our guide below:
https://www.wpbeginner.com/beginners-guide/how-to-fix-file-and-folder-permissions-error-in-wordpress/
Admin
Brian Prom
FYI: you have a typo in your code snippet for the .htaccess snippet.
Using your code snippet as is (without the closing /) breaks image loading.
WPBeginner Support
Thank you for pointing that out, our code should be fixed
Admin
Vitor Gonçlaves
I’ve found some .php files in the uploads folder created by plugins. Can I assume this won’t cause a problem, or do I have to analyse each plugin individually?
WPBeginner Support
If you reach out to your plugins they can let you know the specifics for those files.
Admin
nirbo
Thanks for the information
WPBeginner Support
You’re welcome
Admin
cliff denney
thank you very much
WPBeginner Support
You’re welcome
Admin
Suman Samanta
Great writing! You have a flair for informational writing. Your content has impressed me beyond words. I have a lot of admiration for your writing. Thank you for all your valuable input on this topic.
WPBeginner Support
Thank you, glad you enjoy our writing
Admin
Thato
Guys i think i have messed up my htaccess file, my website is completely not displaying images
WPBeginner Support
Hey Thato,
You can download your .htaccess file to your computer as a backup and then delete it from your website. Go to WordPress admin area Settings » Permalinks and click on the save changes button. This should regenerate your .htaccess file.
Admin
Shawn Rebelo
Do not do wp-content.
Do wp-content/uploads.
And this:
order allow,deny
deny from all
May very on servers.
Hardik
Does it affect the uploads file to upload on webpages?
I found that after uploading this htaccess file to the folder many of images from many posts are not displaying.
Chuck Cochems
Yeah, denying access to php files in the includes directory breaks the site because including actually obeys .htaccess restrictions.
But the restriction on the uploads directory is very smart, and this should be there .BY DEFAULT in the uploads directory, and there’s no good reason for it not to be present.
Stan
What’s the method for IIS servers?
Thanks,
KOnnie
ZOMG! can’t you just disable write access to /wp-includes folder?
Why fight with consequences when you can prevent the cause?
Jonathan Hodgson
Wouldn’t this stop wordpresss being able to update the files in core updates?
Jeff Wigal
You can also put this in your Apache virtualhost, which will accomplish the same thing:
Order allow,deny
Deny from all
anton
how to implement this code if we have combination of lower case and upper case on file extention for example on.php on my website its work but it s not working if the file named with.PHp ,.PHP .PhP or combination of them,the backdoor script still executed
Thank you
Timothée Moulin
You can put this in your .htaccess file
Order Deny,Allow
Deny from All
Shams
Hi Syed,
Thanks for such an informative post and in fact it provides a great solution for saving WordPress from hackers.
Vladimir
Hi!
I followed all your instructions in this article, but Its not working…
Thanks
Aurélien Debord
A so useful post with such good and quick tips.
Thanks
Ramon
I created an .htaccess file in the wp-includes folder. Site looked oke but my WYSIWYG editor in the admin pages wasn’t working. Had to remove the .htaccess file again. (WP 3.9.1)
Wes
I also found my wp-includes folder full of php files and I can’t see how using that .htaccess file in there wouldn’t break something. I did use it in the uploads dir.
Editorial Staff
It does break it sometimes (depending on the plugin you are using), but not all the time.
Admin
Red
forgive my bad english…
i followed all your instructions in this article, but when i go my dashboard to add a newpost, my post section was messed up. … i suspect the .htaccess was the problem.
when i deleted it, the post was fine.
Editorial Staff
Which directory did you upload the .htaccess file that caused this issue?
Admin
Chris
I added the .htaccess file to my wp-includes and didn’t have any problems. Thanks a lot of the tips.
Brad
I tried this in my /wp-includes/ directory, which is full of php files. Of course I could no longer access the site. Did you really mean to include the includes directory for use with the .htaccess file?
Did you maybe mean /wp-includes/images ?
Editorial Staff
Nope. We meant /wp-includes/ folder. We have this on our wp-includes folder. If for some reason it is breaking your site, then delete the .htaccess file from your wp-includes folder.
Admin
Brad
Strange, my wp-includes folder has over 90 php files in it. And it does break the site. I took it back out immediately.
But I did put it in the /wp-content/uploads/ folder and its works just fine there. Thanks for responding
Alfred
Putting an htaccess file denying access to php files in a directory full of php files does seem rather odd. I assume it’s because these files are normally only included, not executed directly. If that’s true, wouldn’t it be better to just deny access to the entire directory?