In diesem Einsteigerguide stelle ich ihnen die .htaccess-Datei vor und erkläre ihnen, wie Sie funktioniert. Ich werde ihnen auch einige nützliche Sicherheitsoptimierungen vorstellen, die Sie einfach selbst umsetzen können.

Die Sicherheit ihrer Website sollte für jeden Admin oberste Priorität haben. WordPress ist eine sichere Plattform, aber das bedeutet nicht, dass sie unempfindlich gegen Angriffe ist. Glücklicherweise können sie, selbst wenn Sie kein Sicherheitsexperte sind, eine Datei mit der Bezeichnung .htaccess verwenden, um die Sicherheitsrichtlinien ihrer Website zu schützen.

.htaccess ist eine Konfigurationsdatei für den Apache-Webserver, der viele WordPress-Webseiten bedient. Es ist ein leistungsstarkes Tool, das ihnen hilft, ihnen durch kleine Änderungen am Code, ihre Website zu schützen und ihre Leistung zu steigern. Indem Sie diese eine Datei bearbeiten, können Sie Benutzer sperren, Weiterleitungen erstellen, Angriffe verhindern und sogar den Zugriff auf bestimmte Teile ihrer Website verweigern.

Eine Einführung in die .htaccess-Datei

Der Name der .htaccess-Datei steht für „HyperText Access“. Es ist eine Konfigurationsdatei, die bestimmt, wie Apache-basierte Server mit ihrer Website interagieren. Vereinfacht gesagt, steuert .htaccess, wie auf Dateien in einem Verzeichnis zugegriffen werden kann. Sie können es sich als einen Wächter für ihre Website vorstellen, da es entscheidet, wen Sie einlassen und was sie tun dürfen.

Standardmäßig ist eine .htaccess-Datei in ihrer WordPress-Installation enthalten. Der Hauptzweck der .htaccess-Datei ist es, die Sicherheit und Leistung zu verbessern und die Einstellungen ihres Webservers zu überschreiben.

Sie finden ihre .htaccess-Datei höchstwahrscheinlich im Stammverzeichnis ihrer Website. Da .htaccess sowohl für sein eigenes Verzeichnis als auch für alle Unterverzeichnisse innerhalb dieses Hauptordners gilt, wirkt es sich auf ihre gesamte WordPress-Website aus. Es ist auch erwähnenswert, dass die .htaccess-Datei keine Datenerweiterung hat. Der Zeitraum am Anfang ist einfach, um sicherzustellen, dass die Datei verborgen bleibt.

So bearbeiten Sie ihre WordPress .htaccess-Datei

Die Bearbeitung der .htaccess-Datei ist in der Praxis so einfach wie die Bearbeitung jeder anderen Textdatei. Da es sich jedoch um eine Kerndatei handelt, können Änderungen daran unbeabsichtigte Folgen haben. Aus diesem Grund ist es äußerst wichtig, dass Sie ihre Website sichern, bevor Sie beginnen, unabhängig davon, ob Sie ein Anfänger oder ein erfahrener Entwickler sind.

Wenn Sie bereit sind, ihre .htaccess-Datei zu bearbeiten, können Sie über SFTP oder SSH darauf zugreifen. Sie finden es im Stammverzeichnis ihrer Website.

Es ist wichtig, dass Sie nichts zwischen den Tags #BEGIN und #END hinzufügen oder ändern. Stattdessen sollte der gesamte neue Code nach diesem Block hinzugefügt werden.

An dieser Stelle müssen Sie nur noch ihren Code hinzufügen und die Datei speichern. Wenn Sie mehrere neue Funktionen hinzufügen, ist es am besten, jede einzelne zu speichern und zu testen. Wenn ein Fehler auftritt, wird es viel einfacher, die Ursache des Problems zu beheben.

Während fast alle WordPress-Installationen bereits eine .htaccess-Datei enthalten, kann es in manchen Fällen notwendig sein, eine solche zu erstellen. Sie können dies mit einem Texteditor ihrer Wahl tun, sofern Sie ihn unter dem richtigen Dateinnamen speichern: .htaccess ohne Erweiterung. Es ist auch wichtig, dass Sie die Berechtigungseinstellungen der Datei korrekt konfigurieren. Sie können es dann in das Stammverzeichnis ihrer Website hochladen.

9 Dinge, die Sie mit ihrer WordPress .htaccess-Datei tun können.

Jetzt, da Sie mit der .htaccess-Datei vertraut sind, ist es an der Zeit, sich näher zu kommen. Wir werden eine Reihe von Möglichkeiten vorstellen, wie Sie die Sicherheit und Leistung ihrer Website durch die Bearbeitung dieser Datei erhöhen können. Verwenden Sie einfach die unten angegebenen Codeschnipsel und denken Sie daran, ein Backup zu erstellen, bevor Sie beginnen.

Zugriff auf Teile ihrer Website verweigern.

Eines der nützlichsten Dinge, die Sie mit .htaccess tun können, ist den Zugriff auf bestimmte Seiten und Dateien verweigern. Es gibt einige Dateien, die Sie aus Sicherheitsgründen auf diese Weise verstecken sollten, z.B. ihre Datei wp-config.php.

Sie können dies tun, indem Sie den folgenden Code hinzufügen, der einen 404-Fehler verursacht, wenn jemand versucht, die Datei anzuzeigen:

Copy to Clipboard

In Fällen, in denen sensible Daten versteckt werden sollen, kann es sinnvoll sein, den Zugriff auf dieses Verzeichnis einzuschränken. Da viele WordPress-Webseiten die gleiche Ordnerstruktur verwenden, kann dies ihre Website anfällig machen. Wenn Sie die folgenden Zeilen hinzufügen, wird die standardmäßige Verzeichnisauflistungsfunktion deaktiviert:

Copy to Clipboard

Dadurch wird verhindert, dass Benutzer und Roboter ihre Ordnerstruktur einsehen können. Wenn jemand versucht, darauf zuzugreifen, wird ihm stattdessen eine 403-Fehlerseite angezeigt.

Redirect und Rewrite Rules.

Das Erstellen von Redirects ermöglicht es ihnen, Benutzer automatisch an eine bestimmte Seite zu senden. Dies kann besonders nützlich sein, wenn eine Seite verschoben oder gelöscht wurde und Sie möchten, dass Benutzer, die versuchen, auf diese Seite zuzugreifen, woanders hingebracht werden. Sie können dies mit einem Plugin wie Redirection errreichen, aber es ist auch möglich, indem Sie die .htaccess-Datei bearbeiten.

Um einen Redirect zu erstellen, verwenden Sie den folgenden Code:

Copy to Clipboard

Du kannst wahrscheinlich sehen, was hier vor sich geht. Der erste Teil ist der Pfad zur alten Datei, während der zweite Teil die URL ist, zu der die Besucher weitergeleitet werden sollen.

Erzwingen Sie das sichere Laden ihrer Website mit HTTPS.

Wenn Sie ein SSL-Zertifikat zu ihrer Domain hinzugefügt haben, z.B. das kostenlose Let`s Encrypt-Zertifikat von DreamHost, ist es eine gute Idee, ihre Website mit HTTPS zu laden. Dadurch wird sichergestellt, dass ihre Website sowohl für Sie als auch für ihre Besucher sicherer ist,

Sie können dies erreichen, indem Sie den folgenden Code hinzufügen:

Copy to Clipboard

Ihre Website wird nun automatisch alle HTTP-Anfragen umleiten und sie anweisen, stattdessen HTTPS zu verwenden. Wenn ein Benutzer beispielsweise versucht, auf http://www.beispiel.com zuzugreifen, wird er automatisch zu https://beispiel.com weitergeleitet.

Caching-Einstellungen ändern.

Browser-Caching ist ein Prozess, bei dem bestimmte Website-Dateien vorübergehend auf dem lokalen Gerät eines Besuchers gespeichert werden, damit die Seiten schneller geladen werden können. Mit .htaccess können Sie die Zeitspanne ändern, die ihre Dateien im Browser-Cache gespeichert werden, bis sie mit neuen Versionen aktualisiert werden.

Es gibt verschiedene Möglichkeiten dies zu tun, aber für dieses Beispiel verwenden wir eine Funktion namens mod_headers. Der folgende Code ändert die maximale Caching-Zeit für alle JPEG-, PNG und Gif-Dateien.

Copy to Clipboard

Wir haben die maximale Zeit auf 2592000 Sekunden eingestellt, was 30 Tagen entspricht. Sie können diesen Betrag sowie die betroffenen Datenerweiterungen ändern. Wenn Sie verschiedene Einstellungen für verschiedene Erweiterungen hinzufügen möchten, fügen Sie einfach weitere mod_header-Funktionen hinzu.

Verhindern bestimmter Skript-Injektionsangriffe.

Script Injection (oder `Code Injection`) Angriffe sind Versuche, die Ausführung einer Website oder Anwendung durch Hinzufügen von ungültigem Code zu ändern. Zum Beispiel könnte jemand ein Skript zu einem Textfeld auf ihrer Website hinzufügen, was dazu führen könnte, dass ihre Website das Skript auch tatsächlich ausführt.

Sie können den folgenden Code hinzufügen, um sich gegen bestimmte Arten der Skriptinjektion zu schützen:

Copy to Clipboard

Ihre Website sollte nun in der Lage sein, Skript-Injektionsversuche zu erkennen und zu stoppen und den Täter auf ihre index.php-Seite umzuleiten.

Es ist jedoch wichtig zu beachten, dass dieses Beispiel nicht vor allen Arten von Injektionsangriffen schützt. Obwohl dieser spezielle Code sicherlich nützlich sein kann, sollten Sie ihn nicht als ihren einzigen Schutz gegen diese Art von Angriffen verwenden.

Stoppen von Angriffen auf die Aufzählung von Benutzernamen.

Die Aufzählung des Benutzernamens ist ein Prozess, bei dem die Usernamen von ihrer Website geerntet werden, indem man sich die Autorenseite jedes Benutzers ansieht. Das ist besonders problematisch, wenn es jemandem gelingt, ihre Admin-Benutzernamen und finden, was den Zugriff von Bots auf ihre Seite erheblich erleichtert.

Sie können helfen, die Aufzählung von Benutzernamen zu verhindern, indem Sie den folgenden Code hinzufügen:

Copy to Clipboard

Dadurch werden bestimmte Versuche, Benutzernamen aufzuzählen, gestoppt und stattdessen eine 403-Fehlerseite ausgegeben. Beachten Sie, dass dies nicht alle Aufzählungen verhindert und Sie sollten ihre Sicherheit gründlich testen. Wir empfehlen ihnen auch, ihre Login-Seite weiter zu stärken, indem Sie die Multifaktor-Authentifizierung implementieren.

Verhindern von Image-Hotlinking.

Image-Hotlinking ist ein häufiges Problem und tritt auf, wenn Bilder auf ihrem Server auf einer anderen Seite angezeigt werden. Sie können dies stoppen, indem Sie den folgenden Code zu .htaccess hinzufügen:

Copy to Clipboard

Ersetzen Sie beispiel.com durch ihre eigene Domain und dieser Code verhindert das Laden von Bildern auf allen anderen Seiten. Stattdessen wird das Bild, das Sie in der letzten Zeile angeben, geladen. Sie können dies verwenden, um ein alternatives Bild an Websites zu senden, die versuchen, Bilder von ihrem Server anzuzeigen.

Beachten Sie, dass dies zu Problemen führen kann, wenn Sie möchten, dass Bilder extern angezeigt werden z.B. in Suchmaschinen. Sie können auch die Verknüpfung mit einem Skript anstelle eines statischen Bildes in Betracht ziehen und dann mit einem Wasserzeichen oder einem Bild, das eine Anzeige enthält, antworten.

Kontrollieren Sie ihre Dateierweiterungen.

Mit .htaccess können Sie steuern, wie Dateien mit verschiedenen Erweiterungen von ihrer Website geladen werden. Es gibt eine Menge, was Sie mit dieser Funktion tun können, wie z.B. das Ausführen von Dateien wie PHP, aber wir werden uns jetzt nur ein einfaches Beispiel ansehen.

Der folgende Code entfernt die Dateierweiterung aus PHP-Dateien, wenn sie geladen werden. Sie können dies mit jedem Dateityp verwenden, solange Sie alle Instanzen von PHP durch die gewünschte Erweiterung ersetzen:

Copy to Clipboard

Dadurch werden alle PHP-Dateien geladen, ohne ihre Erweiterung in der URL anzuzeigen. Zum Beispiel wird die Datei index.php nur als Index angezeigt.

Dateien zum Download erzwingen.

Wenn eine Datei auf ihrer Website angefordert wird, wird Sie standardmäßig im Browser angezeigt. Wenn Sie beispielsweise eine Audiodatei hosten, wird sie im Browser abgespielt und nicht auf dem Computer des Besuchers gespeichert.

Sie können dies ändern, indem Sie die Seite dazu zwingen, die Datei herunterzuladen. Dies kann mit dem folgenden Code geschehen:

Copy to Clipboard

In diesem Beispiel haben wir mp3-Dateien verwendet, aber Sie könenn die gleiche Funktion für txt, mov oder jede andere relevante Erweiterung verwenden.

Schlußfolgerung.

Die .htaccess-Datei bietet viel Flexibilität, um das Verhalten ihres Webservers zu steuern. Sie können es auch verwenden, um die Leistung ihrer Website zu steigern und mehr Kontrolle darüber zu erhalten, wer genau auf welche Informationen zugreifen kann.