Really Simple Security

Veröffentlicht am:

Themen:

In irgendeiner „Die 10 besten WordPress-Plugins, die du unbedingt installieren musst“-Liste muss Really Simple Security auftauchen. Anders kann ich mir nicht erklären, warum haufenweise Kunden mit dem Plugin arbeiten und sich wundern das Ihre Bilder nicht angezeigt werden.

Grund: Das Plugin schreibt in die .htaccess Datei im Upload Ordner von WordPress folgende Zeile

#Begin Really Simple Security
<Files *.php>
deny from all
</Files>
#End Really Simple Security

Das soll davor schützen, dass PHP Skripte in den Upload Ordner geladen und von dort ausgeführt werden. Was ja ein durchaus gängiges Angriffsszenario ist. deny from all ist aber ein Befehl, der von Apache 2.4.x nicht mehr genutzt wird und so zu einem Fehler führt. Alles, was sich im Verzeichnis wp-upload befindet, wird nicht mehr aufgerufen. Also keine Bilder, kein Design … nothing.

Warum ein aktuell gepflegtes Plugin den verwendeten Apachen nicht erkennt und nicht die passenden Befehle nutzt, ist mir ein Rätsel. Davon abgesehen, dass ich von Schlangenöl-Anwendungen sowieso nichts halte.