.htaccess – 5 einfache Tipps um deine webSite sicher zu machen
Die .htaccess Datei (kurz für „Hypertext-Zugriff“) im Verzeichnis deiner webSite ist eine Konfigurationsdatei welche du verwenden kannst, um die Einstellungen auf deinem webServer zu überschreiben und anzupassen. Mit den richtigen Befehlen kannst du zusätzliche Funktionen und Features aktivieren oder deaktivieren, um deine webSite von rafinierten Hackern, blöden Spammern und vor anderen Bedrohungen zu schützen.
Einige dieser Features sind Grundeinstellungen, andere um zum Beispiel den Zugriff von außerhalb auf bestimmte Dateien zu sperren oder um zum Beispiel Bildverlinkungen zu verhindern.
In diesem Artikel zeige ich dir ein paar einfache Änderungen, die du in deiner .htaccess-Datei machen kannst, um die Sicherheit deiner webSite zu erhöhen.
.htaccess Datei bearbeiten
Wenn du in WordPress Permalinks erlaubst oder veränderst, wird automatisch eine .htaccess Datei in das Root-Verzeichnis deiner webSite erstellt.
WordPress schreibt sich in die .htaccess Datei immer wie folgt: zwischen # BEGIN WordPress and # End WordPress.
Die #-Zeichen wirken sich nicht auf die Konfiguration aus.
.htaccess Dateien haben große Auswirkungen auf deine webSite und der geringste Syntaxfehler, wie zum Beispiel das vergessen eines „<“ Zeichens kann deine webSite versauen oder zusammenbrechen lassen. Es ist also sehr wichtig, ein Backup deiner .htaccess Datei zu machen, bevor du Änderungen daran vornimmst.
Manche Betriebssysteme lassen das erstellen einer .htaccess Datei nicht zu. Das kannst du aber ganz einfach umgehen indem du wie folgt vorgehst:
Mit dem Programm Editor oder einem ähnlichen Text-Editor erstellst du deine Konfigurationsbefehle, speicherst die Datei als .txt Datei, lädst die Datei per FTP auf deine webSite und benennst die Datei in .htaccess um – Fertig.
Dieser Weg ist zudem eine gute Verfahrensweise, wenn deine webSite nach der Änderungen an der .htaccess Datei nicht richtig funktionieren sollte. So kannst du schnell wieder auf die frühere Version deiner .htaccess-Datei wechseln und alles läuft wieder.
Mit der .htaccess Datei die wp-config.php Datei schützen
Eine der wichtigsten Dateien in deiner WordPress-Installation ist die Datei wp-config.php.
Diese Datei liegt im Stammverzeichnis deiner WordPress-Installation und enthält Basiskonfigurationsdetails deiner webSite, wie deinen WordPress-Sicherheitsschlüssel und Informationen zur Verbindung mit deiner Datenbank. Diese Infos sind natürlich vertraulich und es wäre fatal, wenn andere Zugang zu diesen Infos hätten.
Du kannst und solltest deine wp-config.php Datei schützen, indem du den folgenden Code in deine .htaccess Datei schreibst:
<files wp-config.php> order allow,deny deny from all </files>
Verzeichnisdurchsuchung mit der .htaccess Datei verhindern
Eine sehr einfache Sache für mehr Sicherheit ist es, wenn du verhinderst, dass Fremde deine Verzeichnisse durchsuchen können. Ich denke zu Hause lässt du auch nicht einfach Fremde deine Schränke durchsuchen, oder?
Um das durchsuchen deiner Verzeichnisse zu deaktivieren brauchst du deiner .htaccess Datei nur folgendes hinzuzufügen:
„Hot–Linking“ von Bildern verhindern
Das sogenannte „Hot-Linking„ von deinen Bildern kann deine Bandbreite in die Knie zwingen. Um zu verhindern, dass Dateien und Bilder von dir auf anderen Servern eingebunden werden und unerlaubt dein Traffic von anderen Nutzern verbraucht wird, kannst du folgenden Code deiner .htaccess Datei zufügen:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?yourdomain.com/.*$ [NC]
RewriteRule .(gif|jpg)$ http://www.yoursite.com/hotlink.gif [R,L]
Dieser Code in deiner .htaccess Datei stoppt das „Hot-Linking“ von deiner webSite. Du musst natürlich yoursite.com auf deine Domain ändern und auch hotlink.gif muss auf deinem Server zu einer Bilddatei verlinken die das „Hot-Linking“ auf deiner webSite für deaktiviert erklärt.
Über die .htaccess Datei nur einen beschränkten Zugriff auf den Admin-Bereich zulassen
Es gibt verschiedene Möglichkeiten, wie du dein wp-admin Verzeichnis vor Hackern schützen kannst.
Eine der einfachsten Möglichkeiten ist es den Zugang zum Admin-Bereich auf ausgewählte IP-Adressen zu beschränken. Das ist aber nur zu empfehlen, wenn du auf das Internet selber immer mit einer festen IP-Adresse zugreifst. Wenn das der Fall ist, kannst du deiner .htaccess Datei folgenden Zusatz eintragen:
order deny,allow allow from 47.68.68.112 deny from all
Du musst die IP-Adresse selbstverständlich in deine eigene IP-Adresse ändern.
Wie deine IP-Adresse ist, kannst du hier sehen: utrace.de
Wenn du deine neue .htaccess-Datei gespeichert hast kannst nur du noch auf den Admin-Bereich deiner webSite zugreifen – alle anderen IP-Adressen werden blockiert. Du kannst natürlich weiterhin auf herkömmliche Art mit FTP auf deine Dateien zugreifen.
Wenn du anderen Administratoren in den Admin-Bereich deiner webSite Zugriff gewähren möchtest, oder auch selber z. B. von andere Orte Zugriff auf deine webSite haben möchtest, kannst du auch zusätzliche IP-Adresse hinzufügen. Du kannst das durch das hinzufügen zusätzlicher „allow from“ Zeilen oder der Auflistung weiterer IP-Adresse getrennt mit Kommas ermöglichen.
Die .htaccess Datei schützen
Jede Sicherung von Dateien auf deiner webSite macht keinen Sinn, wenn deine .htaccess Datei für Angreifer weiterhin „offen“ bzw. zugänglich ist. Mit der richtigen Einstellung der Dateiberechtigungen kannst du erreichen, dass wenn jemand versucht auf deine .htaccess Datei zuzugreifen, dein Server automatisch einen 403 Fehler generiert.
Erhöhe die Sicherheit, indem du den folgenden Code in deine .htaccess Datei einsetzt:
<Files .htaccess> order allow,deny deny from all </Files>
Zusammenfassung
Du hast gelernt wie du die Sicherheit deiner webSite erheblich mit einer .htaccess Datei erhöhen kannst. Gerne kannst du diesen Artikel mit dienen Freunden teilen.
Hast du weitere .htaccess Tipps, welche du webSite Betreibern empfehlen möchtest? Dann her damit – gerne kannst du die gleich hier unten mit uns teilen.
Artikelbild von: geralt