• Hallo,

    unter Wordfence habe ich einen kritischen Fehler:

    Publicly accessible config, backup, or log file found: wp-content/debug.log

    Type: Publicly Accessible Config/Backup/Log

    Kann mir jemand dabei behilflich sein, es zu beseitigen bitte?

    Hier ist der Websitezustandbericht:

    ` wp-core
    
    version: 6.3
    site_language: de_DE_formal
    user_language: de_DE
    timezone: Europe/Berlin
    permalink: /%postname%/
    https_status: true
    multisite: false
    user_registration: 0
    blog_public: 1
    default_comment_status: open
    environment_type: production
    user_count: 62
    dotorg_communication: true wp-paths-sizes wordpress_path: /customers/5/f/b/brillox.de/httpd.www
    wordpress_size: 3,75 GB (4031727973 bytes)
    uploads_path: /customers/5/f/b/brillox.de/httpd.www/wp-content/uploads
    uploads_size: 163,31 MB (171248104 bytes)
    themes_path: /customers/5/f/b/brillox.de/httpd.www/wp-content/themes
    themes_size: 8,27 MB (8668755 bytes)
    plugins_path: /customers/5/f/b/brillox.de/httpd.www/wp-content/plugins
    plugins_size: 229,54 MB (240688822 bytes)
    database_size: 71,11 MB (74564608 bytes)
    total_size: 4,22 GB (4526898262 bytes) wp-dropins (1) advanced-cache.php: true wp-active-theme name: Hello Elementor (hello-elementor)
    version: 2.8.1
    author: Elementor Team
    author_website: https://elementor.com/?utm_source=wp-themes&utm_campaign=author-uri&utm_medium=wp-dash
    parent_theme: none
    theme_features: core-block-patterns, widgets-block-editor, post-thumbnails, menus, automatic-feed-links, title-tag, html5, custom-logo, editor-style, align-wide, woocommerce, wc-product-gallery-zoom, wc-product-gallery-lightbox, wc-product-gallery-slider
    theme_path: /customers/5/f/b/brillox.de/httpd.www/wp-content/themes/hello-elementor
    auto_update: Deaktiviert wp-themes-inactive (2) Twenty Twenty: version: 2.2, author: Das WordPress-Team, Automatische Aktualisierungen deaktiviert
    Twenty Twenty-Two: version: 1.4, author: Das WordPress-Team, Automatische Aktualisierungen deaktiviert wp-mu-plugins (3) burst_rest_api_optimizer.php: author: (undefined), version: (undefined)
    Health Check Troubleshooting Mode: author: (undefined), version: 1.9.0
    rms_unique_wp_mu_pl_fl_nm.php: author: (undefined), version: (undefined) wp-plugins-active (30) Antispam Bee: version: 2.11.3, author: pluginkollektiv, Automatische Aktualisierungen deaktiviert
    Autoptimize: version: 3.1.8.1, author: Frank Goossens (futtta), Automatische Aktualisierungen deaktiviert
    Contact Form 7: version: 5.8, author: Takayuki Miyoshi, Automatische Aktualisierungen deaktiviert
    CookieYes | GDPR Cookie Consent: version: 3.1.1, author: CookieYes, Automatische Aktualisierungen deaktiviert
    Duplicate Page: version: 4.5.2, author: mndpsingh287, Automatische Aktualisierungen deaktiviert
    Elementor: version: 3.15.2, author: Elementor.com, Automatische Aktualisierungen deaktiviert
    Fusion Builder: version: 2.2.3, author: ThemeFusion, Automatische Aktualisierungen deaktiviert
    Fusion Core: version: 4.2.3, author: ThemeFusion, Automatische Aktualisierungen deaktiviert
    GA Google Analytics: version: 20230721, author: Jeff Starr, Automatische Aktualisierungen deaktiviert
    Germanized for WooCommerce: version: 3.13.3, author: vendidero, Automatische Aktualisierungen deaktiviert
    Health Check & Troubleshooting: version: 1.7.0, author: The WordPress.org community, Automatische Aktualisierungen deaktiviert
    Imagify: version: 2.1.1, author: Imagify – Optimize Images & Convert WebP, Automatische Aktualisierungen deaktiviert
    Koko Analytics: version: 1.0.38, author: ibericode, Automatische Aktualisierungen deaktiviert
    Loco Translate: version: 2.6.4, author: Tim Whitlock, Automatische Aktualisierungen deaktiviert
    Maintenance: version: 4.07, author: WebFactory Ltd, Automatische Aktualisierungen deaktiviert
    Multi-Step Checkout for WooCommerce: version: 2.25, author: SilkyPress, Automatische Aktualisierungen deaktiviert
    PowerPack Lite for Elementor: version: 2.7.9, author: IdeaBox Creations, Automatische Aktualisierungen deaktiviert
    Redirection: version: 5.3.10, author: John Godley, Automatische Aktualisierungen deaktiviert
    Slider Revolution: version: 6.2.14, author: ThemePunch, Automatische Aktualisierungen deaktiviert
    Templately: version: 2.2.2, author: Templately, Automatische Aktualisierungen deaktiviert
    TP Product Image Flipper for Woocommerce: version: 2.0.0, author: TP Plugins, Automatische Aktualisierungen deaktiviert
    Two Factor: version: 0.8.1, author: Plugin Contributors, Automatische Aktualisierungen deaktiviert
    WooCommerce: version: 8.0.1, author: Automattic, Automatische Aktualisierungen deaktiviert
    WooCommerce PayPal Payments: version: 2.2.0, author: WooCommerce, Automatische Aktualisierungen deaktiviert
    Wordfence Security: version: 7.10.3, author: Wordfence, Automatische Aktualisierungen deaktiviert
    WP-Sweep: version: 1.1.8, author: Lester 'GaMerZ' Chan, Automatische Aktualisierungen deaktiviert
    wp-Typography: version: 5.9.1, author: Peter Putzer, Automatische Aktualisierungen deaktiviert
    WPS Hide Login: version: 1.9.8, author: WPServeur, NicolasKulka, wpformation, Automatische Aktualisierungen deaktiviert
    WP Super Cache: version: 1.9.4, author: Automattic, Automatische Aktualisierungen deaktiviert
    Yoast SEO: version: 20.13, author: Team Yoast, Automatische Aktualisierungen deaktiviert wp-plugins-inactive (2) Really Simple SSL: version: 7.0.8, author: Really Simple Plugins, Automatische Aktualisierungen deaktiviert
    SmartCrawl: version: 3.7.0, author: WPMU DEV, Automatische Aktualisierungen deaktiviert wp-media image_editor: WP_Image_Editor_Imagick
    imagick_module_version: 1690
    imagemagick_version: ImageMagick 6.9.10-23 Q16 x86_64 20190101 https://imagemagick.org
    imagick_version: 3.7.0
    file_uploads: File uploads is turned off
    post_max_size: 256M
    upload_max_filesize: 256M
    max_effective_size: 256 MB
    max_file_uploads: 20
    imagick_limits:
    imagick::RESOURCETYPE_AREA: 503 GB
    imagick::RESOURCETYPE_DISK: 1.844674407371E+19
    imagick::RESOURCETYPE_FILE: 192
    imagick::RESOURCETYPE_MAP: 503 GB
    imagick::RESOURCETYPE_MEMORY: 251 GB
    imagick::RESOURCETYPE_THREAD: 1
    imagick::RESOURCETYPE_TIME: 1.844674407371E+19
    imagemagick_file_formats: 3FR, 3G2, 3GP, AAI, AI, ART, ARW, AVI, AVS, BGR, BGRA, BGRO, BIE, BMP, BMP2, BMP3, BRF, CAL, CALS, CANVAS, CAPTION, CIN, CIP, CLIP, CMYK, CMYKA, CR2, CRW, CUR, CUT, DATA, DCM, DCR, DCX, DDS, DFONT, DNG, DPX, DXT1, DXT5, EPDF, EPI, EPS, EPS2, EPS3, EPSF, EPSI, EPT, EPT2, EPT3, ERF, FAX, FILE, FITS, FRACTAL, FTP, FTS, G3, G4, GIF, GIF87, GRADIENT, GRAY, GRAYA, GROUP4, H, HALD, HDR, HISTOGRAM, HRZ, HTM, HTML, HTTP, HTTPS, ICB, ICO, ICON, IIQ, INFO, INLINE, IPL, ISOBRL, ISOBRL6, JBG, JBIG, JNG, JNX, JPE, JPEG, JPG, JPS, JSON, K25, KDC, LABEL, M2V, M4V, MAC, MAGICK, MAP, MASK, MAT, MATTE, MEF, MIFF, MKV, MNG, MONO, MOV, MP4, MPC, MPEG, MPG, MRW, MSL, MTV, MVG, NEF, NRW, NULL, ORF, OTB, OTF, PAL, PALM, PAM, PATTERN, PBM, PCD, PCDS, PCL, PCT, PCX, PDB, PDF, PDFA, PEF, PES, PFA, PFB, PFM, PGM, PGX, PICON, PICT, PIX, PJPEG, PLASMA, PNG, PNG00, PNG24, PNG32, PNG48, PNG64, PNG8, PNM, PPM, PREVIEW, PS, PS2, PS3, PSB, PSD, PTIF, PWP, RADIAL-GRADIENT, RAF, RAS, RAW, RGB, RGBA, RGBO, RGF, RLA, RLE, RMF, RW2, SCR, SCT, SFW, SGI, SHTML, SIX, SIXEL, SPARSE-COLOR, SR2, SRF, STEGANO, SUN, TEXT, TGA, THUMBNAIL, TIFF, TIFF64, TILE, TIM, TTC, TTF, TXT, UBRL, UBRL6, UIL, UYVY, VDA, VICAR, VID, VIFF, VIPS, VST, WBMP, WEBP, WMV, WPG, X, X3F, XBM, XC, XCF, XPM, XPS, XV, XWD, YCbCr, YCbCrA, YUV
    gd_version: bundled (2.1.0 compatible)
    gd_formats: GIF, JPEG, PNG, WebP, BMP, XPM
    ghostscript_version: unknown wp-server server_architecture: Linux 5.15.0-75-generic x86_64
    httpd_software: Apache
    php_version: 8.2.9 64bit
    php_sapi: cgi-fcgi
    max_input_variables: 5000
    time_limit: 300
    memory_limit: 536870912
    max_input_time: 60
    upload_max_filesize: 256M
    php_post_max_size: 256M
    curl_version: 7.68.0 OpenSSL/1.1.1f
    suhosin: false
    imagick_availability: true
    pretty_permalinks: true
    htaccess_extra_rules: true
    current: 2023-08-14T10:11:16+00:00
    utc-time: Monday, 14-Aug-23 10:11:16 UTC
    server-time: 2023-08-14T12:11:15+02:00 wp-database extension: mysqli
    server_version: 10.5.21-MariaDB-1:10.5.21+maria~ubu2004
    client_version: mysqlnd 8.2.9
    max_allowed_packet: 1073741824
    max_connections: 2048 wp-constants WP_HOME: undefined
    WP_SITEURL: undefined
    WP_CONTENT_DIR: /customers/5/f/b/brillox.de/httpd.www/wp-content
    WP_PLUGIN_DIR: /customers/5/f/b/brillox.de/httpd.www/wp-content/plugins
    WP_MEMORY_LIMIT: 40M
    WP_MAX_MEMORY_LIMIT: 536870912
    WP_DEBUG: true
    WP_DEBUG_DISPLAY: false
    WP_DEBUG_LOG: true
    SCRIPT_DEBUG: false
    WP_CACHE: true
    CONCATENATE_SCRIPTS: undefined
    COMPRESS_SCRIPTS: undefined
    COMPRESS_CSS: undefined
    WP_ENVIRONMENT_TYPE: Nicht definiert
    WP_DEVELOPMENT_MODE: undefined
    DB_CHARSET: utf8
    DB_COLLATE: undefined wp-filesystem wordpress: writable
    wp-content: writable
    uploads: writable
    plugins: writable
    themes: writable
    mu-plugins: writable

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 8 Antworten – 1 bis 8 (von insgesamt 8)
  • Publicly accessible config, backup, or log file found: wp-content/debug.log

    … heißt umgangssprachlich, dass der Fehlerlog, den WordPress unter bestimmten Umständen ausgibt, für alle einsehbar ist.

    Warum wird das als Fehler moniert?
    Angreifer könnten die Fehlermeldungen nach möglichen Schwachstellen durchsuchen, um die Website z.B. über Sicherheitslücken in Plugins anzugreifen.

    Wie stellst du das ab?
    Du kannst einerseits das Debugging komplett abstellen und die Datei wp-content/debug.log löschen. Dazu änderst du in der wp-config.php die Zeilen

    // Enable WP_DEBUG mode
    define( 'WP_DEBUG', true );
    // Enable Debug logging to the /wp-content/debug.log file
    define( 'WP_DEBUG_LOG', true );

    in

    // Disable WP_DEBUG mode
    define( 'WP_DEBUG', false );
    // Disable Debug logging to the /wp-content/debug.log file
    define( 'WP_DEBUG_LOG', false );

    und entfernst die Datei per FTP-Programm oder über das Dateiverwaltungsmenü deines Webhosters.

    Alternativ kannst du auch einfach den Zugriff auf die Log-Datei sperren. Dazu fügst du in der .htaccess im Web-Stammverzeichnis folgende Zeilen oberhalb des von WordPress eingefügten Code-Blocks ein:

    <FilesMatch "\.(log|sql)(\.(t?gz|tar|gz|tar\.gz|7z|rar|bz2))?$">
    	<IfModule mod_authz_core.c>
    		Require all denied
    	</IfModule>
    	<IfModule !mod_authz_core.c>
    		Order deny,allow
    		Deny from all
    	</IfModule>
    </FilesMatch>
    
    # BEGIN WORDPRESS
    # …

    (Die Regel sperrt auch den Zugriff auf andere Log-Dateien des Servers, auch wenn sie komprimiert werden.)

    Noch eine Anmerkung: ich bin bei All-in-One-Security-Plugins immer kritisch, weil sie rasch ein falsches Sicherheitsgefühl vermitteln, wenn Anwender „alles angeklickt“ haben. Das ist so, wie wenn du regelmäßig Multivitamintabletten einwirfst und meinst, damit bereits alles zur Verbesserung deiner Gesundheit getan zu haben. Weißt du, was du da eingestellt hast und wieso du dich für diese oder jede Variante entschieden hast? Bist du sicher, dass du damit alle Sicherheitsrisiken abgedeckt hast? Welche zusätzlichen Risiken hätte es ohne den Einsatz des Plugins gegeben?

    Thread-Starter bolzen10

    (@bolzen10)

    Habe true in false geändert. Der Fehler ist Weg! Danke!

    Datei löschen meinst du die:? wp-content/debug.log ?

    Ja die ist gemeint

    Thread-Starter bolzen10

    (@bolzen10)

    Noch eine Frage: „den Code in die Datei .htaccess einfügen“ um den Zugriff auf die Log-Datei sperren.

    In jedem Ordner meiner DB befindet sich eine .htaccess Datei. In welche htaccess Datei soll der Code rein? In die Datei die sich im wp-content Ordner befindet?

    In jedem Ordner meiner DB befindet sich eine .htaccess Datei

    In der Datenbank (DB?) befinden sich Datenbank-Tabellen.
    Die Dateien deiner WordPress-Installation sind auf dem Server in Verzeichnissen gspeichert. Du kannst mit einem FTP-Programm (z.B. FileZilla) oder über ein Dateiverwaltungsprogramm deines Webhosters (Web-FTP) auf die Dateien zugreifen.

    In welche htaccess Datei soll der Code rein?

    Stammverzeichnis bezeichnet die oberste Verzeichnis-Ebene. Das Web-Stammverzeichnis ist die oberste Verzeichnis-Ebene deiner WordPress-Installation. Wie ich geschrieben habe, änderst du bitte die .htaccess im Web-Stammverzeichnis. Die Regel wirkt sich dann rekursiv aus, also auch auf alle darunter liegenden Verzeichnisse wie z.B. wp-content.

    Thread-Starter bolzen10

    (@bolzen10)

    Alles klar! Habe ich eingefügt!

    Du meinst schon zum zweiten Mal das ich „All-in-One-Security-Plugins“ verwende.

    Welcher ist es?

    Ich habe doch nur den Wordfence?! Oder ist es der Antispam Bee?

    unter Wordfence habe ich einen kritischen Fehler …

    „All-in-One-Security-Plugins“ ist der Sammelbegriff für Plugins, die durch diverse (mehr oder weniger sinnvolle) Einstellungen die Sicherheit einer WordPress umfassend („all in one“) gewährleisten sollen. Wenn man Benutzer fragt, warum sie bestimmte Einstellungen vorgenommen waren, gibt es mitunter lange Pausen.

    Sicher mag Wordfence auch einige Maßnahmen durchführen, die Angriffe zusätzlich erschweren (wobei WordPress nicht per se unsicher ist1, selbst wenn es gerne anders behauptet wird), aber du bekommst auch ein falsches Bild von Sicherheit vermittelt. „Laufende Angriffe“ in Form von Bot-generierten Pings auf wp-login.php sind keine echte Gefahr, auch wenn die Plugins das gerne werbewirksam behaupten.

    Als Teil einer Sicherheitsstrategie2 kann Wordfence eingesetzt werden. Du solltest dann aber bei jeder Einstellung prüfen, warum du diese Einstellung vornimmst.

    Sicherheitsplugins haben übrigens selber öfters gravierende Sicherheitsmängel.

    Lesenswert: Plugins: I Hate Security Plugins (mostly)

    1Ist WordPress sicher? Das sagen die Daten
    2WordPress Sicherheit – 19 Schritte zum Verriegeln Deiner Website

    Der Vollständigkeit halber:

    Ich wurde gerade auf eine unvollständige Darstellung hingewiesen.

    Die Regel wirkt sich dann rekursiv aus, also auch auf alle darunter liegenden Verzeichnisse wie z.B. wp-content.

    … gilt nur, „wenn in Unterverzeichnissen keine .htaccess mit gegenteiliger Regel existiert“. (Davon war ich ausgegangen.)

    Danke an Angelika (@lageek) für den Hinweis.

Ansicht von 8 Antworten – 1 bis 8 (von insgesamt 8)
  • Das Thema „Kritischer Fehler: Publicly accessible config,..“ ist für neue Antworten geschlossen.