Praxiswissen WordPress (O'Reilly Basics) - WordPress.com

die PHP-Seite über anonymen FTP zugänglich ist (was eigentlichnicht passieren sollte, aber Murphy ist überall) oder dass beimÄndern einer PHP-Datei eine Sicherungskopie mit abweichenderEndung gespeichert wurde. Dateien, die nicht auf .php enden, sondernz. B. auf .bak, werden aber vom Server nicht interpretiert, sondernebenfalls in Klartext ausgegeben.TippWer sich mit PHP auskennt, kann dieses Sicherheitsloch abfangen,indem er die Credentials in eine externe PHP-Datei auslagert,die von der PHP-Funktion require_once einmalig geladenwird und sich in einem durch .htaccess geschützten separatenVerzeichnis befindet. Mehr über require_once und weitere PHP-Funktionen erfahren Sie zum Beispiel im Buch PHP & MySQL vonKopf bis Fuß von Lynn Beighley und Michael Morrison (O’ReillyVerlag).wp-config.php schützen mit .htaccessWie wir eben gesehen haben, ist es wichtig, die Datei wp-config.phpzu schützen. Und das geht bereits mit verhältnismäßig einfachenMitteln, ohne dass Sie Teile der Datei auslagern müssen. Das Zauberwortheißt .htaccess. Dabei handelt es sich um eine Textdateiohne Endung, die sich auf Ihrem Webserver befindet und ein rechtmächtiges Instrument zur Zugriffskontrolle bietet. So können Siemit.htaccess das Durchsuchen von Verzeichnissen verhindern, denZugriff auf bestimmte User und/oder Usergruppen begrenzen, Weiterleitungsregelnfür Seitenzugriffe definieren oder auch den Zugriffauf bestimmte IP-Adressen beschränken oder bestimmte IP-Adressenoder Adressbereiche vom Zugriff ausschließen.Sie können übrigens jedes Verzeichnis mit einer eigenen .htaccess-Datei versehen, es muss also nicht eine einzige auf dem ganzen Systemsein. Diejenige, die für Permalinks und generelle Einstellungenbenötigt wird, muss sich allerdings im WWW-Hauptverzeichnis(wwwroot) Ihres Webspace befinden. Dieses Verzeichnis erkennen Siemeist daran, dass es im FTP-Client einen Namen mit »www« oder»html« trägt (beispielsweise /www/html) oder den gleichen Namenwie Ihre Domain hat. Im Zweifelsfall fragen Sie Ihren Provider.Häufig bieten Provider zumindest für das Schützen von VerzeichnissenFunktionen in der Administrationsoberfläche Ihres Webspace an.Sollte das nicht der Fall sein, können Sie die notwendigen Dateienaber auch mithilfe von Webtools wie http://www.htaccesstools.com/erstellen. Mit dem htpasswd-Generator (http://www.htaccesstools.com/htpasswd-generator/) erstellen Sie beispielsweise den gewünsch-232 Kapitel 9: Pflege und Sicherheit