Die folgende Fehlermeldung beim Hochladen einer Datei ist den meisten Administratoren einer WordPress-Website bestimmt schon einmal in die Quere gekommen:
Dieser Dateityp ist aus Sicherheitsgründen nicht erlaubt.
Und dann? Wer sich zu helfen wusste, konnte die Datei einfach per FTP oder die Kommandozeile in die Mediathek kopieren. Eine Lösung, die zwar funktioniert, aber doch alles in allem zeitaufwändig ist.
Warum sperrt WordPress bestimmte Dateitypen?
Per Default besitzt WordPress einige Sicherheitsmechanismen, die das Hochladen potentiell schädlicher Dateien (zumindest ein wenig) schwieriger gestalten sollen.
Die Mediathek erlaubt daher nur Dateiformate mit den folgenden Endungen:
- Grafiken und Bilder
- .jpg, .jpeg
- .png
- .svg (nicht alle Versionen)
- .gif
- .heic
- .webp
- Dokumente
- .odt
- .doc, .docx
- .ppt, .pptx, .pps, .ppsx
- .xls, .xlsx
- .key
Nun kann man sich darüber streiten, inwieweit manipulierte Dateien mit diesen Endungen nicht ebenfalls Schäden verursachen können. Aber gut, isso.
Nicht unterstützte Dateiformate in die Mediathek laden
Glücklicherweise gibt es zwei Möglichkeiten, WordPress dazu zu überreden, individuell freigegebene Dateiformate für den Upload über das Admin-Panel zu akzeptieren. Und das sogar ganz ohne Plugin!
Sicherheitseinstellungen für das Hochladen deaktivieren
Wer das Problem gerne mit dem Vorschlaghammer lösen möchte, setzt den Sicherheitsmechanismus einfach komplett außer Kraft. Dazu genügt ein kleiner Eintrag in die wp-config.php – so sieht er aus:
/* Alle Dateiarten für Uploads erlauben. */
define( 'ALLOW_UNFILTERED_UPLOADS', true );Tipp: Es ist nicht die schlechteste Idee, nach dem erfolgten Dateiupload (bzw. sobald keine Notwendigkeit mehr besteht), diese Einstellung wieder zu entfernen oder ihren Wert auf false zu setzen.
Dateitypen explizit freigeben
Einen eleganteren Weg geht die zweite Möglichkeit:
Hier findet sozusagen ein Opt-In statt. Das heißt, wir schalten die gewünschten Dateitypen explizit frei. Der eigentliche Sicherheitsmechanismus bleibt dabei in Kraft.
Dafür müssen wir die functions.php des Themes bemühen und dort den folgenden Code dort einfügen.
Ganz wichtig: Diese Methode ist nur beim Einsatz eines Child-Themes sinnvoll, da beim nächsten Update des Themes unsere Änderungen wieder überschrieben werden.
So wird’s gemacht (am Beispiel häufig genutzter Dateiarten):
/* MIME-Type für Upload freigeben. */
function meine_mimes() {
$neue_dateitypen = array(
'jpg|jpeg' => 'image/jpeg',
'png' => 'image/png',
'gif' => 'image/gif',
'svg' => 'image/svg+xml',
'svg' => 'application/pdf',
'ttf' => 'application/ttf');
return $neue_dateitypen; }
add_filter('upload_mimes', 'meine_mimes');Achtung: Es ist erforderlich, wirklich alle Dateitypen anzugeben, die WordPress für das Hochladen akzeptieren soll! Vermutlich handelt es sich dabei einen Bug in WordPress (getestet mit Version 6.2).
Sie können weitere Dateitypen (z.B. für Schriftarten) hinzufügen, indem Sie beispielsweise Zeile 9 duplizieren und die Kopie entsprechend der Dateiendung und des MIME-Typs anpassen.
Falls der MIME-Typ nicht bekannt ist, probieren Sie es einfach mit application/xxx, wobei xxx die Dateiendung darstellt. In vielen Fällen klappt das. In allen anderen hilft die Suchmaschine Ihres Vertrauens weiter. Suchen Sie einfach nach „liste mime-typen“.
Autor: Tobias Eichner | Datum der Veröffentlichung: März 2023
Wichtig: Bitte beachten Sie die Nutzungsbedingungen und rechtlichen Hinweise für diesen Beitrag!
