17. Dezember 2008

Directory-Listing per htaccess unterbinden

Je mehr WordPress in den Focus der weltweiten Blog-Gemeinde rückt und im Einsatz ist, desto mehr wird es natürlich auch Angriffziel für Hacker. Eine mögliche Schwachstelle ist das Directory-Listing, das einem Hacker über den Browser Einblick in Dateien einer WordPress-Installation geben kann. Das zu unterbinden ist einfach.

Ist Directory Listing bei Dir möglich?

Bei vielen Internet-Providern ist das Directory-Listing bereits unterbunden, jedoch beileibe nicht bei allen. Um zu testen, ob es bei Dir möglich ist, gib beispielsweise folgendes in die Adresszeile des Browsers ein.

http://deine-url.de/wp-content/plugins

Ansicht Directory-Listing

Solltest Du dann eine Auflistung Deiner verwendeten Plugins sehen, würde ich weiterlesen.

Wo ist die Gefahr?

Wenn sich wie in der Abbildung oben auf so einfache Weise einen genauen Überblick über Dateien und in diesem Fall Plugins verschaffen kann, sind gezielte Angriffe auf mögliche Sicherheitslücken in Plugins möglich.

Und davon mal abgesehen hast Du vielleicht auch Dateien auf Deinem Server, die nicht die ganze Welt etwas angehen. Mit dem Directory-Listing kann man mit dem Browser gemütlich durch Deine Dateien stöbern. Schon gewusst?

Wie kann ich das unterbinden?

Die Auflistung von Dateien durch den Browser kann man ganz einfach mit ein paar Zeilen in der .htaccess unterbinden. Öffne dazu die .htaccess in Deinem Root-Verzeichnis und füge folgende Zeilen hinzu:

# Prevents directory listing
Options -Indexes

Unser aller Freund – der Hacker – bekommt dann folgendes Bild geboten.

Directory-Listing unterbunden

Fazit:

Du siehst, mit ein paar einfachen Schritten ist eine große mögliche Sicherheitslücke einer WordPress-Installation geschlossen. Es bedarf keiner fortgeschrittenen Kenntnisse, seine WordPress-Installation Schritt für Schritt sicherer zu machen.