Wordpress wp-content auslagern Sicherheitsrisiko?

[Zolar]

Hallo,

seit Wordpress 2.6 ist es möglich die bisher übliche Verzeichnisstruktur aufzubrechen und den Ordner wp-content Beispielsweise eine Ebene höher zu verlagern. Also statt:

htdocs\

• 
  wp-admin\
  wp-content\
  wp-includes\
  ...

so:

htdocs\

• 
  wp-admin\
  wp-includes\
  ...

wp-content\

In der Wordpress Community habe ich bisher sehr positives in Bezug auf die Erhöhung der Sicherheit der Wordpress Installation gelesen, da Angreifer/Scripts nicht mehr auf die bisher bekannte Verzeichnisstruktur zurückgreifen können.

Frage:

Kann das Auslagern dieses Ordners, welcher Themes/PHP aus potentiell unsicheren Quellen enthält, eine Ebene höher, die Gesamtsicherheit des Servers beeinträchtigen? Möglicherweise in noch höherem Maße als es Sicherheitsgewinn für Wordpress allein gibt?

Oder vereinfacht gefragt, kann PHP jetzt beispielsweise auf alle Ordner unterhalb dieses neuen zugreifen, also Statistiken, cgi etc?

Und ja, schon klar, potentiell unsichere Quellen sind potentiell immer unsicher Ich meine an dieser Stelle auch nicht vorsätzlich schadhafte Themes oder Plugins sondern einfach schlecht programmierte etc.

 

[CentY]

Es bringt absolut gar keinen Gewinn an Sicherheit, da moderne Crawler viele Varianten durch probieren und dabei ist die Hochverlagerung der Seite um ein Verzeichnis der erste Versuch

Mehr Sicherheit bringen dir Sachen wie Mod_security, disable_functions und natürlich aktuelle Scripte mit allen Patches.

 

[Mordor]

Zum einen stimmt das was Centy geschrieben hat. Zum anderen ist es ja so, dass im Ordner wp-content auch der upload-Ordner ist, wo Beispielsweise Bilder gespeichert werden, die du in deinem Blog veröffentlichst. Legst du diesen Ordner also auf die selbe Höhe wie htdocs, so bekommst du das Problem, dass z.B. Google die Bilder nicht mehr auslesen kann. Was ein schlechteres Ranking bei den Suchmaschinen zur Ursache hätte. Ausserdem werden diese Bilder auch nicht mehr in deiner Webseite angezeigt, sofern du diesen Ordner nicht umlegst.

Und zu guter letzt dürfte es auch schwierig sein, dass CSS-File aus dem wp-content Ordner auszulesen, wenn dieser nicht in der Hirarchie von htdocs ist.

Ich verstehe also auch nicht ganz, wie das generell funktionieren soll?!

 

[Zolar]

Danke erstmal für die prompten Antworten.

Ich verstehe also auch nicht ganz, wie das generell funktionieren soll?!

Darauf führen die meisten anderen Diskussionen zum Thema zurück:

WordPress 2.6 erlaubt das Auslagern von wp-content - bueltge.de [by:ltge.de]

 

[Zolar]

PS:

Nochmal nachgefragt: Könnte es auch ein Sicherheitsrisiko darstellen? Wie minimal auch immer.

PSS: Sry für DP