it-swarm.com.de

Sichern meiner WordPress-Dateien und -Verzeichnisse

Ich bin neu in WordPress und hoste es sicher auf Amazon EC2. Meine Frage ist, wie sichere ich meine WordPress-Dateien und -Verzeichnisse richtig?

Meine Dateiberechtigungen sind auf 644 und meine Verzeichnisse auf 755 festgelegt.

[[email protected] my_sub_directory]$ ls -l
total 160
-rw-r--r-- 1 ftpuser 65534   395 Jan  8  2012 index.php
-rw-r--r-- 1 ftpuser 65534 19929 May  6  2012 license.txt
-rw-r--r-- 1 ftpuser 65534  9177 Jun 21 17:26 readme.html
-rw-r--r-- 1 ftpuser 65534  4663 Nov 17  2012 wp-activate.php
drwxr-xr-x 9 ftpuser 65534  4096 Jul 23 23:12 wp-admin
-rw-r--r-- 1 ftpuser 65534   271 Jan  8  2012 wp-blog-header.php
-rw-r--r-- 1 ftpuser 65534  3522 Apr 10  2012 wp-comments-post.php
-rw-r--r-- 1 ftpuser root   3596 Jul 23 20:27 wp-config.php
drwxr-xr-x 5 ftpuser 65534  4096 Jul 23 17:44 wp-content
-rw-r--r-- 1 ftpuser 65534  2718 Sep 23  2012 wp-cron.php
drwxr-xr-x 9 ftpuser 65534  4096 Jun 21 19:39 wp-includes
-rw-r--r-- 1 ftpuser 65534  1997 Oct 23  2010 wp-links-opml.php
-rw-r--r-- 1 ftpuser 65534  2408 Oct 26  2012 wp-load.php
-rw-r--r-- 1 ftpuser 65534 29217 Jun 21 03:02 wp-login.php
-rw-r--r-- 1 ftpuser 65534  7723 Sep 25  2012 wp-mail.php
-rw-r--r-- 1 ftpuser 65534  9899 Nov 22  2012 wp-settings.php
-rw-r--r-- 1 ftpuser 65534 18219 Sep 11  2012 wp-signup.php
-rw-r--r-- 1 ftpuser 65534  3700 Jan  8  2012 wp-trackback.php
-rw-r--r-- 1 ftpuser 65534  2719 Sep 11  2012 xmlrpc.php

Meine .htaccess-Datei versucht, die wp-config.php-Datei weiter zu schützen

# PROTECT WP-CONFIG
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>

Wenn ich versuche, vom Browser aus auf meine wp-config.php-Datei zuzugreifen, geschieht Folgendes:

http://ec2-xx-xx-xxx-xx.compute-1.amazonaws.com/my_sub_directory/wp-config.php

Ich erhalte diesen Fehler:

Verboten

Sie haben auf diesem Server keine Berechtigung, auf /my_sub_directory/wp-config.php zuzugreifen.

Wenn ich jedoch auf eine andere Datei in meinem Verzeichnis zugreife, lautet der wp-cron.php beispielsweise folgendermaßen:

http://ec2-xx-xx-xxx-xx.compute-1.amazonaws.com/my_sub_directory/wp-cron.php

Ich bekomme eine leere weiße Seite. Ich denke, das kann nicht sicher sein.

Meine Frage ist also, wie sichere ich die folgenden Dateien richtig?

[[email protected] my_sub_directory]$ ls -a
.            wp-activate.php       wp-cron.php        wp-settings.php
..           wp-admin              wp-includes        wp-signup.php
.htaccess    wp-blog-header.php    wp-links-opml.php  wp-trackback.php
index.php    wp-comments-post.php  wp-load.php        xmlrpc.php
license.txt  wp-config.php         wp-login.php
readme.html  wp-content            wp-mail.php
2
Anthony

Warum solltest du sie alle beschützen wollen? Meiner bescheidenen Meinung nach brauchen nicht alle Schutz.

In jedem Fall sind diese in Ihrer .htaccess -Datei gut zu haben:

1: Zugriff auf wp-config.php einschränken

<Files wp-config.php>
    order allow, deny
    deny from all
</Files>

2: Zugriff auf .htaccess selbst einschränken

<Files .htaccess>
   order allow,deny
   deny from all
</Files>

3: Setzen Sie einen Passwortschutz auf Ihren wp-login.php

<FilesMatch "wp-login.php">
    AuthType Basic
    AuthName "Who are you?"
    AuthUserFile "/path/to/passwd"
    require valid-user
</FilesMatch>
2
montrealist