WordPress-Hardening: Maskierung von WP-Core mit .htaccess

Startseite » Artikel » WordPress-Hardening: Maskierung von WP-Core mit .htaccess

(Hardening Level: Harder & Paranoid!)

wp-content umbenennen mit der .htaccess Datei

WordPress zu maskieren kann je nach Aufbau und Funktion der Applikation von großer Bedeutung sein. Dies kann helfen, das Eindringen in das System etwas komplexer zu gestalten.

WP-Content Thems Ordner umbennen. Bitte beachte, dass dein_themes_ordner auf die eigenen Bedürfnisse angepasst werden muss.

<IfModule mod_rewrite.c> 
  RewriteEngine On 
  RewriteBase / 
  RewriteRule .* - [E=HTTP_MOD_REWRITE:On]
# WordPress wp-content zu template. Bitte Zeile anpassen !
  RewriteRule ^template/(.+) /wp-content/themes/dein_themes_ordner/$1 [L,QSA]
</IfModule> 

wp-includes Das Herz oder die Niere von WordPress?

# WordPress wp-Includes umschreiben (maskieren)
<IfModule mod_rewrite.c> 
  RewriteEngine On 
  RewriteBase / 
  RewriteRule .* - [E=HTTP_MOD_REWRITE:On]
  RewriteRule ^deine_includes/(.+) /wp-includes/$1 [L,QSA]
</IfModule>
# Ende

Blockiere die Standard-URLs für wp-Includes für nicht angemeldete Benutzer.

Achtung! Einige Plug-ins die einen öffentlichen Zugriff auf den wp-Includes Ordner benötigen, müssen angepasst werden!

# WordPress wp-Includes blockieren
  RewriteCond %{ENV:REDIRECT_STATUS} ^$
  RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC]
  RewriteRule ^wp-includes(.*) /index.php?wph-throw-404 [L]
# Ende

alles zusammen gefasst, kann diese in die .htaccess Datein eingefügt werden.

# WordPress wp-Includes rewrite wordpress-webmaster.de
<IfModule mod_rewrite.c> 
  RewriteEngine On 
  RewriteBase / 
  RewriteRule .* - [E=HTTP_MOD_REWRITE:On]
  RewriteCond %{ENV:REDIRECT_STATUS} ^$
  RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC]
  RewriteRule ^wp-includes(.*) /index.php?wph-throw-404 [L]
  RewriteRule ^deine_includes/(.+) /wp-includes/$1 [L,QSA]
</IfModule>
# Ende

wp-content umbenennen sorgt dafür , das viele Scripte und Programme die Schadsoftware übertragen abgebremmst werden.

# WordPress wp-content rewrite wordpress-webmaster.de
<IfModule mod_rewrite.c> 
  RewriteEngine On 
  RewriteBase / 
  RewriteRule .* - [E=HTTP_MOD_REWRITE:On]
  RewriteRule ^deine_daten/(.+) /wp-content/$1 [L,QSA]
</IfModule> 
# Ende

und den öffentlichen Zugriff auf wp-content blockieren.

# WordPress wp-Content blockieren wordpress-webmaster.de
  RewriteCond %{ENV:REDIRECT_STATUS} ^$
  RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC]
  RewriteRule ^wp-content(.+) /index.php?wph-throw-404 [L]
# Ende

Zusammengefasst:

# WordPress wp-content rewrite - public block wordpress-webmaster.de
<IfModule mod_rewrite.c> 
  RewriteEngine On 
  RewriteBase / 
  RewriteRule .* - [E=HTTP_MOD_REWRITE:On]
  RewriteRule ^deine_daten/(.+) /wp-content/$1 [L,QSA]
  RewriteCond %{ENV:REDIRECT_STATUS} ^$
  RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC]
  RewriteRule ^wp-content(.+) /index.php?wph-throw-404 [L]
</IfModule> 
# Ende

wp-content /uploads umbenennen

# WordPress wp-content/uploads rewrite - wordpress-webmaster.de
<IfModule mod_rewrite.c> 
  RewriteEngine On 
  RewriteBase / 
  RewriteRule .* - [E=HTTP_MOD_REWRITE:On]
  RewriteRule ^deine_medien/(.+) /wp-content/uploads/$1 [L,QSA]
</IfModule> 
# Ende

Bitte die jeweiligen Schnipsel an die eigenen Bedürfnisse anpassen.

Autor: Volkan Sah