[ad_1]
Die Log-Dateien geben nicht nur dir einen Hinweis auf mögliche Probleme, sondern können auch für Angreifer eine interessante Information liefern, auf was sie sich beim Angriff konzentrieren sollen.
Beispiel: im Debug-Log steht, dass im Plugin „VeryBadCode“ einen Syntaxfehler in der Datei options.php aufgetreten ist. Da Fehler in WordPress Plugins meistens schnell gefixt werden, könnte das ein Hinweis auf eine ältere Version sein, die vielleicht auch noch andere Probleme (und vor allem eine Sicherheitslücke) hat. Ein Angriff könnte darauf abzielen, über die Abfrage von Debug-Logs diverser Websites solche Sicherheitslücken auszunutzen.
Üblicherweise wirst du deshalb über eine Regel in der .htaccess den direkten Zugriff per Browser verweigern.
<FilesMatch ".(htaccess|htpasswd|ini|psd|log|sh)$">
Order Allow,Deny
Deny from all
</FilesMatch>Sinnvoll ist auch z.B., den Zugriff auf readme.txt bzw. readme.md zu blockieren, damit Angreifer nicht so schnell auf die Versionsnummer eines Plugins kommen.
Bei einem Hackathon haben sich ein paar Programmierer dazu Gedanken gemacht, welche Dateien problematisch sein könnten und wie sich der Zugriff mit dem Kommandozeilen-Tool WP-CLI mit einem einzigen Befehl sperren lässt. Für Programmierer ist die Beschreibung auf der GitHub-Seite interessant: https://github.com/igorhrcek/wp-cli-secure-command
Viele Webhoster nutzen übrigens nginx als Reverse Proxy für Apache2, weil dann weiterhin die „.htaccess Tricks funktionieren“ und Kunden z.B. Redirects weiterhin nutzen können.
Ideal wäre, den Debug-Modus nur zur Fehlerbehebung zu aktivieren und nach erfolgreicher Arbeit die Log-Datei zu löschen und den Eintrag in der wp-config.php zu entfernen. Auch Dateien wie phpinfo.php mit Ausgabe aller Informationen zur genutzten (und vielleicht schon veralteten) PHP-Version gehen eigentlich niemanden etwas an.
Ich hatte schon ein paar Mal angesetzt, um zu antworten, aber dann wieder verworfen.
Ist die wp-debug.log gemeint oder die serverseitig optional mögliche debug-/debugging.log-Datei?