Wenn WordPress-Debugging aktiviert ist (WP_DEBUG_LOG), werden Fehler und Warnungen in /wp-content/debug.log geschrieben. Wenn diese Datei öffentlich zugänglich ist, kann sie Angreifern sensible Informationen offenbaren.
Was debug.log offenlegen kann
- Datenbankabfragen und Verbindungsdetails
- Dateisystempfade (Serververzeichnisstruktur)
- Plugin- und Theme-Fehler mit Stack Traces
- PHP-Warnungen, die Code-Logik offenbaren
- Potenziell sensible Benutzerdaten
Methode 1: Zugriff per .htaccess blockieren
Füge dies zur .htaccess-Datei in deinem wp-content-Verzeichnis hinzu:
<Files debug.log>
Order allow,deny
Deny from all
</Files>Methode 2: Zugriff per Nginx blockieren
location ~* /debug\.log$ {
deny all;
return 404;
}Methode 3: Log-Datei verschieben
Ändere den Speicherort der Log-Datei in der wp-config.php auf einen Pfad außerhalb des Web-Roots:
define('WP_DEBUG', true);
define('WP_DEBUG_LOG', '/home/user/logs/wp-debug.log');
define('WP_DEBUG_DISPLAY', false);Best Practice: Auf Produktion deaktivieren
define('WP_DEBUG', false);
define('WP_DEBUG_LOG', false);
define('WP_DEBUG_DISPLAY', false);Mit InspectWP überprüfen
InspectWP prüft, ob /wp-content/debug.log öffentlich zugänglich ist. Nach der Absicherung führe einen neuen Scan durch, um zu bestätigen, dass die Datei nicht mehr erreichbar ist.