Manche Dateien landen versehentlich im öffentlich erreichbaren Web-Verzeichnis – zum Beispiel Datenbank-Backups, Konfigurationsdateien oder Versionskontroll-Ordner. Diese können von jedem aus dem Internet heruntergeladen werden, ohne dass du es merkst.
Welche Dateien sind ein Risiko?
Datenbank-Backups (
.sql,.sql.gz,.zip): Enthalten alle Daten deiner WordPress-Installation inklusive Passwort-Hashes.Konfigurationsdateien (
.env,config.php): Können Zugangsdaten für Datenbank oder externe APIs enthalten.Git-Verzeichnisse (
.git/): Geben den gesamten Quellcode-Verlauf preis.Debug-Logs (
debug.log,error_log): Zeigen interne Fehlermeldungen und Pfade.Veraltete Installations-Dateien (
install.php,setup.php): Können Angreifern ermöglichen, Software neu zu installieren.
Dateien löschen oder verschieben
Die einfachste Lösung: Lösche die Datei über den Dateimanager in Plesk oder verschiebe sie in ein Verzeichnis außerhalb des httpdocs-Ordners.
Zugriff per .htaccess sperren
Falls die Datei aus technischen Gründen im httpdocs-Ordner bleiben muss, kannst du den direkten Web-Zugriff darauf über die .htaccess sperren:
<FilesMatch "\.(sql|bak|log|env)$">
Order Allow,Deny
Deny from all
</FilesMatch>Tipp: Lege Backups niemals direkt im
httpdocs-Ordner ab. Speichere sie in einem übergeordneten Verzeichnis oder lade sie direkt auf deinen lokalen Computer herunter.