Sichere Dateiablage im Webhosting: Was nicht in public_html gehört
Der Ordner public_html ist in vielen cPanel-Konten das öffentliche Webverzeichnis Ihrer Hauptdomain. Dateien, die dort liegen, können je nach Konfiguration über den Browser erreichbar sein. Genau deshalb ist es wichtig, dort nur Dateien abzulegen, die tatsächlich für Ihre Website benötigt werden.
Viele Sicherheitsprobleme entstehen, weil sensible Dateien versehentlich im öffentlich erreichbaren Bereich gespeichert werden: Datenbankexporte, ZIP-Backups, Konfigurationsdateien, alte Website-Kopien oder temporäre Dateien. Solche Dateien können vertrauliche Informationen enthalten und sollten nicht ungeschützt im Webverzeichnis liegen.
Alles, was nicht öffentlich über Ihre Website erreichbar sein muss, sollte nicht dauerhaft im Ordner
public_html gespeichert werden.Warum public_html besonders sensibel ist
Der Zweck von public_html ist die öffentliche Auslieferung von Website-Dateien. HTML-Dateien, Bilder, CSS, JavaScript oder PHP-Anwendungen gehören dort in der Regel hin. Backups, interne Dokumente, Datenbankexporte und Konfigurationsdateien mit Zugangsdaten gehören dagegen nicht dauerhaft in diesen Bereich.
Auch wenn eine Datei nicht direkt verlinkt ist, kann sie unter Umständen erreichbar sein, wenn der Dateiname bekannt ist oder erraten wird. Besonders problematisch sind einfache Namen wie:
backup.zipdatabase.sqlwebsite-alt.zipdump.sqlconfig.php.bak.env
Diese Dateien sollten nicht in public_html liegen
| Dateityp | Risiko | Empfehlung |
|---|---|---|
.sql |
Kann Datenbankinhalte enthalten. | Nach Download vom Server entfernen oder ausserhalb von public_html speichern. |
.zip, .tar.gz |
Kann vollständige Website-Backups enthalten. | Nicht dauerhaft im Webverzeichnis behalten. |
.env |
Kann Zugangsdaten und API-Schlüssel enthalten. | Nicht öffentlich speichern. |
.bak, .old |
Kann alte Konfigurationen oder Code enthalten. | Entfernen oder sicher ausserhalb ablegen. |
| interne Dokumente | Können vertrauliche Informationen enthalten. | Nicht im öffentlichen Webverzeichnis ablegen. |
Backups sicher speichern
Backups sind wichtig, sollten aber nicht dauerhaft im öffentlich erreichbaren Website-Ordner liegen. Ein vollständiges ZIP-Backup kann Quellcode, Konfigurationsdateien, Uploads und manchmal auch Datenbankexporte enthalten.
Empfohlener Ablauf:
- Backup erstellen.
- Backup auf den lokalen Computer herunterladen.
- Backup zusätzlich an einem sicheren Ort speichern.
- Backup-Datei vom Webserver entfernen, wenn sie dort nicht mehr benötigt wird.
Wenn Sie Backups auf dem Server aufbewahren müssen, sollten diese nach Möglichkeit ausserhalb des öffentlichen Webverzeichnisses liegen und nicht direkt per Browser erreichbar sein.
Datenbankexporte besonders schützen
Dateien mit der Endung .sql enthalten häufig vollständige Datenbankexporte. Bei CMS- oder Shop-Systemen können darin Seiteninhalte, Benutzerinformationen, E-Mail-Adressen, Einstellungen oder andere vertrauliche Daten enthalten sein.
Ein öffentlich erreichbarer Datenbankexport kann gravierende Folgen haben. Laden Sie Datenbankexporte nach der Erstellung herunter und entfernen Sie sie anschliessend aus dem Webverzeichnis.
Alte Installationen entfernen
Alte Website-Versionen, Testinstallationen und Entwicklungsordner sind nicht nur Speicherfresser, sondern auch Sicherheitsrisiken. Veraltete CMS-Versionen, Plugins oder Themes können bekannte Sicherheitslücken enthalten.
Prüfen Sie regelmässig Ordner wie:
oldbackuptestdevstagingwordpress-alt
Wenn diese Installationen nicht mehr benötigt werden, sichern Sie sie bei Bedarf lokal und entfernen Sie sie vom Server.
Zugriff per .htaccess blockieren?
In manchen Fällen kann der Zugriff auf bestimmte Dateitypen zusätzlich per .htaccess blockiert werden. Das kann sinnvoll sein, ersetzt aber keine saubere Dateiablage.
<FilesMatch "\.(sql|bak|old|zip|tar|gz|env)$">
Require all denied
</FilesMatch>Diese Regel kann den direkten Zugriff auf bestimmte Dateiendungen blockieren. Trotzdem sollten solche Dateien gar nicht erst dauerhaft im öffentlichen Webverzeichnis liegen.
Best Practices
- Legen Sie nur öffentlich benötigte Website-Dateien in
public_htmlab. - Entfernen Sie alte ZIP- und Backup-Dateien nach dem Download.
- Speichern Sie Datenbankexporte nicht dauerhaft im Webverzeichnis.
- Bewahren Sie Zugangsdaten und Konfigurationsdateien nicht öffentlich erreichbar auf.
- Entfernen Sie alte Testinstallationen.
- Prüfen Sie regelmässig grosse und ungewöhnliche Dateien.
- Nutzen Sie Zugriffsschutz nur ergänzend, nicht als Ersatz für sichere Ablage.
Der Ordner
public_html ist für öffentlich erreichbare Website-Dateien gedacht. Backups, Datenbankexporte, sensible Konfigurationsdateien und alte Installationen sollten dort nicht dauerhaft gespeichert werden. Eine saubere Dateiablage reduziert Sicherheitsrisiken und hält Ihr Hosting-Konto übersichtlich.Wenn Sie prüfen möchten, ob Backups, Datenbankexporte oder sensible Dateien sicher abgelegt sind, unterstützt Sie der CURIAWEB-Support gerne.
Support-Anfrage erstellen