Die perfekte .htaccess für dein WordPress sorgt für einen enormen Performanceschub und ein hohes Sicherheitslevel. Setze meine über 9 Jahre perfektionierte .htaccess Datei für dein WordPress-Tuning ein und freue dich über beste Ergebnisse!
Mehr als neun Jahre Erfahrung sind in meine perfekte .htaccess Datei eingeflossen und sie wurde von Jahr zu Jahr stets verbessert und überarbeitet. 2018 sind die Bereiche Hotlink Protection und der HTTP Schutz für den Adminbereich dazugekommen.
In 08 / 2019 habe ich die problematische 7G-Firewall auf die 2019er Version 6G zurückgenommen. Die 7G-Firewall läuft nun bei 95% aller Websites ohne Probleme. Zusätzlich kamen in 2019 noch die Bereiche „Blocking the »ReallyLongRequest« Bandit“ und der neue experimentelle Header EXPECT-CT dazu.
Letztes Update: 06.01.2021
- Dazugekommen: Aggressives Scannen nach Uploads-relevanten Zielen vereiteln – 27.08.2020
- Dazugekommen: der Strict Origin When Cross Origin Security Header – 10.08.2020
- Dazugekommen: Ultimate Hotlink Protection in 2018
- Dazugekommen: Adminbereich mit HTTP Schutz versehen in 2018
Aktualisiert 08 / 2019: 7G Firewall auf 6G Firewall @2019- Aktualisiert: Strict Transport Security Header mit korrektem »max-age« Eintrag – Update 25.07.2018
- Dazugekommen: Referrer-Policy Header am 05.06.2018
- Dazugekommen: Block Nuisance Requests
- Dazugekommen in 2019: Der Schutz gegen den »ReallyLongRequest« Bot
- Dazugekommen in 2019: Der experimentelle Security Header EXPECT-CT
- Update 02/2020: 6G Firewall auf 7G Firewall aktualisiert
- Update 01/2020: Cache-Laufzeit für Grafikformate und Fonts auf 1 Jahr erhöht
- Update 01/2021: 7G-Firewall auf Version 1.3 aktualisiert
Du magst dich vielleicht wundern, dass die Datei nicht gerade ein Leichtgewicht ist. Doch das Laden dieser Datei dauert nur einen Wimpernschlag. Der Effekt auf deine Website hingegen ist enorm. Ohne weitere Optimierungen wird dein WordPress schon deutlich schneller werden, weil alle wichtigen Bereiche komprimiert und gecacht werden.
Du kannst den Geschwindigkeitszuwachs testen.
Die perfekte .htaccess Datei teilt sich in 14 einzelne Bereiche auf:
- HTTP zu HTTPS Umleitung
- CORS aktivieren für bestimmte Dateitypen
- Block Nuisance Requests (Lästige Anfragen blocken) – aktualisiert 07/2019
- Dateien komprimieren und cachen – aktualisiert 01 / 2020
- Die 7G-Firewall von Jeff Starr gegen die Einschleusung von Schadcode – aktualisiert 02 / 2020
- Das 7G Addon gegen das aggressive Scannen von Upload-Dateien – Neu 08 / 2020
- Das Blocken von WordPress-Dateien gegen Zugriff von außen
- Hotlink Protection gegen das Verlinken Deiner Bilder auf anderen Websites – 2018
- Blocking the »ReallyLongRequest« Bandit – Neu in 2019
- Das Schützen des Adminbereichs mittels HTTP – 2018
- Das Blocken des Sicherheitsrisikos XML-RPC
- Der Referrer Header – 05.06.2018
- Die HTTP-Security-Header – aktualisiert 10.08.2020
- Die WordPress Standard-Regeln
Falls Du Probleme mit dem Einbau der .htaccess bekommst, die SEO Agentur Hamburg kann diesen Job kostenpflichtig für Dich erledigen.
Die perfekte .htaccess, die einzelnen Bereiche
1 – Garantierte HTTP zu HTTPS Umleitung
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>Dieser Code sorgt im Gegensatz zu anderen Schnipseln für eine garantierte Weiterleitung aller HTTP-Anfragen auf die HTTPS-Version. In der .htaccess ist dieser Bereich auskommentiert, wenn du den Code nutzen möchtest, entferne die Rauten vor den einzelnen Elementen. Falls es zu Problemen mit diesem Code kommt, existiert bereits irgendwo in Deiner Installation eine Umleitung von HTTP auf HTTPS.
Mehr zum Thema: Garantierte Weiterleitung von HTTP zu HTTPS
2 – CORS aktivieren für bestimmte Dateitypen
Was genau ist CORS?
Cross-Origin Resource Sharing (CORS) ist ein Mechanismus, der Webbrowsern oder auch anderen Webclients Cross-Origin-Requests ermöglicht. … CORS ist ein Kompromiss zugunsten größerer Flexibilität im Internet unter Berücksichtigung möglichst hoher Sicherheitsmaßnahmen.
CORS ist ein wichtiger Beitrag zu einer Sicherheitsstrategie in Verbindung mit einer Content Security Policy. Solltest Du diese Strategie einsetzen, dann ist dieser Teil bereits in meiner Datei enthalten.
<IfModule mod_headers.c>
<FilesMatch "\.(ttf|ttc|otf|eot|woff|woff2|font.css|css|js|gif|png|jpe?g|svg|svgz|ico|webp)$">
Header set Access-Control-Allow-Origin "*"
</FilesMatch>
</IfModule>
Eine Website umfasst vieles. Eine perfekte .htaccess gehört dazu.
3 – Block Nuisance Requests (lästige Anfragen blocken)
Manche Bots suchen sehr emsig nichtexistente Dateien auf Deinem Server / Webhosting und blockieren auf diese Weise die Ressourcen des Hostings. Der böswillige Datenverkehr spamt zudem die Fehlerprotokolle des Servers zu, sodass eigentliche Probleme durch diese Anfragen an nichtexistente Dateien kaum mehr gefunden werden.
Auf günstigen Shared-Hostings können diese Anfragen durchaus Deine Website in die Knie zwingen und sehr langsam machen. Daher: gleich blockieren.
# – --------------------------------------------------------------------
# | BLOCK NUISANCE REQUESTS - @Update 2019
# https://perishablepress.com/block-nuisance-requests
# – --------------------------------------------------------------------
<IfModule mod_alias.c>
RedirectMatch 403 (?i)\.php\.suspected
RedirectMatch 403 (?i)apple-app-site-association
RedirectMatch 403 (?i)/autodiscover/autodiscover.xml
</IfModule>4 – Dateien komprimieren und cachen
Update 01/2020 – Die Cache Regeln sind jetzt etwas effizienter.
Dieser Bereich ist der umfassendste. Doch jede einzelne Zeile Code ist für die Performance deiner Website wichtig. Jede Dateiart wird komprimiert an den Browser ausgeliefert und in diesem optimal in den Cache aufgenommen. Auch wenn du Plugins wie zum Beispiel Autoptimize und Cache Enabler einsetzt, muss dieser Abschnitt sein, denn er ergänzt diese Plugins für noch mehr Speed.
# Serve resources with far-future expires headers.
#
# (!) If you don't control versioning with filename-based
# cache busting, you should consider lowering the cache times
# to something like one week.
#
# https://httpd.apache.org/docs/current/mod/mod_expires.html
<IfModule mod_expires.c>
ExpiresActive on
ExpiresDefault "access plus 1 month"
# CSS
ExpiresByType text/css "access plus 1 year"
# Data interchange
ExpiresByType application/atom+xml "access plus 1 hour"
ExpiresByType application/rdf+xml "access plus 1 hour"
ExpiresByType application/rss+xml "access plus 1 hour"
ExpiresByType application/json "access plus 0 seconds"
ExpiresByType application/ld+json "access plus 0 seconds"
ExpiresByType application/schema+json "access plus 0 seconds"
ExpiresByType application/vnd.geo+json "access plus 0 seconds"
ExpiresByType application/xml "access plus 0 seconds"
ExpiresByType text/xml "access plus 0 seconds"
# Favicon (cannot be renamed!) and cursor images
ExpiresByType image/vnd.microsoft.icon "access plus 1 week"
ExpiresByType image/x-icon "access plus 1 week"
# HTML - Behält die Website eine Stunde im Cache, neues wird erst nach Ablauf einer Stunde
# angezeigt. Wenn nicht gewuenscht, bei 3600 eine Null eintragen
ExpiresByType text/html "access plus 0 seconds"
# JavaScript
ExpiresByType application/javascript "access plus 1 year"
ExpiresByType application/x-javascript "access plus 1 year"
ExpiresByType text/javascript "access plus 1 year"
# Manifest files
ExpiresByType application/manifest+json "access plus 1 week"
ExpiresByType application/x-web-app-manifest+json "access plus 0 seconds"
ExpiresByType text/cache-manifest "access plus 0 seconds"
# Media files
ExpiresByType audio/ogg "access plus 1 year"
ExpiresByType image/bmp "access plus 1 year"
ExpiresByType image/gif "access plus 1 year"
ExpiresByType image/jpeg "access plus 1 year"
ExpiresByType image/png "access plus 1 year"
ExpiresByType image/svg+xml "access plus 1 year"
ExpiresByType image/webp "access plus 1 year"
ExpiresByType video/mp4 "access plus 1 year"
ExpiresByType video/ogg "access plus 1 year"
ExpiresByType video/webm "access plus 1 year"
# Web fonts
# Embedded OpenType (EOT)
ExpiresByType application/vnd.ms-fontobject "access plus 1 year"
ExpiresByType font/eot "access plus 1 year"
# OpenType
ExpiresByType font/opentype "access plus 1 year"
# TrueType
ExpiresByType application/x-font-ttf "access plus 1 year"
# Web Open Font Format (WOFF) 1.0
ExpiresByType application/font-woff "access plus 1 year"
ExpiresByType application/x-font-woff "access plus 1 year"
ExpiresByType font/woff "access plus 1 year"
# Web Open Font Format (WOFF) 2.0
ExpiresByType application/font-woff2 "access plus 1 year"
# Other
ExpiresByType text/x-cross-domain-policy "access plus 1 week"
</IfModule>
<IfModule mod_deflate.c>
# Insert filters / compress text, html, javascript, css, xml:
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/xml
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/vtt
AddOutputFilterByType DEFLATE text/x-component
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/js
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/x-httpd-php
AddOutputFilterByType DEFLATE application/x-httpd-fastphp
AddOutputFilterByType DEFLATE application/atom+xml
AddOutputFilterByType DEFLATE application/json
AddOutputFilterByType DEFLATE application/ld+json
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/font-woff2
AddOutputFilterByType DEFLATE application/x-font-woff
AddOutputFilterByType DEFLATE application/x-web-app-manifest+json font/woff
AddOutputFilterByType DEFLATE font/woff
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
# Exception: Images
SetEnvIfNoCase REQUEST_URI \.(?:gif|jpg|jpeg|png|svg)$ no-gzip dont-vary
# Drop problematic browsers
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4\.0[678] no-gzip
BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html
# Make sure proxies don't deliver the wrong content
Header append Vary User-Agent env=!dont-vary
</IfModule>
#Alternative caching using Apache's "mod_headers", if it's installed.
#Caching of common files - ENABLED
<IfModule mod_headers.c>
<FilesMatch "\.(ico|pdf|flv|swf|js|css|gif|png|jpg|jpeg|txt|woff2|woff)$">
Header set Cache-Control "max-age=31536000, public"
</FilesMatch>
</IfModule>
<IfModule mod_headers.c>
<FilesMatch "\.(js|css|xml|gz)$">
Header append Vary Accept-Encoding
</FilesMatch>
</IfModule>
# Set Keep Alive Header
<IfModule mod_headers.c>
Header set Connection keep-alive
</IfModule>
# If your server don't support ETags deactivate with "None" (and remove header)
<IfModule mod_expires.c>
<IfModule mod_headers.c>
Header unset ETag
</IfModule>
FileETag None
</IfModule>
<IfModule mod_headers.c>
<FilesMatch ".(js|css|xml|gz|html|woff|woff2|ttf)$">
Header append Vary: Accept-Encoding
</FilesMatch>
</IfModule>5 – 7G-Firewall gegen die Einschleusung von Schadcode
Dieser Abschnitt sorgt für echte Sicherheit. Immer wieder weisen Plugins und Themes eklatante Sicherheitslücken auf, durch die man Schadcode in eine Website einschleusen könnte. Diese Firewall schiebt dem einen Riegel vor und blockt die gängigen Methoden der Einschleusung.
Wenn Dich die WordPress Sicherheit interessiert, dann schaue Dir diesen Artikel an: WordPress absichern wie ein Profi.
# – --------------------------------------------------------------------
# | 7G Firewall for Security - Do not change this part @Update 2020
# – --------------------------------------------------------------------
# 7G FIREWALL v1.3 20200903
# @ https://perishablepress.com/7g-firewall/
# 7G:[CORE]
ServerSignature Off
Options -Indexes
RewriteEngine On
RewriteBase /
# 7G:[QUERY STRING]
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} ([a-z0-9]{2000,}) [NC,OR]
RewriteCond %{QUERY_STRING} (/|%2f)(:|%3a)(/|%2f) [NC,OR]
RewriteCond %{QUERY_STRING} (/|%2f)(\*|%2a)(\*|%2a)(/|%2f) [NC,OR]
RewriteCond %{QUERY_STRING} (`|<|>|\^|\|\\|0x00|%00|%0d%0a) [NC,OR]
RewriteCond %{QUERY_STRING} (cmd|command)(=|%3d)(chdir|mkdir)(.*)(x20) [NC,OR]
RewriteCond %{QUERY_STRING} (ckfinder|fullclick|ckfinder|fckeditor) [NC,OR]
RewriteCond %{QUERY_STRING} (globals|mosconfig([a-z_]{1,22})|request)(=|\[) [NC,OR]
RewriteCond %{QUERY_STRING} (/|%2f)((wp-)?config)((\.|%2e)inc)?((\.|%2e)php) [NC,OR]
RewriteCond %{QUERY_STRING} (thumbs?(_editor|open)?|tim(thumbs?)?)((\.|%2e)php) [NC,OR]
RewriteCond %{QUERY_STRING} (absolute_|base|root_)(dir|path)(=|%3d)(ftp|https?) [NC,OR]
RewriteCond %{QUERY_STRING} (localhost|loopback|127(\.|%2e)0(\.|%2e)0(\.|%2e)1) [NC,OR]
RewriteCond %{QUERY_STRING} (s)?(ftp|inurl|php)(s)?(:(/|%2f|%u2215)(/|%2f|%u2215)) [NC,OR]
RewriteCond %{QUERY_STRING} (\.|20)(get|the)(_|%5f)(permalink|posts_page_url)(\(|%28) [NC,OR]
RewriteCond %{QUERY_STRING} ((boot|win)((\.|%2e)ini)|etc(/|%2f)passwd|self(/|%2f)environ) [NC,OR]
RewriteCond %{QUERY_STRING} (((/|%2f){3,3})|((\.|%2e){3,3})|((\.|%2e){2,2})(/|%2f|%u2215)) [NC,OR]
RewriteCond %{QUERY_STRING} (benchmark|char|exec|fopen|function|html)(.*)(\(|%28)(.*)(\)|%29) [NC,OR]
RewriteCond %{QUERY_STRING} (php)([0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}) [NC,OR]
RewriteCond %{QUERY_STRING} (e|%65|%45)(v|%76|%56)(a|%61|%31)(l|%6c|%4c)(.*)(\(|%28)(.*)(\)|%29) [NC,OR]
RewriteCond %{QUERY_STRING} (/|%2f)(=|%3d|$&|_mm|cgi(\.|-)|inurl(:|%3a)(/|%2f)|(mod|path)(=|%3d)(\.|%2e)) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3c)(.*)(e|%65|%45)(m|%6d|%4d)(b|%62|%42)(e|%65|%45)(d|%64|%44)(.*)(>|%3e) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3c)(.*)(i|%69|%49)(f|%66|%46)(r|%72|%52)(a|%61|%41)(m|%6d|%4d)(e|%65|%45)(.*)(>|%3e) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3c)(.*)(o|%4f|%6f)(b|%62|%42)(j|%4a|%6a)(e|%65|%45)(c|%63|%43)(t|%74|%54)(.*)(>|%3e) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3c)(.*)(s|%73|%53)(c|%63|%43)(r|%72|%52)(i|%69|%49)(p|%70|%50)(t|%74|%54)(.*)(>|%3e) [NC,OR]
RewriteCond %{QUERY_STRING} (\+|%2b|%20)(d|%64|%44)(e|%65|%45)(l|%6c|%4c)(e|%65|%45)(t|%74|%54)(e|%65|%45)(\+|%2b|%20) [NC,OR]
RewriteCond %{QUERY_STRING} (\+|%2b|%20)(i|%69|%49)(n|%6e|%4e)(s|%73|%53)(e|%65|%45)(r|%72|%52)(t|%74|%54)(\+|%2b|%20) [NC,OR]
RewriteCond %{QUERY_STRING} (\+|%2b|%20)(s|%73|%53)(e|%65|%45)(l|%6c|%4c)(e|%65|%45)(c|%63|%43)(t|%74|%54)(\+|%2b|%20) [NC,OR]
RewriteCond %{QUERY_STRING} (\+|%2b|%20)(u|%75|%55)(p|%70|%50)(d|%64|%44)(a|%61|%41)(t|%74|%54)(e|%65|%45)(\+|%2b|%20) [NC,OR]
RewriteCond %{QUERY_STRING} (\\x00|(\"|%22|\'|%27)?0(\"|%22|\'|%27)?(=|%3d)(\"|%22|\'|%27)?0|cast(\(|%28)0x|or%201(=|%3d)1) [NC,OR]
RewriteCond %{QUERY_STRING} (g|%67|%47)(l|%6c|%4c)(o|%6f|%4f)(b|%62|%42)(a|%61|%41)(l|%6c|%4c)(s|%73|%53)(=|[|%[0-9A-Z]{0,2}) [NC,OR]
RewriteCond %{QUERY_STRING} (_|%5f)(r|%72|%52)(e|%65|%45)(q|%71|%51)(u|%75|%55)(e|%65|%45)(s|%73|%53)(t|%74|%54)(=|[|%[0-9A-Z]{2,}) [NC,OR]
RewriteCond %{QUERY_STRING} (j|%6a|%4a)(a|%61|%41)(v|%76|%56)(a|%61|%31)(s|%73|%53)(c|%63|%43)(r|%72|%52)(i|%69|%49)(p|%70|%50)(t|%74|%54)(:|%3a)(.*)(;|%3b|\)|%29) [NC,OR]
RewriteCond %{QUERY_STRING} (b|%62|%42)(a|%61|%41)(s|%73|%53)(e|%65|%45)(6|%36)(4|%34)(_|%5f)(e|%65|%45|d|%64|%44)(e|%65|%45|n|%6e|%4e)(c|%63|%43)(o|%6f|%4f)(d|%64|%44)(e|%65|%45)(.*)(\()(.*)(\)) [NC,OR]
RewriteCond %{QUERY_STRING} (@copy|\$_(files|get|post)|allow_url_(fopen|include)|auto_prepend_file|blexbot|browsersploit|(c99|php)shell|curl(_exec|test)|disable_functions?|document_root|elastix|encodeuricom|exploit|fclose|fgets|file_put_contents|fputs|fsbuff|fsockopen|gethostbyname|grablogin|hmei7|input_file|null|open_basedir|outfile|passthru|phpinfo|popen|proc_open|quickbrute|remoteview|root_path|safe_mode|shell_exec|site((.){0,2})copier|sux0r|trojan|user_func_array|wget|xertive) [NC,OR]
RewriteCond %{QUERY_STRING} (;|<|>|\'|\"|\)|%0a|%0d|%22|%27|%3c|%3e|%00)(.*)(/\*|alter|base64|benchmark|cast|char|concat|convert|create|encode|declare|delete|drop|insert|md5|order|request|script|select|set|union|update) [NC,OR]
RewriteCond %{QUERY_STRING} ((\+|%2b)(concat|delete|get|select|union)(\+|%2b)) [NC,OR]
RewriteCond %{QUERY_STRING} (union)(.*)(select)(.*)(\(|%28) [NC,OR]
RewriteCond %{QUERY_STRING} (concat)(.*)(\(|%28) [NC]
RewriteRule .* - [F,L]
# RewriteRule .* /7G_log.php?log [END,NE,E=7G_QUERY_STRING:%1___%2___%3]
</IfModule>
# 7G:[REQUEST URI]
<IfModule mod_rewrite.c>
RewriteCond %{REQUEST_URI} ([a-z0-9]{2000,}) [NC,OR]
RewriteCond %{REQUEST_URI} (=?\\(\'|%27)/?)(\.) [NC,OR]
RewriteCond %{REQUEST_URI} (\^|`|<|>|%|\\|\{|\}|\|) [NC,OR]
RewriteCond %{REQUEST_URI} (/)(\*|\"|\'|\.|,|&|&?)/?$ [NC,OR]
RewriteCond %{REQUEST_URI} (\.)(php)(\()?([0-9]+)(\))?(/)?$ [NC,OR]
RewriteCond %{REQUEST_URI} (/)(vbulletin|boards|vbforum)(/)? [NC,OR]
RewriteCond %{REQUEST_URI} (\.(s?ftp-?)config|(s?ftp-?)config\.) [NC,OR]
RewriteCond %{REQUEST_URI} (\{0\}|\"?0\"?=\"?0|\(/\(|\.\.\.|\+\+\+|\\\") [NC,OR]
RewriteCond %{REQUEST_URI} (thumbs?(_editor|open)?|tim(thumbs?)?)(\.php) [NC,OR]
RewriteCond %{REQUEST_URI} (/)(fck|ckfinder|fullclick|ckfinder|fckeditor) [NC,OR]
RewriteCond %{REQUEST_URI} (\.|20)(get|the)(_)(permalink|posts_page_url)(\() [NC,OR]
RewriteCond %{REQUEST_URI} (///|\?\?|/&&|/\*(.*)\*/|/:/|\\\\|0x00|%00|%0d%0a) [NC,OR]
RewriteCond %{REQUEST_URI} (/%7e)(root|ftp|bin|nobody|named|guest|logs|sshd)(/) [NC,OR]
RewriteCond %{REQUEST_URI} (/)(etc|var)(/)(hidden|secret|shadow|ninja|passwd|tmp)(/)?$ [NC,OR]
RewriteCond %{REQUEST_URI} (s)?(ftp|http|inurl|php)(s)?(:(/|%2f|%u2215)(/|%2f|%u2215)) [NC,OR]
RewriteCond %{REQUEST_URI} (/)(=|\$&?|&?(pws|rk)=0|_mm|_vti_|cgi(\.|-)?|(=|/|;|,)nt\.) [NC,OR]
RewriteCond %{REQUEST_URI} (\.)(ds_store|htaccess|htpasswd|init?|mysql-select-db)(/)?$ [NC,OR]
RewriteCond %{REQUEST_URI} (/)(bin)(/)(cc|chmod|chsh|cpp|echo|id|kill|mail|nasm|perl|ping|ps|python|tclsh)(/)?$ [NC,OR]
RewriteCond %{REQUEST_URI} (/)(::[0-9999]|%3a%3a[0-9999]|127\.0\.0\.1|localhost|loopback|makefile|pingserver|wwwroot)(/)? [NC,OR]
RewriteCond %{REQUEST_URI} (\(null\)|\{\$itemURL\}|cAsT\(0x|echo(.*)kae|etc/passwd|eval\(|self/environ|\+union\+all\+select) [NC,OR]
RewriteCond %{REQUEST_URI} (/)(awstats|(c99|php|web)shell|document_root|error_log|listinfo|muieblack|remoteview|site((.){0,2})copier|sqlpatch|sux0r) [NC,OR]
RewriteCond %{REQUEST_URI} (/)((php|web)?shell|crossdomain|fileditor|locus7|nstview|php(get|remoteview|writer)|r57|remview|sshphp|storm7|webadmin)(.*)(\.|\() [NC,OR]
RewriteCond %{REQUEST_URI} (/)(author-panel|bitrix|class|database|(db|mysql)-?admin|filemanager|htdocs|httpdocs|https?|mailman|mailto|msoffice|mysql|_?php-?my-?admin(.*)|tmp|undefined|usage|var|vhosts|webmaster|www)(/) [NC,OR]
RewriteCond %{REQUEST_URI} (\.)(7z|ab4|afm|aspx?|bash|ba?k?|bz2|cfg|cfml?|cgi|ctl|dat|db|dll|eml|et2|exe|fec|fla|hg|inc|ini|inv|jsp|log|lqd|mbf|mdb|mmw|mny|old|one|out|passwd|pdb|pl|psd|pst|ptdb|pwd|py|qbb|qdf|rar|rdf|sdb|sql|sh|soa|swf|swl|swp|stx|tar|tax|tgz|tls|tmd|wow|zlib)$ [NC,OR]
RewriteCond %{REQUEST_URI} (base64_(en|de)code|benchmark|child_terminate|curl_exec|e?chr|eval|function|fwrite|(f|p)open|html|leak|passthru|p?fsockopen|phpinfo|posix_(kill|mkfifo|setpgid|setsid|setuid)|proc_(close|get_status|nice|open|terminate)|(shell_)?exec|system)(.*)(\()(.*)(\)) [NC,OR]
RewriteCond %{REQUEST_URI} (/)(^$|00.temp00|0day|3xp|70bex?|admin_events|bkht|(php|web)?shell|configbak|curltest|db|dompdf|filenetworks|hmei7|index\.php/index\.php/index|jahat|kcrew|keywordspy|mobiquo|mysql|nessus|php-?info|racrew|sql|vuln|webconfig|(wp-)?conf(ig)?(uration)?|xertive)(\.php) [NC]
RewriteRule .* - [F,L]
# RewriteRule .* /7G_log.php?log [END,NE,E=7G_REQUEST_URI:%1___%2___%3]
</IfModule>
# 7G:[USER AGENT]
<IfModule mod_rewrite.c>
RewriteCond %{HTTP_USER_AGENT} ([a-z0-9]{2000,}) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (<|%0a|%0d|%27|%3c|%3e|%00|0x00) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ((c99|php|web)shell|remoteview|site((.){0,2})copier) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (base64_decode|bin/bash|disconnect|eval|lwp-download|unserialize|\\\x22) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (360Spider|acapbot|acoonbot|ahrefs|alexibot|asterias|attackbot|backdorbot|becomebot|binlar|blackwidow|blekkobot|blexbot|blowfish|bullseye|bunnys|butterfly|careerbot|casper|checkpriv|cheesebot|cherrypick|chinaclaw|choppy|clshttp|cmsworld|copernic|copyrightcheck|cosmos|crescent|cy_cho|datacha|demon|diavol|discobot|dittospyder|dotbot|dotnetdotcom|dumbot|emailcollector|emailsiphon|emailwolf|exabot|extract|eyenetie|feedfinder|flaming|flashget|flicky|foobot|g00g1e|getright|gigabot|go-ahead-got|gozilla|grabnet|grafula|harvest|heritrix|httrack|icarus6j|jetbot|jetcar|jikespider|kmccrew|leechftp|libweb|linkextractor|linkscan|linkwalker|loader|masscan|miner|majestic|mechanize|mj12bot|morfeus|moveoverbot|netmechanic|netspider|nicerspro|nikto|ninja|nutch|octopus|pagegrabber|planetwork|postrank|proximic|purebot|pycurl|python|queryn|queryseeker|radian6|radiation|realdownload|rogerbot|scooter|seekerspider|semalt|siclab|sindice|sistrix|sitebot|siteexplorer|sitesnagger|skygrid|smartdownload|snoopy|sosospider|spankbot|spbot|sqlmap|stackrambler|stripper|sucker|surftbot|sux0r|suzukacz|suzuran|takeout|teleport|telesoft|true_robots|turingos|turnit|vampire|vikspider|voideye|webleacher|webreaper|webstripper|webvac|webviewer|webwhacker|winhttp|wwwoffle|woxbot|xaldon|xxxyy|yamanalab|yioopbot|youda|zeus|zmeu|zune|zyborg) [NC]
RewriteRule .* - [F,L]
# RewriteRule .* /7G_log.php?log [END,NE,E=7G_USER_AGENT:%1]
</IfModule>
# 7G:[REMOTE HOST]
<IfModule mod_rewrite.c>
RewriteCond %{REMOTE_HOST} (163data|amazonaws|colocrossing|crimea|g00g1e|justhost|kanagawa|loopia|masterhost|onlinehome|poneytel|sprintdatacenter|reverse.softlayer|safenet|ttnet|woodpecker|wowrack) [NC]
RewriteRule .* - [F,L]
# RewriteRule .* /7G_log.php?log [END,NE,E=7G_REMOTE_HOST:%1]
</IfModule>
# 7G:[HTTP REFERRER]
<IfModule mod_rewrite.c>
RewriteCond %{HTTP_REFERER} (semalt.com|todaperfeita) [NC,OR]
RewriteCond %{HTTP_REFERER} (ambien|blue\spill|cocaine|ejaculat|erectile|erections|hoodia|huronriveracres|impotence|levitra|libido|lipitor|phentermin|pro[sz]ac|sandyauer|tramadol|troyhamby|ultram|unicauca|valium|viagra|vicodin|xanax|ypxaieo) [NC]
RewriteRule .* - [F,L]
# RewriteRule .* /7G_log.php?log [END,NE,E=7G_HTTP_REFERRER:%1]
</IfModule>
# 7G:[REQUEST METHOD]
<IfModule mod_rewrite.c>
RewriteCond %{REQUEST_METHOD} ^(connect|debug|move|trace|track) [NC]
RewriteRule .* - [F,L]
# RewriteRule .* /7G_log.php?log [END,NE,E=7G_REQUEST_METHOD:%1]
</IfModule>5.1 – Falls Probleme mit der 7G auftauchen, nutze die 6G-Firewall [2020]
In einigen wenigen Fällen kann es zu Problemen bei der Nutzung der 7G-Firewall geben. Sie läuft trotz einer ausreichenden Testphase nicht auf allen Websites ohne Fehler. Sollten Probleme auftauchen, nutze stattdessen die 6G-Firewall der neuesten Version. Der Link zum Artikel von Jeff Starr mit dem Code: 6G Firewall 2020.
# 6G FIREWALL/BLACKLIST Version 2020
# @ https://perishablepress.com/6g/
# 6G:[QUERY STRING]
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{QUERY_STRING} (eval\() [NC,OR]
RewriteCond %{QUERY_STRING} (127\.0\.0\.1) [NC,OR]
RewriteCond %{QUERY_STRING} ([a-z0-9]{2000,}) [NC,OR]
RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR]
RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR]
RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR]
RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR]
RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR]
RewriteCond %{QUERY_STRING} (thumbs?(_editor|open)?|tim(thumb)?)\.php [NC,OR]
RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC]
RewriteRule .* - [F]
</IfModule>
# 6G:[REQUEST METHOD]
<IfModule mod_rewrite.c>
RewriteCond %{REQUEST_METHOD} ^(connect|debug|move|put|trace|track) [NC]
RewriteRule .* - [F]
</IfModule>
# 6G:[REFERRER]
<IfModule mod_rewrite.c>
RewriteCond %{HTTP_REFERER} ([a-z0-9]{2000,}) [NC,OR]
RewriteCond %{HTTP_REFERER} (semalt.com|todaperfeita) [NC]
RewriteRule .* - [F]
</IfModule>
# 6G:[REQUEST STRING]
<IfModule mod_alias.c>
RedirectMatch 403 (?i)([a-z0-9]{2000,})
RedirectMatch 403 (?i)(https?|ftp|php):/
RedirectMatch 403 (?i)(base64_encode)(.*)(\()
RedirectMatch 403 (?i)(=\\\'|=\\%27|/\\\'/?)\.
RedirectMatch 403 (?i)/(\$(\&)?|\*|\"|\.|,|&|&?)/?$
RedirectMatch 403 (?i)(\{0\}|\(/\(|\.\.\.|\+\+\+|\\\"\\\")
RedirectMatch 403 (?i)(~|`|<|>|:|;|,|%|\\|\{|\}|\[|\]|\|)
RedirectMatch 403 (?i)/(=|\$&|_mm|cgi-|muieblack)
RedirectMatch 403 (?i)(&pws=0|_vti_|\(null\)|\{\$itemURL\}|echo(.*)kae|etc/passwd|eval\(|self/environ)
RedirectMatch 403 (?i)\.(aspx?|bash|bak?|cfg|cgi|dll|exe|git|hg|ini|jsp|log|mdb|out|sql|svn|swp|tar|rar|rdf)$
RedirectMatch 403 (?i)/(^$|(wp-)?config|mobiquo|phpinfo|shell|sqlpatch|thumb|thumb_editor|thumbopen|timthumb|webshell)\.php
</IfModule>
# 6G:[USER AGENT]
<IfModule mod_setenvif.c>
SetEnvIfNoCase User-Agent ([a-z0-9]{2000,}) bad_bot
SetEnvIfNoCase User-Agent (archive.org|binlar|casper|checkpriv|choppy|clshttp|cmsworld|diavol|dotbot|extract|feedfinder|flicky|g00g1e|harvest|heritrix|httrack|kmccrew|loader|miner|nikto|nutch|planetwork|postrank|purebot|pycurl|python|seekerspider|siclab|skygrid|sqlmap|sucker|turnit|vikspider|winhttp|xxxyy|youda|zmeu|zune) bad_bot
# Apache < 2.3
<IfModule !mod_authz_core.c>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</IfModule>
# Apache >= 2.3
<IfModule mod_authz_core.c>
<RequireAll>
Require all Granted
Require not env bad_bot
</RequireAll>
</IfModule>
</IfModule>6 – 7G Addon gegen das aggressive Scannen von Upload-Dateien
Dieses kleine Addon stoppt die zum Teil sehr aggressiven Angriffe auf Uploads-relevante Ziele, die sich hauptsächlich auf Uploadify, Plupload, TimThumb und ähnliches konzentrieren. Doch auch gegen normale WP-Dateien richten sich die Angriffe, wie zum Beispiel wp-config.php und die xmlrpc.php. Das Addon stoppt über 90% dieser Angriffe.
# 7G Addon: Stop Aggressive Scanning for Uploads-Related Targets
# https://perishablepress.com/stop-aggressive-scanning-uploads/
<IfModule mod_rewrite.c>
# RewriteCond %{REQUEST_URI} /php(unit)?/ [NC,OR]
# RewriteCond %{REQUEST_URI} \.(aspx?|env|git(ignore)?|phtml|rar|well-known) [NC,OR]
# RewriteCond %{REQUEST_URI} /(cms|control_panel|dashboard|home_url=|lr-admin|manager|panel|staff|webadmin) [NC,OR]
# RewriteCond %{REQUEST_URI} /(adm(in)?|blog|cache|checkout|controlpanel|ecommerce|export|magento(-1|web)?|market(place)?|mg|onli(n|k)e|orders?|shop|tmplconnector|uxm|web?store)/ [NC,OR]
RewriteCond %{REQUEST_URI} (_timthumb_|timthumb.php) [NC,OR]
RewriteCond %{REQUEST_URI} /(install|wp-config|xmlrpc)\.php [NC,OR]
RewriteCond %{REQUEST_URI} /(uploadify|uploadbg|up__uzegp)\.php [NC,OR]
RewriteCond %{REQUEST_URI} /(comm\.js|mysql-date-function|simplebootadmin|vuln\.htm|www\.root\.) [NC,OR]
RewriteCond %{REQUEST_URI} /(admin-uploadify|fileupload|jquery-file-upload|upload_file|upload|uploadify|webforms)/ [NC,OR]
RewriteCond %{REQUEST_URI} /(ajax_pluginconf|apikey|connector(.minimal)?|eval-stdin|f0x|login|router|setup-config|sssp|vuln|xattacker)\.php [NC]
RewriteRule .* - [F,L]
</IfModule>7 – WordPress-Dateien gegen Zugriff blocken
Dieser Bereich sperrt den Zugriff von außen auf so extrem wichtige und sensible Dateien wie die wp-config.php, die install.php und den sehr gefährdeten wp-includes Ordner.
# No access to the install.php
<files install.php>
Order allow,deny
Deny from all
</files>
# No access to the wp-config.php
<files wp-config.php>
Order allow,deny
Deny from all
</files>
# No access to the readme.html
<files readme.html>
Order Allow,Deny
Deny from all
Satisfy all
</Files>
# No access to the liesmich.html for DE Edition
<Files liesmich.html>
Order Allow,Deny
Deny from all
Satisfy all
</Files>
# No error log access
<files error_log>
Order allow,deny
Deny from all
</files>
#No access to the .htaccess und .htpasswd
<FilesMatch "(\.htaccess|\.htpasswd)">
Order deny,allow
Deny from all
</FilesMatch>
# Block access to includes folder
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>8 – Hotlink Protection gegen Bildklau
Das Hotlinking verhindert, dass Deine Bilder auf anderen Websites verlinkt werden können und somit die Ressourcen Deines Webhostings negativ beeinflussen. Mit diesem Schutz werden Deine Bilder nur dort angezeigt, wo sie es auch sollen. Auf Deiner Website. Du musst nur das Wort »domain« in Zeile 6 gegen Deine Domain tauschen. Bei mir steht dort andreas-hecht.
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} \.(gif|jpe?g?|png)$ [NC]
RewriteCond %{HTTP_REFERER} !^https?://([^.]+\.)?domain\. [NC]
RewriteRule \.(gif|jpe?g?|png)$ - [F,NC,L]
</ifModule>9 – Schutz gegen den »ReallyLongRequest« Banditen
Der »ReallyLongRequest« Bandit ist eine recht neue Bedrohung, die nicht direkt schädlich ist, sondern den Server mit gigantisch vielen Anfragen „erschlagen“ will. Das kann unter Umständen dazu führen, dass Deine Website extrem langsam wird oder nicht mehr erreichbar ist.
»ReallyLongRequest« Bandit heißt der Bot deshalb, weil die gigantisch langen Anfragen alle mit »YesThisIsAReallyLongRequest…« beginnen. Um den Server zu entlasten, blockieren wir diese nutzlosen Anfragen.
<IfModule mod_rewrite.c>
RewriteCond %{REQUEST_METHOD} .* [NC]
RewriteCond %{THE_REQUEST} (YesThisIsAReallyLongRequest|ScanningForResearchPurpose) [NC,OR]
RewriteCond %{QUERY_STRING} (YesThisIsAReallyLongRequest|ScanningForResearchPurpose) [NC]
RewriteRule .* - [F,L]
</IfModule>10 – Schütze Deinen Adminbereich mittels HTTP-Veriegelung
Mit der Kombination aus .htaccess und .htpasswd erzeugst Du einen sehr wirksamen Schutz gegen das Hacking Deines Adminbereichs. Du musst nur den Pfad zu Deiner .htpasswd anpassen.
# If you want to use it, comment it out and set your path to .htpasswd
#<Files wp-login.php>
#AuthName "Admin-Bereich"
#AuthType Basic
#AuthUserFile /usr/local/www/apache24/your-path/your-domain.com/.htpasswd
#require valid-user
#</Files>11 – Die XML-RPC Datei sperren
Die XML-RPC Datei ist zusammen mit dem Adminbereich von WordPress das beliebteste Angriffsziel.
Die Schnittstelle ist ein nützliches Werkzeug für die Verwaltung von Inhalten. Sie dient dazu, dass man mittels der Desktop– und der Smartphone-Apps die Website verwalten und Artikel verfassen kann. Ebenso kümmert sie sich um Pingbacks. Die Pingback-API ermöglicht eine Art »Vernetzung« zwischen den Blogs und dient gleichzeitig als Schnittstelle, um WordPress über externe Programmen verwalten zu können.
Genau diese Funktionen sorgen für teilweise wesentlich heftigere Angriffsorgien als auf den Adminbereich selbst. Denn auch über die Schnittstelle haben Angreifer dann vollen Zugriff auf die Website.
### @see https://digwp.com/2009/06/xmlrpc-php-security/
#<Files xmlrpc.php>
# Order Deny,Allow
# Deny from all
#</Files>12 – Der Referrer Header für mehr Datenschutz
Wenn Du auf einen Link klickst, sendet Dein Browser den Header HTTP Referrer an den Webserver, auf dem sich die Zielwebseite befindet. Der Header enthält die vollständige URL der Seite, von der Du gekommen bist. So können Websites sehen, wo der Traffic herkommt. Der Header wird auch gesendet, wenn externe Ressourcen (z. B. Bilder, Schriftarten, JS und CSS) geladen werden.
Der Referrer-Header ist ein Albtraum für die Privatsphäre, da Websites und Dienste Dich über das Internet verfolgen und Deine Surfgewohnheiten (und somit möglicherweise private, vertrauliche Informationen) erkennen können, insbesondere in Verbindung mit Cookies.
Angenommen, Du bist bei Facebook angemeldet. Du besuchst eine Seite mit der URL http://www.some-hospital.com/some-medical-condition. Auf dieser Seite klickst Du auf einen Link zu Deinem Facebook-Profil. Dein Browser sendet dann Referrer: http://www.some-hospital.com/some-medical-condition zu www.facebook.com, zusammen mit Deinen Facebook-Cookies, so dass Facebook Deine Identität mit dieser bestimmten Seite verknüpfen kann.
Das Problem wird noch verschlimmert durch die Tatsache, dass viele Webseiten Ressourcen wie Bilder und Skripte von Dutzenden von Drittanbietern laden, indem sie alle Informationen an sie senden, wobei der typische Besucher keine Ahnung hat, dass dies geschieht.
Gut ist, dass dieser datenschutzrechtliche SuperGau unterbunden werden kann durch den einfachen Befehl an den Browser, keinen Referrer zu senden.
## No-Referrer-Header
<IfModule mod_headers.c>
Header set Referrer-Policy "no-referrer"
</IfModule>13 – Die HTTP-Security-Header – Update 10/2020
Jedes Mal, wenn ein Browser eine Seite von einem Webserver anfordert, antwortet der Server mit der Auslieferung der Seite und sendet einen HTTP-Response-Header mit dem Inhalt. Diese Header können nicht nur alltägliche Dinge wie den Zeichensatz enthalten, sondern auch sicherheitsrelevante Einstellungen senden.
Hierfür nutzt man die sogenannten HTTP-Response-Header, mit denen man das Verhalten eines Browsers steuern kann. Ein Strict-Transport-Security-Header würde dem Browser zum Beispiel die Anweisung erteilen, nur über HTTPS zu kommunizieren.
### @see https://scotthelme.co.uk/hardening-your-http-response-headers
## X-FRAME-OPTIONS-Header
<IfModule mod_headers.c>
Header set X-Frame-Options "sameorigin"
</IfModule>
## Strict Origin when cross origin Header
#@see https://scotthelme.co.uk/a-new-security-header-referrer-policy/
<IfModule mod_headers.c>
Header set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>
## X-XSS-PROTECTION-Header
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>
## X-Content-Type-Options-Header
<IfModule mod_headers.c>
Header set X-Content-Type-Options "nosniff"
</IfModule>
## Strict-Transport-Security-Header - für HTTPS
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>Der neue Expect-CT Header
Dieser neue Header wird zurzeit nur von Google Chrome unterstützt. Zudem befindet er sich noch im Status IETF Experimental. Trotzdem habe ich den Header bereits integriert, weil die Idee hinter diesem Header hervorragend ist. Denn wenn eine Webseite den Expect-CT Header ausgibt, wird Google Chrome überprüfen, ob ein HTTPS-Zertifikat für diese Webseite in den öffentlichen Certificate Transparency Logs enthalten ist.
Das verhindert, dass falsche Zertifikate unbemerkt für die betreffende Website verwendet werden können. Eine Man-in-the-middle Attacke ist dadurch nicht mehr so einfach möglich.
Folgende Einstellungen setzt der Header zurzeit:
- enforce: Signalisiert dem Browser, dass Certificate-Transparency durchgesetzt werden soll. Falsche Zertifikate (keine Übereinstimmung in den Certificate-Transparency-Logs) führen zu einem Abbruch der Verbindung.
- max-age: Der Browser speichert die empfangene Richtlinie für 6 Stunden (21600 Sekunden) in seinem Cache. Ist die Zeit abgelaufen, wird der Browser erneut eine CT-Richtlinie (bei einer Webseite) anfragen.
<IfModule mod_headers.c>
Header set Expect-CT "enforce, max-age=21600"
</IfModule>14 – Die WordPress Standard Regeln
Dies sind die Standard-Regeln, die jede WordPress-Website während der Installation anlegt. Wenn Du eine Multisite nutzt, oder sich dein WordPress in einem Unterordner befindet, müssen diese Regeln angepasst werden.
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
5. Februar 2021 um 3:51
Fantastische Datei, vielen Dank für die Mühe!
Endlich hat das mühsame Zusammenstricken von htaccess-Dateien hoffentlich ein Ende 🙂
Ich habe von Servern leider keine Ahnung, aber sollte der Code zur xmlrpc.php nicht für Apache 2.4 aktualisiert/ergänzt werden?
# xmlrpc.php sperren
# Apache 2.4
Require all denied
4. Februar 2021 um 1:06
Feb 2021 Hey, dass ist doch mal eine super Seite! Wichtiges Thema und ganz tolle copy Paste Buttons. Kleiner Tipp: Die 7G Firewall funktionierte bei mir als ich den Teil request URI mit dem Original Text der aktuellen 7G Firewall ausgetauscht habe!
17. Januar 2021 um 19:38
Hallo, kurze Frage wenn ich zum Eintrag Header set Referrer-Policy „no-referrer“ jetzt noch diesen setze
Header set Referrer-Policy „strict-origin-when-cross-origin“ bekomme ich eine Anmerkung im Webbkoll das ich das strict-origin-when-cross-orgin nicht zwingend verwenden sollte. Was macht das genau und ist es notwendig?
LG Andreas
2. Januar 2021 um 20:15
Hallo Andreas,
es gibt eine neue Version der 7G Firewall (v1.3). Darauf aufmerksam wurde ich, da es mit der Version v1.2 nach einem Update des Yoast-Plugins auf die Version 15.2.xx das Problem gab, dass eine Bearbeitung der Yoast Meta Box nicht mehr möglich war. Nach dem Update auf 7G v1.3, ist es wieder möglich.
Danke für deine Tipps zur Absicherung von WordPress und ein erfolgreiches neues Jahr.
Viele Grüße Guido
3. Januar 2021 um 18:03
Hi Guido,
danke für die Info!
14. Dezember 2020 um 11:35
Sehr tolle Zusammenstellung und super, dass du das aktualisierst!
Da war für mich einiges Neues dabei – und meine Güte, was hat mich das Zusammensuchen vor einigen Jahren noch für Arbeit gekostet.
24. November 2020 um 20:32
Hallo Andreas,
auch von mir erst einmal ein großes Dankeschön für die wertvollen Hinweise. Bei mir funktioniert es als Ergänzung sehr gut. Anstelle der Firewall Regeln setze ich das Plugin von Jeff Starr ein. Sollte einiges an Wartung ersparen. Was allerdings nicht funktioniert sind die Settings für die Security Header. Dies haben bei mir erst funktioniert, als ich sie in die WP-Config eingetragen habe. Hast Du hier eine Erklärung?
Liebe Grüsse Johannes
17. November 2020 um 2:59
Hallo Andreas,
ist es noch notwendig aus Sicherheitsgründen, dass man die Ordner wp-content, plugins, … etc. umbenennt, wenn man deine .htaccess verwendet?
Freue mich über deine Antwort.
Liebe Grüße
Isabella
17. November 2020 um 10:49
Hi Isabella,
solchen Unfug sollte man keinesfalls tun! Wer verbreitet so idiotische Ratschläge?
17. November 2020 um 11:17
Danke für deine rasche Antwort!
Auf ein paar Seiten, wo es um die Absicherung geht, weil Bots oder so nach wp-content etc. suchen, aber bin ich froh, dass das nicht notwendig ist, weil es doch oft Troubles mit Plugins macht.
31. Oktober 2020 um 4:55
Hey Andreas,
auch ich bedanke mich recht herzlich für all deine guten Tipps, Tricks und Erfahrungen die du mit uns teilst!
Darüber hinaus wollte ich gerne erfragen, ob durch die .htacces auch ein Plugin wie WP Rocket überflüssig ist?
Würde mich natürlich sehr freuen und verbleibe,
Mit besten Grüßen
Manuel
13. November 2020 um 14:57
Sorry für die späte Antwort. Seit Corona habe ich mehr Arbeit als ich bewältigen kann. Nein, ein solches Plugin kann Deine Website trotzdem noch weiter beschleunigen.
17. November 2020 um 11:13
Kein Problem, dass verstehe ich! Würde gerne noch erfragen, wie man dies am besten einstellt ohne deine htaccess zu behindern !?
Beste Grüße
17. November 2020 um 11:38
Das kannst Du in der Dokumentation von WP Rocket erfahren. Ansonsten einfach googlen.
15. Dezember 2020 um 3:05
Vielen Dank nochmals…! 😉 würde nur gerne erfragen wie man wp rocket weiterhin nutzen kann, dies aber keine zeilen in die htaccess schreibt, damit diese wie vorgesehen arbeiten kann…konnte diesbezüglich leider nichts finden bzw. ergooglen -.-
26. Oktober 2020 um 0:30
Hallo Andreas,
unsere WP-Installation (Blog) ist in einem Unterverzeichnis von unserer Webseite.
Meine „original WordPress Rewrite Rules“ sehen daher auch etwas anders aus (z.B. RewriteBase /verzeichnis-vom-blog/ ).
Kann ich trotzdem deinen kompletten Code nutzen, oder muss ich jedes RewriteBase/ usw. anpassen ?
Mit freundlichen Grüßen ,
Patrick
15. Oktober 2020 um 18:22
Hallo Andreas,
vielen Dank für das abermalige Update.
Beim Vergleich mit meiner alten .htaccess ist mir der Eintrag
#Full Path Disclosure abschalten – unterdrueckt die Anzeige des vollstaendigen Fehlerpfads
php_flag display_errors Off
aufgefallen, der nun fehlt. Ist das nicht mehr relevant?
Ich weiß es nicht mehr, wie(so) es da steht, aber ich hab noch
Order deny,allow
deny from all
Seh ich es richtig, dass es ganz nett, aber sinnlos ist, da die wlwmanifest.xml komplett harmlos ist?
14. Oktober 2020 um 9:34
Guten Tag,
bin Anfänger und mir ist folg. nicht klar:
In Apache 2.3 wurde im Modul mod_authz_core eine Änderung gemacht, die die Direktive “Allow from all” durch “Require all granted” bzw. “Deny from all” durch “Require all denied” ersetzt.
Und “Order allow,deny” fliegt raus.
In dem Abschnitt: „Block WordPress files from outside access“ ab Zeile 356 wird „Deny from all“ verwendet.
Muss/sollte hier nicht auch, wie in Abschnitt ‚5.1 – Falls Probleme mit der 7G auftauchen, nutze die 6G-Firewall [2020]‘ unterschieden werden zwischen Apache = 2.3 und „Require all granted“ verwendet werden?
Oder bin ich da auf dem Holzweg?
Viele Grüße
Karl
9. Oktober 2020 um 12:05
Hallo Andreas, ich erfreue mich seit langer Zeit Deiner vorzüglichen htaccess-Versionen und verwende sie in allen Projekten. Herzlichen Dank dafür! Darf ich fragen wie Deine derzeitige Einschätzung zum Thema CORS ist? Du schneidest das Thema kurz an mit der Definition zulässiger Dateitypen. Nun möchte einer meiner Kunden, dass ich seine Site mit einer CSP, natürlich ohne Verwendung von unsafe-eval/unsafe-inline, ausstatte. Trotz intensiver Recherche finde ich keine gangbare Lösung, die CSP mit den sich ständig ändernden hash bzw. nonce-Werten zu versorgen.
LG Eik
12. Oktober 2020 um 14:48
Hi Eik,
es gibt auch keine Möglichkeit, dass bei sich ständig ändernden Umständen zu konfigurieren.
24. Oktober 2020 um 14:40
Ich glaube das Thema CSP & WordPress wird noch etwas andauern
Link: https://core.trac.wordpress.org/ticket/39941
im Moment sehe ich keine Lösung außer Flickwerk … nicht super
30. September 2020 um 3:43
Hallo Andreas, meine htaccess sieht zur Zeit wie folgt aus,
könnte ich diese mit deiner vervollständigen oder meine Zeilen, die in deiner nicht vorkommen mit reinziehen?
Gibt es nicht irgendeine Software, in der man code snipes einfügt und die erkennt Fehler oder gar zeigt mir dann ggf. doubletten an?
Auch nutze ich ein HTTP Header plugin (https://de.wordpress.org/plugins/http-headers/ ). wenn ich jetzt manuell in die htaccess Datei zb deine htaccess reinkopier, würde mein Plugin die Einstellung erkennen und akzeptieren?
# BEGIN WP Rocket v3.7.1.1
# Use UTF-8 encoding for anything served text/plain or text/html
AddDefaultCharset UTF-8
# Force UTF-8 for a number of file formats
AddCharset UTF-8 .atom .css .js .json .rss .vtt .xml
# FileETag None is not enough for every server.
Header unset ETag
# Since we’re sending far-future expires, we don’t need ETags for static content.
# developer.yahoo.com/performance/rules.html#etags
FileETag None
Header set X-Powered-By „WP Rocket/3.7.1.1“
Header unset Pragma
Header append Cache-Control „public“
Header unset Last-Modified
Header unset Pragma
Header append Cache-Control „public“
# Expires headers (for better cache control)
ExpiresActive on
ExpiresDefault „access plus 1 month“
# cache.appcache needs re-requests in FF 3.6 (thanks Remy ~Introducing HTML5)
ExpiresByType text/cache-manifest „access plus 0 seconds“
# Your document html
ExpiresByType text/html „access plus 0 seconds“
# Data
ExpiresByType text/xml „access plus 0 seconds“
ExpiresByType application/xml „access plus 0 seconds“
ExpiresByType application/json „access plus 0 seconds“
# Feed
ExpiresByType application/rss+xml „access plus 1 hour“
ExpiresByType application/atom+xml „access plus 1 hour“
# Favicon (cannot be renamed)
ExpiresByType image/x-icon „access plus 1 week“
# Media: images, video, audio
ExpiresByType image/gif „access plus 4 months“
ExpiresByType image/png „access plus 4 months“
ExpiresByType image/jpeg „access plus 4 months“
ExpiresByType image/webp „access plus 4 months“
ExpiresByType video/ogg „access plus 4 months“
ExpiresByType audio/ogg „access plus 4 months“
ExpiresByType video/mp4 „access plus 4 months“
ExpiresByType video/webm „access plus 4 months“
# HTC files (css3pie)
ExpiresByType text/x-component „access plus 1 month“
# Webfonts
ExpiresByType font/ttf „access plus 4 months“
ExpiresByType font/otf „access plus 4 months“
ExpiresByType font/woff „access plus 4 months“
ExpiresByType font/woff2 „access plus 4 months“
ExpiresByType image/svg+xml „access plus 1 month“
ExpiresByType application/vnd.ms-fontobject „access plus 1 month“
# CSS and JavaScript
ExpiresByType text/css „access plus 1 year“
ExpiresByType application/javascript „access plus 1 year“
# Gzip compression
# Active compression
SetOutputFilter DEFLATE
# Force deflate for mangled headers
SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding
RequestHeader append Accept-Encoding „gzip,deflate“ env=HAVE_Accept-Encoding
# Don’t compress images and other uncompressible content
SetEnvIfNoCase Request_URI \
\.(?:gif|jpe?g|png|rar|zip|exe|flv|mov|wma|mp3|avi|swf|mp?g|mp4|webm|webp|pdf)$ no-gzip dont-vary
# Compress all output labeled with one of the following MIME-types
AddOutputFilterByType DEFLATE application/atom+xml \
application/javascript \
application/json \
application/rss+xml \
application/vnd.ms-fontobject \
application/x-font-ttf \
application/xhtml+xml \
application/xml \
font/opentype \
image/svg+xml \
image/x-icon \
text/css \
text/html \
text/plain \
text/x-component \
text/xml
Header append Vary: Accept-Encoding
AddType text/html .html_gzip
AddEncoding gzip .html_gzip
SetEnvIfNoCase Request_URI \.html_gzip$ no-gzip
RewriteEngine On
RewriteBase /
RewriteCond %{HTTPS} on [OR]
RewriteCond %{SERVER_PORT} ^443$ [OR]
RewriteCond %{HTTP:X-Forwarded-Proto} https
RewriteRule .* – [E=WPR_SSL:-https]
RewriteCond %{HTTP_ACCEPT} image/webp
RewriteCond „%{DOCUMENT_ROOT}/wp-content/cache/wp-rocket/%{HTTP_HOST}%{REQUEST_URI}/.no-webp“ !-f
RewriteRule .* – [E=WPR_WEBP:-webp]
RewriteCond %{HTTP:Accept-Encoding} gzip
RewriteRule .* – [E=WPR_ENC:_gzip]
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{QUERY_STRING} =““
RewriteCond %{HTTP:Cookie} !(wordpress_logged_in_.+|wp-postpass_|wptouch_switch_toggle|comment_author_|comment_author_email_) [NC]
RewriteCond %{REQUEST_URI} !^(/(.+/)?feed/?.+/?|/(?:.+/)?embed/|/(index\.php/)?wp\-json(/.*|$))$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^(facebookexternalhit).* [NC]
RewriteCond „%{DOCUMENT_ROOT}/wp-content/cache/wp-rocket/%{HTTP_HOST}%{REQUEST_URI}/index%{ENV:WPR_SSL}%{ENV:WPR_WEBP}.html%{ENV:WPR_ENC}“ -f
RewriteRule .* „/wp-content/cache/wp-rocket/%{HTTP_HOST}%{REQUEST_URI}/index%{ENV:WPR_SSL}%{ENV:WPR_WEBP}.html%{ENV:WPR_ENC}“ [L]
# END WP Rocket
# BEGIN WordPress
# The directives (lines) between „BEGIN WordPress“ and „END WordPress“ are
# dynamically generated, and should only be modified via WordPress filters.
# Any changes to the directives between these markers will be overwritten.
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
order allow,deny
deny from all
# Wordfence WAF
php_value auto_prepend_file ‚/home/www/auberge-sankt-laurentius.com/wordfence-waf.php‘
php_value auto_prepend_file ‚/home/www/auberge-sankt-laurentius.com/wordfence-waf.php‘
Require all denied
Order deny,allow
Deny from all
# END Wordfence WAF
# BEGIN HttpHeaders
# The directives (lines) between „BEGIN HttpHeaders“ and „END HttpHeaders“ are
# dynamically generated, and should only be modified via WordPress filters.
# Any changes to the directives between these markers will be overwritten.
# END HttpHeaders
# BEGIN HttpHeadersAuth
# The directives (lines) between „BEGIN HttpHeadersAuth“ and „END HttpHeadersAuth“ are
# dynamically generated, and should only be modified via WordPress filters.
# Any changes to the directives between these markers will be overwritten.
# END HttpHeadersAuth
# BEGIN HttpHeadersCompression
# The directives (lines) between „BEGIN HttpHeadersCompression“ and „END HttpHeadersCompression“ are
# dynamically generated, and should only be modified via WordPress filters.
# Any changes to the directives between these markers will be overwritten.
# END HttpHeadersCompression
# BEGIN HttpHeadersContentType
# The directives (lines) between „BEGIN HttpHeadersContentType“ and „END HttpHeadersContentType“ are
# dynamically generated, and should only be modified via WordPress filters.
# Any changes to the directives between these markers will be overwritten.
# END HttpHeadersContentType
# BEGIN HttpHeadersExpires
# The directives (lines) between „BEGIN HttpHeadersExpires“ and „END HttpHeadersExpires“ are
# dynamically generated, and should only be modified via WordPress filters.
# Any changes to the directives between these markers will be overwritten.
# END HttpHeadersExpires
# BEGIN HttpHeadersCookieSecurity
# The directives (lines) between „BEGIN HttpHeadersCookieSecurity“ and „END HttpHeadersCookieSecurity“ are
# dynamically generated, and should only be modified via WordPress filters.
# Any changes to the directives between these markers will be overwritten.
# END HttpHeadersCookieSecurity
# BEGIN HttpHeadersTiming
# The directives (lines) between „BEGIN HttpHeadersTiming“ and „END HttpHeadersTiming“ are
# dynamically generated, and should only be modified via WordPress filters.
# Any changes to the directives between these markers will be overwritten.
# END HttpHeadersTiming
2. Oktober 2020 um 11:56
Hi,
kurze Antwort: Nein. Das ist jetzt schon ein einziges Mischmasch. Dazu kommt noch ein sinnfreies »Security Plugin« und ein noch sinnfreieres Header Plugin, zig Zeilen von WP Rocket usw. Meine .htaccess ist dafür konzipiert, dass sie so wie sie ist übernommen wird. Nur so kann sie Ihre Aufgaben erfüllen und perfekt arbeiten.
21. September 2020 um 11:47
Moin Andreas,
vielen Dank für Deine tolle Hilfe! Die Implementierung der htaccess hat in meinem Fall hervorragend funktioniert, lediglich die Absicherung der wp-login.php führt zu einem Konflikt:
AuthName „Admin-Bereich“
AuthType Basic
AuthUserFile /pfad/wohin/auch/immer/.htpasswd
require valid-user
WordPress nutzt für passwortgeschützte Seiten und für den User-Login offenbar eine Funktion, die vom .htaccess-Schutz ummantelt wird: /wp-login.php?action=postpass.
wp-login.php und damit die dahinterliegende Funktion ‚action=postpass‘ ist allerdings .htaccess geschützt, weshalb zusätzlich der Serverseitige Login erscheint – sowohl bei (durch WP Bordmittel) passwortgeschützten Inhalten, als auch beim regulären User-Login.
Ich habe das gesamte Wochenende damit verbracht, im Internet nach einer Lösung zu suchen – erfolglos. Dazu habe ich u.a. folgenden Artikel gelesen und versucht, die dort gemachten Vorschläge umzusetzen – ebenfalls erfolglos: https://stackoverflow.com/questions/22134475/htaccess-pass-protect-interfereing-with-wordpress-functionality
Die Antworten im Internet scheinen sich aber im Wesentlichen auf die folgenden zwei Optionen zu beschränken:
1. Usern die Login-Daten für den .htaccess Schutz mitteilen (dämliche Idee)
2. .htaccess-Schutz wieder entfernen (noch dämlichere Idee)
Mir ist schleierhaft, warum WordPress über dieses Thema seltsam wenig zu sagen hat. Das Problem scheint dort bereits seit Jahren bekannt zu sein, eine Lösung wird allerdings nicht erbracht. Vielleicht übersehe ich aber auch etwas? Hast Du vielleicht eine bessere Antwort?
Vielen Dank nochmal!
LG
Lasse
22. September 2020 um 10:17
Hi Lasse,
danke für Deinen Kommentar! Nein, ich kann Dir auch keine befriedigendere Antwort geben. Tut mir leid…
22. September 2020 um 14:04
Schade, trotzdem nochmal vielen Dank 🙂
28. September 2020 um 10:25
Könnte mit einem fehlenden Referrer-Header zusammenhängen, zum Beispiel, weil „HTTP-Header Referrer-Policy“ auf „no-referrer“ gesetzt wurde (ich hoffe, dass Links hier nicht ausgefiltert werden):
https://www.wp-wartung24.de/passwortgeschuetzte-seiten-und-referrer-policies/
25. August 2020 um 16:46
Hallo Andreas,
auf dem Blog von Jeff Starr bin ich auf ein Addon der 7G-Firewall gestoßen – https://perishablepress.com/stop-aggressive-scanning-uploads/
# 7G Addon: Stop Aggressive Scanning for Uploads-Related Targets
Soweit ich das richtig beurteile, ist dies noch nicht Teil deiner hier offengelegten .htaccess-Datei.
Meinst du es macht Sinn, die .htaccess um diese Maßnahme zu erweitern?
25. August 2020 um 18:30
Das hört sich grundsätzlich gut an. Allerdings muss es erst getestet werden, bevor es in die finale Version meiner
.htaccesskommt. Denn die muss für mindestens 98% aller User funktionieren.22. August 2020 um 17:08
Hallo Herr Hecht,
neben den von Ihnen erwähnten Http-Security-Headern gibt es ja auch noch den „Public Key Pinning (HPKP) Header“. Empfehlen Sie diesen auch zur Sicherung der eigenen Website oder kann dieser vernachlässigt werden?
Die Recherchen ergaben, dass einige diesen Header empfehlen, andere halten nur bedingt etwas von dieser Option, da ein Angreifer den auch gegen einen selbst verwenden könnte.
Über Ihre Meinung dazu, bin ich sehr gespannt.
Besten Dank im Voraus.
MfG
Andreas
22. August 2020 um 17:25
Noch ein Nachtrag:
Hat ein Angreifer ein Zertifikat für die gleiche Domain erworben, nützt Ihm das eigentlich nichts, weil er nicht den richtigen Schlüssel (Pin) mitliefert, den der aufrufende Browser bei ersten Aufruf erworben und für sich auf dem Client gespeichert hat. So wird der „Man in the MIddle“ zusätzlich unterbunden.
So sagt es die Theorie. Aber ist es auch wirklich so in der Praxis oder birgt dieser SChutz im Grunde auch eine zusätzliche Sicherheitslücke?
24. August 2020 um 11:52
Hallo,
sicherlich gibt es eine Menge Dinge, die man noch zusätzlich machen kann, um die eigene Website vor einem Hack zu schützen. Aber man kann es auch schnell übertreiben. Denn einen echten Hacker interessiert es nicht, eine »normale« Website zu hacken. Wenn der Adminbereich gut geschützt ist und eine gute
.htaccessin Verwendung ist, dann ist ein Hack immer eine Kosten- / Nutzenrechnung. Auch diese „Herren“ fragen sich dann ziemlich schnell, ob sich der Aufwand lohnt. Also nein, ich empfehle den Header nicht, weil hier die Kosten- / Nutzenrechnung nicht stimmt. Viel Aufwand für wenig Schutz.9. August 2020 um 18:23
Hallo Herr Hecht,
tolle Beschreibung und besten Dank für die Bereitstellung Ihrer .htaccess-Datei.
Da ich ein absoluter Beginner bin, stelle ich einfach einmal die folgende Frage:
Gibt es eine Möglichkeit die Zugriffsberechtigungen auf die durch die .htaccess gesperrten Dateien und Ordner zu prüfen?
Ich stelle nichts in Frage, möchte nur prüfen, ob ich alles richtig gemacht habe.
Sonnige Grüße aus dem Harz.
Cheers Andreas
10. August 2020 um 12:13
Einfach den betreffenden Dateinamen hinten an Deine Domain anhängen und laden.
22. Juni 2020 um 14:15
Hallo.
Danke für den tollen Service.
Bei korrekter Einbindung wären dann PlugIns wie NinjaFirewall oder Wordfence obsolet?
Freue mich auf Feedback
Grüße
Max
22. Juni 2020 um 15:05
Hi Max,
das ist so. Weg mit dem Kram:-)
25. Juni 2020 um 6:11
Danke für die Info. Wieso zeigt mir dann Ninja Firewall noch zahlreiche Attack-Versuche jeglicher Schwere an? Sind dies dann keine Angriffe?
25. Juni 2020 um 11:17
Angriffe gibt es immer und zu jeder Zeit und bei jeder Website auf diesem Planeten. Die Frage ist nur, ob sie erfolgreich sind. Wenn meine
.htaccessinstalliert ist und Du für den Adminbereich ein wirklich sicheres Passwort verwendest, kommt da nichts durch.21. Juni 2020 um 20:18
Wirklich beeindruckend diese .htaccess! Habe ich 1:1 ohne Probleme übernehmen können. Danke für diese Mühe!
Wenn ich das richtig verstehe (ich bin nahezu Laie), ergibt sich zusammen mit den empfohlenen Verbesserungen in der functions.php eine recht weitgehende Absicherung der WordPress-Installation. Gibt es überhaupt Security-Plugins, die einen wirklichen Mehrwert gegenüber diesen Maßnahmen bieten?
21. Juni 2020 um 20:27
Hi Holger,
danke für Deinen Kommentar! Und nein, Security-Plugins bieten nicht einmal Ansatzweise diesen Schutz.
22. Juni 2020 um 0:23
Prima! Dann kann ich mir ja die Installation eines weiteren, fummelig zu konfigurierenden Plugins sparen. Je schlichter und übersichtlicher, desto einfacher die Administration.
9. August 2020 um 23:09
Hallo, wo finde ich den die empfohlenen Verbesserungen zur functions.php?
7. Juni 2020 um 21:52
Hallo Andreas,
ich hatte gerade ein Problem mit dem Passwortschutz von WordPress und der .htaccess. Erklärung und Lösung habe ich hier gefunden: https://www.wp-wartung24.de/passwortgeschuetzte-seiten-und-referrer-policies/
Vielleicht kannst Du den betroffenen Teil der .htaccess von Dir anpassen?
Danke und Gruß
Frank
8. Mai 2020 um 10:33
Moin Andreas,
vielen Dank für die tolle Dokumentation.
Leider finde ich den Komplett-Download der gesamten Module nicht.
Irgendwie führt der Klick auf den Button ins Leere.
Und kann man die http zu https Umleitung auch dann nutzen, wenn man das Plugin Really Simple SSL nutzt?
Danke und Grüße:
Keno
8. Mai 2020 um 11:27
Hallo Keno,
danke für die Fehlermeldung. Ist jetzt behoben.
Zu Deiner Frage: Höchstwahrscheinlich. Du musst es ausprobieren. Gibt es eine Fehlermeldung, kommentieren den Bereich wieder aus. Übrigens sollte eine HTTPS-Umstellung niemals über ein Plugin geschehen, das kann eine Menge Ärger verursachen. Mache es lieber gleich richtig. Hier findest Du eine gute Anleitung dafür. https://seoagentur-hamburg.com/blog/7326/
23. März 2020 um 19:35
Hallo Andreas,
vielen Dank. Das sieht alles sehr gut aus bei mir.
Zwei Fragen:
1. securityheaders.com vermisst bei mir Feature-Policy. Was habe ich übersehen?
2. Es gibt anscheinend laut securityheaders.com ein Problem mit einem Cookie. T“he ‚httpOnly‘ flag is not set on this cookie. The ’secure‘ flag is not set on this cookie. There is no Cookie Prefix on this cookie. This is not a SameSite Cookie.“ Hast du einen Tipp, wo ich schauen muss oder weitere Hilfe bekomme?
Falls du es selber prüfst: nicht wundern: den CSP Teil habe ich (noch) weggelassen.
Danke im Voraus.
Bleib gesund
Jonas
16. März 2020 um 7:37
Hallo Andreas,
der Schutz des Adminbereich mittels HTTP-Veriegelung scheint sehr simpel zu sein.
Wie sieht dann die .htpasswd aus? Ist dort irgendeine Information verwahrt?
Danke und Gruß
Max
14. März 2020 um 18:17
Moin Andreas,
großartige Deine Arbeit mit der .htaccess. Vielen und mach bitte weiter so!
Zeile 384 >> „Change »?domain\« in line 361 to your domain name“
Die korrekte Zeile wäre (bei mir unter Notepad++) >> 392
Frage:
Wenn ich bei mir unter /root einen Ordner namens „dwl“ besitze, dann kann ich mit der 7G/6G keine Dateien aus dem Ordner mehr downloaden .. wie stell ich das ab?
Danke im voraus für Deine Hilfe.
Grüße aus Hemmoor
Frank
2. März 2020 um 23:32
Hallo, ich habe 2 kleine Probleme mit deine .htacess. zum einen funktioniert das ganz nicht mit der Firewall 7G, mit der 6G hab ich keine Probleme. Passt da eventuell noch irgendwas nicht? Ebenfalls bekomme ich mit dem Browser MS Edge keine Bilder auf meinen Seiten angezeigt. An welcher Einstellung könnte das liegen?
LG Andreas
12. Februar 2020 um 13:35
Kann es sein, dass das mit
ServerSignature Off
nicht funktioniert?
13. Februar 2020 um 15:40
Als ich meine, wenn ich ihre Seite bei https://securityheaders.com/ testen lasse dann wird der Server genannt
10. Februar 2020 um 20:23
Hallo, ich habe nochmal eine andere Frage, Habe über deine .htacces die gzip Kompression eingeschaltet. Ebenfalls lasse ich Autoptimize und den Cache Enabler laufen. Wieso sagt mir Pingdom Tools ein Hinweis mit Grade D bei der Gzip Compression? Muss ich da nochmehr oder was anderes einstellen?
LG Michael