Wenn du mit dem CMS WordPress arbeitest, solltest du diesen Sicherheits-Tipp befolgen

WordPress ist weltweit das beliebteste und am häufigsten genutzte Content-Management-System (CMS). 43 % des Internets verwendet WordPress, vom Hobbyblog über Websites, Communities und Onlineshops bis zu den größten Nachrichten-Websites im Netz.

Oft gerät WordPress zu Unrecht wegen etwaiger Sicherheitslücken in die Kritik. Hältst du das CMS immer auf dem neuesten Stand, hast du nur äusserst selten schwerwiegende Sicherheitslücken zu befürchten.

Das Sicherheitsproblem bei WordPress wird vielmehr durch unsichere Plugins und Themes verursacht sowie durch eine fehlerhafte Verwendung von zusammenkopierten Code-Snippets, die in die functions.php des WordPress-Themes eingefügt werden.

Wenn du im Backend deines WordPress CMS Plugins verwendets, solltest du peinlichst darauf achten, dass diese Plugins nicht auf sicherheitsrelevante Konfigurationsdateien zugreifen können. Als Beispiel sei hier die .htaccess-Datei genannt.

.htaccess – Zutritt verboten!

Die .htaccess-Datei ist eine Art Türsteher für deine Website. Mit Hilfe der .htaccess-Datei kannst du beispielsweise Verzeichnisse oder einzelne Dateien vor unberechtigten Zugriffen schützen, Weiterleitungen für Benutzer und Besucher einrichten oder festlegen welche IP-Adressen auf deine Website zugreifen oder auch nicht zugreifen dürfen.

Wenn es um die Sicherheit deiner Seite geht ist die .htaccess-Datei ein sehr wichtiges und zugleich sensibles Element. Ohne gute Fachkenntnisse solltest du die .htaccess-Datei am Besten unberührt lassen.

Es gibt allerdings eine Reihe von kostenfreien, aber auch kostenpflichtigen Plugins und Themes, die im Backend über die Plugin- bzw. Theme-Optionen den Zugriff auf die .htaccess-Datei ermöglichen und sogar Änderungen an der .htaccess zulassen.

Das Plugin RankMath SEO bietet im WordPress-Backend die Möglichkeit, Änderungen an der .htaccess-Datei vorzunehmen. Anhand der rötlich hinterlegten Admin-Notiz bzw. -Benachrichtigung kannst du erkennen, dass dem Plugin der Zugriff verweigert wurde.

Ein Plugin, dass Zugriff auf die .htaccess-Datei gewährt und Änderungen an dieser Datei zulässt, stellt ein großes Sicherheitsrisiko für deine Website, deinen Blog oder deinen Shop dar. Ein Angreifer könnte mit dieser ihm geradezu auf dem Silbertablett präsentierten Sicherheitslücke ungebremst und spielerisch sein Unwesen auf deinem Webserver treiben.

Wenn du Plugins oder Themes verwendest, die im WordPress-Backend Änderungen an der .htaccess zulassen, solltest du mit Hilfe von entsprechenden Sicherheitsdirektiven und -konfigurationen auf dem Webserver dafür Sorge tragen, dass weder Plugins noch Themes Zugriff auf die .htaccess-Datei erhalten!