Zugriffsrechte auf wichtige Dateien im WordPress-Verzeichnis ändern

Hast du gerade gehört oder gelesen, dass man zur Sicherheit die Dateiberechtigung oder den CHMOD-Zugriff der wichtigsten Dateien im WordPress-Verzeichnis ändern sollte, weißt aber nicht wie? Okay. Ich erkläre dir Schritt für Schritt, wie du die .htaccess und die wp-config.php gegen Angriffe von außen schützen kannst und was es dabei zu beachten gibt. Und weil die Vorweihnachtszeit voll im Gange ist, packe ich noch ein paar Sicherheitscodes für die .htaccess oben drauf.

Für die Umsetzung der nachfolgenden Anleitungen ist WordPress.org (nicht WordPress.com) erforderlich sowie eine gewisse Erfahrung im Umgang mit einem FTP-Programm (zum Beispiel FileZilla) bzw. beim Zugriff auf das WordPress-Verzeichnis über den Webhoster. Außerdem beziehen sich die Konfigurationen auf Apache-Server (was derzeit wohl auf die meisten Webserver zutrifft).

Warum brauchen WordPress-Dateien Zugriffsrechte?

WordPress-Dateien benötigen Zugriffsrechte (auch Dateiberechtigungen, Dateiattribute, Werte oder CHMOD genannt), damit sie einerseits vom Webserver deines Webhosting-Anbieters sowie von Plugins erkannt, eingelesen und entsprechende Befehle ausgeführt werden können (sprich: um deine Website ordnungsgemäß am Laufen zu halten).

Andererseits müssen Dateiberechtigungen eingeschränkt werden, damit unbefugte Dritte nicht auf deine WordPress-Installation samt Datenbank zugreifen können. Insbesondere der .htaccess-Datei wie auch der wp-config.php sollte der Zugriff durch Dritte weitestgehend untersagt werden.

Das kann man erreichen, indem man die jeweiligen „Dateiattribute“ ändert.

Hört sich kompliziert an, ist auch ein bestimmtes Grundwissen erforderlich. Hast du dich aber erst einmal bis zu meiner Anleitung vorgearbeitet, ist die Umsetzung ein Klacks. 😉

Los geht’s mit den Begriffserklärungen.

Dateiberechtigung / Dateiattribut / CHMOD

Wenn von Dateiberechtigung, Dateiattribut oder CHMOD die Rede ist, sind damit die Zugriffsrechte auf die Ordner und Dateien gemeint, die im WordPress-Verzeichnis gespeichert sind (bitte nicht verwechseln mit der WordPress-Datenbank oder dem Dashboard deiner WordPress-Website).

Das WordPress-Verzeichnis kannst du mit einem auf deinem Computer installierten FTP-Programm wie beispielsweise FileZilla aufrufen, alternativ nach dem Login in dem Account deines Webhosters über „FTP“, „WebFTP“ oder ähnliche Bezeichnungen finden.

CHMOD steht im Englischen für „Change Mode“. Dabei handelt es sich um ein Kommandozeilenprogramm, mit dem sich Unix-Dateirechte vergeben lassen. Obwohl WordPress-Websites überwiegend auf Linux-Servern laufen, ist die Unix-Dateirechte-Vergabe seit ihren Anfängen in den 1970er Jahren nicht mehr wegzudenken. Mit Unix-Dateirechten meine ich also Dateiberechtigungen des Linux-Betriebssystems auf dem (Apache-) Server des Webhosters. Apache ist die entsprechende Server-Software zum Ausliefern von Webseiten.

Änderst du eine Dateiberechtigung, wird sie demnach nicht nur auf deiner WordPress-Website, sondern im gesamten Stammverzeichnis des Webservers wirksam. Behalte daher im Hinterkopf:

Vergibst du falsche Zugriffsrechte, ist deine WordPress-Website eventuell nicht erreichbar, können Plugins vielleicht nicht mehr funktionieren oder Bilder nicht mehr hochgeladen werden. Aber keine Bange, ich erkläre dir, wie es geht und was du beachten solltest.

Welche Dateiberechtigungen gibt es in WordPress?

Die Berechtigungen von WordPress-Dateien sind in drei Bereiche unterteilt:

• Besitzer (Administrator)
• Gruppen (Abonnenten, Redakteure, Mitwirkende und andere Benutzerrollen)
• Öffentliche Berechtigungen (alle Internetnutzer:innen)

In jedem Bereich kannst du folgende Dateiattribute auswählen:

• Lesen (der Inhalt der Datei darf nur angezeigt werden)
• Schreiben (die Datei darf geändert werden)
• Ausführen (der Inhalt der Datei darf wie ein Programm bzw. ein Skript darf ausgeführt werden)

Dateiattribute kannst du auch numerisch vergeben (was ich empfehle, geht schneller und ist einfacher zu merken). Dabei bedeutet die

• erste Nummer: Zugriffsberechtigung des Besitzers.
• zweite Nummer: Zugriffsberechtigung, die Gruppen gewährt wird.
• dritte Nummer: Zugriffsberechtigung für das gesamte Internet (öffentliche Berechtigungen).

WordPress vergibt bei der Erstinstallation automatisch folgende Dateiattribute:

• alle Dateien: 644 (bzw. 0644)
• alle Ordner und Unterordner: 755 (bzw. 0755)

Das ist auch soweit okay. Der Wert 644 sagt jedoch aus, dass alle Dateien zwar nur vom Administrator der Website beschreibbar sind, aber von jedem lesbar.

Genau dort liegt das Sicherheitsrisiko: Wichtige Konfigurationsdateien wie die .htaccess und die wp-config.php, die empfindliche (Zugangs-) Daten enthalten, werden nach der Installation von WordPress in den Standardeinstellungen genauso behandelt wie etwa die robots.txt (deren Auslesen von außen in den meisten Fällen ausdrücklich gewollt ist). Ich bin ja kein Freund des Wörtchens „muss“, in diesem Fall ist es jedoch notwendig zu erwähnen:

Dieses Sicherheitsrisiko muss von dir umgehend nach der WordPress-Installation geschlossen werden, wenn noch nicht erfolgt, spätestens JETZT, nachdem du diesen Artikel gelesen hast!

Indem du die Dateiattribute änderst, kannst du verhindern, dass Cyberkriminelle bzw. bösartige Bots wichtige Sicherheitseinstellungen in der .htaccess-Datei aushebeln oder gar Zugriff auf deine WordPress-Datenbank (deren Login-Daten sich in der wp-config.php befinden) erlangen.

Bevor du dich ranmachst, erkläre ich dir, wo du die Dateien findest, welche Dateien im Hauptverzeichnis du jederzeit löschen kannst und welche Sicherheitscodes ich für die .htaccess empfehle, um deine WordPress-Website noch besser vor Angreifern zu schützen.

Wo findet man die .htaccess und wp-config.php?

Die Dateien .htaccess und wp-config.php liegen im Hauptverzeichnis von WordPress. Auf Deutsch: Sobald du dich mit einem FTP-Programm oder im Account deines Webhosters mit dem Server deiner WordPress-Website verbunden hast, findest du die beiden Dateien standardmäßig an erster Stelle in der Verzeichnisliste (eventuell musst du ein bisschen runterscrollen, um sie zu finden).

Hier eine Beispielvorschau des WordPress-Hauptverzeichnisses (die beiden Dateien .htaccess und wp-config.php habe ich mit einem roten Pfeil gekennzeichnet):

Bei der orange markierten Datei handelt es sich um die wp-config-sample.php. Eigentlich sollte man diese löschen (sobald die Datei wp-config.php fertig eingerichtet und im Hauptverzeichnis hochgeladen wurde, wovon ich ausgehe bei laufendem Betrieb deiner WordPress-Website). Andernfalls könnten Cyberkriminelle die wp-config-sample.php nutzen, um Schadsoftware einzuschleusen.

Das Gleiche gilt für die gelb markierten Dateien liesmich.html und readme.html. Diese Dateien beinhalten lediglich Informationen über die „berühmte 5-Minuten Installation“ von WordPress (in deutscher und englischer Fassung) und werden im laufenden Betrieb nicht benötigt.

Der Haken an der Sache:
Alle drei Dateien werden nach fast jedem WordPress-Update automatisch neu angelegt. Es würde also wenig bringen, sie zu löschen.

Besser gehst du zur Sicherheit wie im nächsten Abschnitt beschrieben vor (was ich dringend empfehle, falls noch nicht getan) – und zwar vor Änderung der Dateiattribute.

Hier kommt mein Vorweihnachtsgeschenk für dich.

WordPress-Sicherheitscodes in .htaccess einfügen

Sicherheitscodes in der .htaccess sind (bei Apache-Webservern) seit über 20 Jahren die wohl effektivsten Mittel, um Cyberangriffe und überhaupt den Zugriff von außen auf die wichtigsten WordPress-Dateien zu verhindern. Sie sind genauso wichtig wie die beschriebenen Zugriffsrechte per Dateiattribut. Das eine sollte nicht ohne das andere existieren. Gerade vor und während den Feiertagen nehmen Angriffsversuche immer enorm zu.

Damit du dich in den Tagen bis zum Neujahr und darüber hinaus nicht auch noch mit „kaputten“ oder gar „virenverseuchten“ Webseiten befassen musst, hier kommt die Lösung (natürlich ohne Garantie – Firewall-, Antispam-Plugins etc. sind ebenfalls notwendig -, aber von mir erfolgreich praxiserprobt und auf dem neuesten Stand der Kenntnisse).

TIPP vorweg: Wenn du nicht weißt, wie man Dateien im Hauptverzeichnis öffnet und Code einfügt, richte dich einfach nach der „Anleitung Sicherheitsschlüssel in wp-config.php anlegen“ und den Beispiel-Vorschauen in meinem Artikel WordPress Sicherheitsschlüssel nachträglich anlegen.

Alles klar? Dann kann’s losgehen.

Kopiere folgende Code-Zeilen und füge sie in die .htaccess-Datei ein (die im Hauptverzeichnis auf dem Webserver liegt), beginnend unter der Zeile „# END WordPress“, getrennt durch eine Leerzeile:

# protect readme.html
<files readme.html>
Order allow,deny
Deny from all
Satisfy all
</Files>

# protect liesmich.html
<Files liesmich.html>
Order allow,deny
Deny from all
Satisfy all
</Files>

# protect wp-config-sample.php
<Files wp-config-sample.php>
Order allow,deny
Deny from all
Satisfy all
</Files>

Und wenn du schon mal dabei bist, füge zum Schutz der wp-config.php und .htaccess folgende weiteren Code-Zeilen unten an in der .htaccess-Datei (nach einer Leerzeile):

# protect wp-config.php
<files wp-config.php>
Order allow,deny
Deny from all
Satisfy all
</files>

# protect .htaccess
<files ~ "^.*\.([Hh][Tt][Aa])">
Order allow,deny
Deny from all
Satisfy all
</files>

Alles eingefügt und gespeichert? Gut gemacht! 🙂 Mit diesen Code-Zeilen hast du schon einen großen Schritt in Richtung WordPress-Sicherheit geleistet.

Verbleibe in der Ansicht deines WordPress-Hauptverzeichnisses!

Denn um die wichtigsten WordPress-Dateien so richtig „abzuschotten“, solltest du ihnen nun entsprechend strenge Dateiberechtigungen zuweisen – das erklärte Ziel.

Hier kommt die Anleitung.

Ändere die Zugriffsrechte der .htaccess und wp-config.php

Standardmäßig vergibt WordPress den numerischen Wert „644“ als Dateiberechtigung. Das ist auch gut so, um die Neuinstallation durchzuführen. Sobald WordPress eingerichtet ist und bestimmte Sicherheitscodes, wie beispielsweise im obigen Abschnitt beschrieben, eingefügt wurden, sollte man allerdings zur Sicherheit die Zugriffsrechte bzw. Dateiattribute ändern.

Ich empfehle, die .htaccess auf den numerischen Wert „444“ einzustellen und die wp-config.php auf den Wert „440“.

Das geht so:

1. Notiere die aktuellen numerischen Werte der .htaccess und wp-config.php! Dieser Schritt ist sehr wichtig. Denn nur so kannst du die ursprünglichen Werte wieder einsetzen, falls nach der Änderung irgendetwas an deiner Website nicht funktionieren sollte (erfahrungsgemäß experimentiert man anfangs mit verschiedenen Werten, da kann man schnell den Überblick verlieren).
   Die aktuell eingestellten numerischen Werte findest du (im FTP-Programm FileZilla) in der Spalte „Berechtigungen“ (mit einer Null vorangestellt, zum Beispiel „0644“ oder „0755“).
2. Klicke mit der rechten Maustaste auf die .htaccess-Datei auf dem Webserver und anschließend auf „Dateiberechtigungen“ oder „Dateiattribute“. Jetzt öffnet sich ein kleines Fenster, in dem entweder durch Setzen eines Häkchens oder Eingabe einer Zahl Berechtigungen vergeben werden können.
3. Trage in das Feld „numerischer Wert“ die Ziffer 444 ein bzw. überschreibe die vorhandene Ziffer mit 444 (alternativ: 600).
4. Klicke auf den Button OK.
5. Bestätige die Änderung im eventuell erscheinenden weiteren Fenster mit Klick auf den Button JA. Jetzt schließt sich das Fenster und deine Änderung wurde gespeichert.
6. Wiederhole die Schritte 2 bis 5 mit der Datei wp-config.php und trage dort den numerischen Wert 440 (alternativ: 640) ein.

Das war’s. 🙂 Hier eine Beispiel-Vorschau aus dem FTP-Programm FileZilla, damit du nachvollziehen kannst, was ich meine:

Je nach Anforderungen der installierten Plugins und weiteren Sicherheitseinstellungen in WordPress können auch andere Dateiberechtigungen vorteilhaft sein. Sollten im Anschluss bestimmte Funktionen deiner Website beeinträchtigt sein, probiere einfach die von mir in Klammern mit „alternativ“ gekennzeichneten Werte aus.

Sollte die Website trotz mehrfacher Versuche mit den von mir angegebenen Werten nicht mehr erreichbar sein (wovon ich nicht ausgehe), setze die Dateiberechtigungen auf die ursprünglichen Werte zurück, die du notiert hast (aber maximal auf den Wert 640 – jeder Wert darüber stellt ein Sicherheitsrisiko für die .htaccess und wp-config.php dar).

Keine Bange, deine Inhalte gehen währenddessen nicht verloren. 

Einziger Nachteil:
Jedes Mal, wenn du Änderungen an den Inhalten (zum Beispiel Sicherheitscodes) der .htaccess oder wp-config.php direkt auf dem Webserver durchführen möchtest, musst du die Dateiberechtigung vorher auf „640“ ändern bzw. zurücksetzen. Ansonsten erscheint eine Fehlermeldung, dass die Änderung nicht durchgeführt werden kann. Nach der Änderung kann wieder auf „440“, „444“ oder eben auf den von dir gewählten Wert umgestellt werden.

Umfassende (englisch-sprachige) Informationen zur numerischen Vergabe von Dateiattributen findest du im Administrationshandbuch von WordPress; auch der Beitrag „WordPress File Permissions“ von WPHackedHelp könnte dir weiterhelfen.

Überprüfen und Sichern

Zuguterletzt überprüfe, ob alles an deiner WordPress-Website wie gewohnt funktioniert. Und zwar nicht nur von außen, sondern logge dich ruhig in deine WordPress-Website ein und achte auf Fehlermeldungen.

Ist alles in Ordnung, speichere die wp-config.php und die .htaccess-Datei auf deinem Computer (lade die Dateien vom Webserver herunter und speichere sie auf einer Festplatte, wo du sie schnell wiederfindest). Nutzt du FileZilla, klicke mit der rechten Maustaste auf die jeweilige Datei und anschließend im Auswahlmenü auf „Herunterladen“. Damit hast du die beiden wichtigsten WordPress-Dateien gesichert und kannst sie jederzeit ins Hauptverzeichnis zurückspielen, falls etwas schieflaufen sollte.

Hat alles auf Anhieb geklappt? Gratuliere! Ab sofort verfügt deine WordPress-Website über einen guten Basisschutz gegen Cyberangriffe. Weitere Sicherheitstipps findest du in meinen Extra-Tipps zum 2-jährigen Blog-Jubiläum. Die PDF-Datei stelle ich hinter einem Link auf meiner Jubiläumsseite zur Verfügung.

Nun denn wünsche ich dir Frohe Weihnachtsfeiertage  Mit meinem Blog ROCK DEINEN PC (und WP) mache ich nach den Feiertagen weiter und freue mich jederzeit über deinen Besuch!

Namira McLeod. Administratorin und Gründerin von ROCK DEINEN PC (und WP). Arbeit mit WordPress seit 2003, mit Windows und im Internet seit den 1990ern. Alle meine Tipps und Anleitungen sind praxiserprobt, damit du dein Vorhaben möglichst einfach und schnell umsetzen kannst. Helfen sie dir weiter, freue ich mich über einen Obolus. Solltest du andere Erfahrungen gemacht haben, freue ich mich über deinen Hinweis.

Windows schneller starten und aufräumen ohne Zusatzprogramm

WordPress Gutenberg und Blöcke vollständig deaktivieren

JPG in WebP umwandeln ohne Plugin ab WordPress 5.8

WebP Bilder in Windows anzeigen und öffnen

WordPress Passwort zurücksetzen ohne E-Mail oder Benutzername

IP-Adressen in Windows und Fritz!Box finden

Externe Links richtig verlinken in WordPress

Windows Bildschirmauflösung ändern für neuen Monitor

Hilfe bei WordPress-Absturz nach Plugin-Update

Windows-Computer piept? Batterie wechseln

Favicon, Touch-Icon in WordPress einfügen ohne Plugin

Von Windows geschützte Dateien löschen

Anker-Link in WordPress setzen ohne Plugin

Windows-Sicherheit: ratsame Einstellungen

WordPress Backup manuell machen ohne Plugin

Schriftarten richtig löschen in Windows 10

Schneller von WordPress abmelden ohne Login

Alte FritzBox als Repeater im Heimnetz nutzen

WordPress Sicherheitsschlüssel nachträglich anlegen

Windows 10 im abgesicherten Modus starten

Aktualisierungsdatum in WordPress-Beitrag anzeigen

Office ClickToRun deaktivieren oder Zeitplan einrichten

WordPress Papierkorb-Funktionen ändern

Gleiche Textinhalte mit Windows Datei-Explorer schneller finden

PHP-Version aktualisieren für WordPress

Windows Gerätetreiber deaktivieren statt löschen

WordPress Kategorien erstellen und beschreiben

Defekte Office-Datei wiederherstellen

Automatische Updates in WordPress, Plugins und Themes einrichten

Windows Standard-Speicherort für neue Inhalte ändern

Langes Netzwerkkabel statt langes Telefonkabel für stabiles Internet

Wenn die Tastatur im Windows-Bootvorgang nicht reagiert

„Danke für dein Vertrauen in WordPress“-Zeile im Backend ausblenden

Symbol automatisch an externe Links anfügen in WordPress

Windows 10 Taskleiste nutzen und einrichten

Wenn die Windows-Symbole in der Taskleiste verrückt spielen

Hunderte Links in einem Ruck in WordPress-Datenbank ändern

Bilder mit neuer Windows-Fotoanzeige öffnen und bearbeiten

Gelöst: Verbindungsproblem zu Webserver in FileZilla

Dateien in Windows verschlüsseln mit 7-Zip

Lange Links im Text umbrechen in WordPress

Laufwerksbuchstabe zuweisen oder ändern in Windows

Mit SSH/SFTP WordPress Datenübertrag sicherer machen

Webseiten schneller aufrufen in Windows, im Browser, mit KI

Desktop-Verknüpfung einer Microsoft Store-App erstellen

Eine statistische Seite als Homepage festlegen in WordPress

Windows Schnellstart deaktivieren und Störungen vermeiden

Festplatte (HDD/SSD) partitionieren in Windows im laufenden Betrieb

Browser immer direkt im Privatmodus starten

Das Jahr automatisch aktualisieren in WordPress (Copyright-Zeile)

Zertifikate in Windows installieren für mehr Sicherheit

WordPress-Seite mit Kommentaren in Kategorie verschieben

Fehlermeldung zu fTPM-Firmwareversion beheben in Windows