Zum Inhalt springen

Readme – aber doch nicht gleich jeder

Wordpress

Readme – Lies mich. Hinter solchen Dateien sind oft wertvolle Hinweise für Software aller Art „versteckt“. Ob sie wirklich jemand liest? Alle Nutzer der jeweiligen Software ganz bestimmt nicht. Solange es sich um Software auf dem heimischen PC handelt bin ich eigentlich der Einzige der auf diese Datei Zugriff hat. Im Netz verwendete Scripte – z.B. auch WordPress – geben diese Inhalte vielleicht Dinge preis, die nicht zwangsläufig jeder wissen muss.

Über die vermeidbaren Sicherheitslücken von WordPress hatte ich schon vor lange Zeit berichtet. Dabei ging es hauptsächlich um die Verschleierung der installierten Version von WordPress. Im Stammverzeichnis der WordPressinstallation gibt es jedoch noch zwei weitere Dateien die über die verwendete WP-Version bereitwillig Auskunft geben:

  • readme.html
  • liesmich.html

Diese Dateien werden gerne mal „übersehen“ und nach erfolgreicher Installation nicht gelöscht. Böse Menschen kennen den Weg dorthin und wissen ggf. was damit anzufangen :cool: .

Was nützt die beste Verschleierung in der header.php, wenn im Rootverzeichnis genau die gleichen Daten ein weiteres Mal existieren. Also – löschen!

Und wenn ihr schon dabei seid Euer Rootverzeichnis mal zu inspizieren, die wp-config-sample.php kann gleich mit entfernt werden. Wer jetzt denkt, „was schreibt der denn, das weiß ich doch längst“ – mag sein, aber es gibt immer wieder Nutzer die man ein wenig auf die Nase stupsen muss. Nichts anderes soll dieser Beitrag tun.

Ein paar meiner Feedreader-Klienten haben diese Dateien nämlich immer noch behalten wie ich eben sehen konnte :wink: .

Schlagwörter:

12 Gedanken zu „Readme – aber doch nicht gleich jeder“

  1. Völlig richtig, diese Dateien müssen aus Sicherheitsgründen gelöscht werden.

    Ergänzend sollte man noch im Verzeichnis wp-admin die Dateien

    – install-helper.php
    – install.php

    löschen.

    Dabei jedoch bitte nicht vergessen, dass diese Dateien nach jedem Update wieder vorhanden sin, also wieder gelöscht werden müssen.

  2. Willkommen bei Nicht spurlos, Jürgen und Danke für die Ergänzung Deinerseits. Der Punkt eines Updates ist genau jener, ander der viele dann nicht daran denken.

    Hier wäre wünschenswert, dass eine Überprüfung von WordPress stattfindet und dann ein entsprechender Hinweis im Backend „bitte noch entfernen…..“.

  3. Hallo Thomas und Jürgen.

    Danke für den Hinweis mit diesen Dateien :yes: , Status seit gerade eben –> Dateien gelöscht! :jubel:

    Grüße aus TmoWizard’s Castle zu Augsburg

    Mike, TmoWizard

  4. Thomas,

    ja ein derartiger Hinweis im Backend wäre sicher eine schöne Sache, doch dazu müsste WP bzw Automatik überhaupt mal darauf hinweisen, dass man diese Dateien nach der Installation und dem Update löschen sollte, dies wird meines Wissens nirgends gemacht.

  5. @Jürgen: WP und Automatik auf etwas hinweisen…. hm. Grundsätzlich hast Du ja recht damit. Doch da rechne ich keine Chancen aus etwas zu bewegen. Da gab es in der Vergangenheit immer wieder ähnliche Dinge die schlichtweg und stillschweigend übergangen wurden. Ist halt so :cool:

  6. Richtig … da wird sich nichts ändern, das ist aber nicht nur bei WP so, sondern ich kenne das von den meisten CMS. Dafür gibt es jedoch eine sehr gute Community bei WP ;)

  7. Tata, wieder etwas dazu gelernt & Danke für den/die Tipps. Da ist man so viele Jahre dabei (jedenfalls immer mal wieder *lach*) und dann solch nützliche Tipps an die man all die Jahre nicht gedacht hat/hätte.

  8. Hallo,

    vielen Dank für die Hinweise. Mir musstest du wirklich nochmal an die Nase stupsen. An soetwas habe ich gar nicht gedacht, die Dateien befanden sich die ganze Zeit noch in meinem Verzeichnis..

  9. Pingback: 2014: Ich bin neugierig auf Dich | Sylvis Blog

  10. Pingback: Mein Start mit WordPress 3.9 und die kleinen Widrigkeiten | Sylvis Blog

Schreibe einen Kommentar zu ReWehde Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Du kannst Dich informieren lassen wenn es Folgekommentare gibt. Du kannst aber auch abonnieren ohne zu kommentieren.