Wer das WordPress-Plugin „Dynamic Meta“ einsetzt, oder wer andere Plugins oder Funktionen einsetzt, die unnötige Begriffe ausfiltern sollen, der ist hin und wieder auf der Suche nach einer brauchbaren Liste mit solchen Stopp-Wörtern. Ohne Anspruch auf Brauchbarkeit für andere Zwecke, habe ich hier mal meine Dynamic-Meta-Liste in überarbeiteter Form veröffentlicht: (weiterlesen…)

Eigentlich warten viele ja schon auf die neue WP-Version 2.9, die mit einigen ganz neuen Features daherkommen wird. Die Betaphase für die 2.9. steht vor der Tür und noch vor Weihnachten soll da ein Realse kommen; man darf gespannt sein. Umso überraschender ist es, daß jetzt eine neue Zwischenversion 2.8.5 herausgekommen ist.
Die ist so neu, daß sie derzeit noch nicht einmal im „Update-Monitor“ von WP angezeigt wird. (weiterlesen…)

In den letzten Tagen habe ich mich –wie man sehen konnte‑ wieder etwas eingehender mit WordPress beschäftigt und habe Mittel und Wege aufgezeigt, wie man seine WP-Installations etwas schneller machen kann und sie von unnötigem Ballast entrümpelt. Die meisten Maßnahmen waren unkritisch mittels Plugins, etwas FTP und allenfalls durch das Editieren einzelner Zeilen zu erledigen. Heute geht es um die Optimierung des PHP-Speicherverbauchs. Auch das geht ohne Plugin und ohne Editierarbeit. (weiterlesen…)

Nachdem nur einige Tage das sehr speicherhungrige und datenbankintensive WP-Plugin zur Spamverhütung „Spamkarma“ abgeschaltet ist, läuft das System allein unter Akismet.
Bis lang habe ich nur Positives zu berichten. Kein einziger Spam-Kommentar ist durchgekommen. Ich bin derzeit zufrieden.

Die Eigenart von Wordpress, zu jedem hochgeladenen Bild gleich ein Thumbnail, also eine Voransichts-Version, herzustellen, wird oft noch begleitet von der Herstellung einer 150 Pixel oder 300 Pixel großen Datei. Man hat dann in der Mediathek gleich mehrere Formate eines Bildes für die Einbindung in seine Blogartikel parat. Das bläht aber den Ordner/wp-content/uploads unglaublich auf, manchmal hat man zu jedem einzelnen hochgeladenen Bild dann drei oder gar vier Versionen auf dem Server liegen. Das braucht Speicher. Wer diese Versionen nicht alle braucht, sollte mit dem Entrümpeln anfangen. (weiterlesen…)

WordPress möchte vieles narrensicher machen, ohne daß ein Narr vor dem Computer sitzt. In Amerika, wo jeder Narr ein König ist, mag das Sinn machen, mich stört da manches. So zum Beispiel die Angewohnheit von WP, zu jeden nur erdenklichen Bild das ich hochlade, ein Thumbnail zu erstellen. Ich brauche diese daumengroßen Bildchen für nix. (weiterlesen…)

Dynamic Meta, so heißt ein ganz beliebtes Plugin für WordPress. Dynamic Meta soll dafür sorgen, daß in den Metadaten der HTML-Seite die an den Browser ausgeliefert wird, die korrekten Keywords stehen. Dazu kann man in den Einstellungen des Plugins einige Wörter ausschließen, die in den Keywords keinen Sinn machen würden. Damit man hier keine unnötige Arbeit hat, helfe ich gerne weiter: (weiterlesen…)

Früher oder später trudelt bei jedem neuen WordPress-Weblog in den Kommentaren der erste Spam ein. Im Laufe der Zeit, wenn das Weblog etwas bekannter geworden ist, werden es Dutzende pro Monat, Woche, Tag oder Stunde sein, je nachdem wie bekannt und gut vergoogelt das Blog ist. Dagegen kann man einiges tun, zum Beispiel geeignete Software einsetzen. Entweder man setzt von vornherein auf ein Nischenprodukt wie Serendipity als Blogsoftware und hat mit dem Thema so gut wie nichts mehr zu tun oder aber man setzt unter WordPress eine Software wie Spam-Karma 2 oder Akismet ein. (weiterlesen…)

WordPress ist ein sehr universelles Blogging‑ und mittlerweile auch CMS-System. Um die universelle Einsetzbarkeit zu erhalten, ist WP nahezu durchgehend so programmiert, daß selbst kleinste Stylesheet-Informationen usw. durch Datenbankabfragen erledigt werden. Vor allem in den Vereinigten Staaten wird heftig diskutiert, ob man bei der Anpassung vorhandener Templatedateien nun besser hardcoden sollte oder nicht. Die einen sagen, es bringe ungeheure Vorteile, die anderen sagen es brächte nur einen minimalen Geschwindigkeitszuwachs. Hier erkläre ich, was gemeint ist: (weiterlesen…)

Um in einem WordPress-Blog eine Liste der archivierten Artikel auszugeben, gibt es den Template-Tag wp_get_archives. Dieses Tag akzeptiert eine ganze Reihe von Argumenten (hier nachzulesen) und man kann nahezu jede beliebige Liste von Artikeln damit darstellen. Oft steht man jedoch vor dem Problem, daß man bestimmte Kategorien von der Auflistung ausschließen möchte. Hier zeige ich, wie das geht: (weiterlesen…)

Manchmal besucht man Weblogs und denkt: „Wow, das Layout hier gefällt mir, das hätte ich auch gerne oder würde es gerne als Grundlage für meine eigenen Ideen verwenden.“
Doch dann scrollt man nach unten, wo man normalerweise die Credits findet, wo also üblicherweise so etwas steht wie „Running with Wordpress and Blub-Blub-Theme 2.3 by Stefan Drögewurst“ und leider findet man in diesem Fall nichts. Wie kann man nun herausfinden, was für ein Theme das ist? (weiterlesen…)

Da sich mein Schwesterprojekt „Fabriknahrung“ immer steigender Beliebheit erfreut, habe ihm heute Nacht ein neues Layout verpasst.
Fabriknahrung beschäftigt sich mit allen Fragen rund um industriell hergestellte Nahrung, Produktrückrufen, weist auf Mogelpackungen hin und kommentiert aktuelle Entwicklungen im Bereich Küche und Haushalt. Neben dem Hauptthema kümmert sich „Fabriknahrung“ auch um allgemeine Verbraucherfragen. (weiterlesen…)

Über die Jahre schreibt man in einem Weblog so einiges zusammen, die Zahl der Artikel geht bei einem gut gepflegten Weblog auch schnell mal in die Tausende. Und natürlich enthalten viele Artikel auch Links auf andere Webseiten, zu anderen Blogs, zu Bildern, Videos und Musiken. Was aber, wenn die Zielseiten im Laufe der Jahre nicht mehr erreichbar sind oder sich dort die Linkstruktur verändert hat? Dann weisen unter Umständen hunderte von Links ins Leere. Hier gibt es eine Möglichkeit, das zu beseitigen. (weiterlesen…)

Du hast einen Artikel geschrieben und überfliegst ihn vor dem Veröffentlichen noch einmal. Dann klickst Du auf „Publizieren“ und schon ist es passiert: Bei der ersten Kontrolle Deines Weblogs im Browser siehst Du doch noch einen oder mehrere Fehler… Naja, denkt man, kein Problem. Man kann den Artikel ja bearbeiten und die Fehler beheben. Doch es bleibt ein Problem: Der Artikel ist schon per Feed raus und Millionen, wenn nicht gar Milliarden von Lesern haben den fehlerhaften Text schon bekommen.
Dreibeinblog hat sich nach einer Lösung umgeschaut. (weiterlesen…)

Nachdem meine WordPress-Installationen vor rund einem Monat Ziel einer böswilligen Attacke geworden sind, habe ich mir einige Gedanken gemacht, wie ich WordPress (im Folgenden WP) etwas wirkungsvoller gegen solche Angriffe schützen kann.

Bei der vorgefallenen Attacke hatte der Angreifer sich ganz normal in meine WP-Adminoberfläche einloggen können und eine PHP-Datei von WP durch ein eigenes PHP-Skript ersetzt. Was dieses Skript genau machte, konnte ich nicht exakt nachvollziehen, jedenfalls erzeugte es eine Menge Queries und schien „nach Hause zu telefonieren“.
Die Datei war schnell lokalisiert und eliminiert. Ein sofortiges Verändern von Admin-Name und Passwort schafften erste Abhilfe.

1. Abschnitt: Admin-Account

Damit sind wir aber schon bei der ersten Schwachstelle im System.

Standardmäßig ist WP auf den Usernamen „admin“ voreingestellt und das Login dürfte somit bei einer Vielzahl von WP-Blogs so aussehen:

Wir müssen uns vor Augen halten, daß unliebsame Angreifer zunächst einmal vorne an der Tür rütteln, um zu schauen, ob sie offen steht, bevor sie sich mühsam auf die Suche nach anderen Einstiegsmöglichkeiten machen, um das mal bildlich auszudrücken.
Beliebtestes Angriffsziel ist daher der offizielle dafür vorgesehene Loginbereich des Weblog-Administrators.

Hier sieht WP zwei Hürden vor:

1. den Admin-Namen
2. das Passwort

Übernimmt man nun den voreingestellten Adminnamen „admin“, so lässt man sozusagen die erste Hürde gleich weg und der Angreifer kann sich ganz dem Passwort widmen.
Das bedeutet: Den Namen „admin“ zu verwenden ist letztlich eine Dummheit, die man kinderleicht umgehen kann, indem man einen anderen, am besten kryptischen, Namen wählt und möglichst nicht den eigenen Vornamen aus dem Impressum oder eine andere naheliegende Bezeichnung wählt.
Tabu sind Begriffe wie:

– Admin
 – Sysop
 – Webmaster
 – Blogger
 – der eigene Vorname
 – der Nachname
 – der Blogname
usw.

Am Besten wählt man eine mindestens 8 Zeichen lange Bezeichnung, die neben Buchstaben auch einige Zahlen enthält. Beispiel: TXT981XQ.

Durch diese einfache Maßnahme erschwert man einem unliebsamen Eindringling seine Arbeit schon ein kleines bißchen. Unerfahreneren Eindringlingen legt das schon gehörig Steine in den Weg. Und diese Maßnahme ist ebenso einfach wie wirkungsvoll. Warum also sollte man sie nicht anwenden.

Der erste Rat lautet also:

Wähle einen möglichst nicht zu ergründenden Admin-Namen für das Login!

2. Abschnitt: Adminaccount entfernen

Als nächste Maßnahme vernichten wir den Account des von WP bei der Installation vollautomatisch angelegten Nutzers „admin“.
Unerfahrenen Bloganwendern soll durch diesen automatisch kreierten Account die Arbeit etwas erleichtert werden, aber leider macht es das auch den Ganoven etwas leichter.
Also weg damit!

Deshalb füge man im Admin-Bereich einen neuen Administrator hinzu, dem man natürlich wieder nicht den Namen „admin“ oder „sysop“ gibt, ist ja klar.
Die Zugangsdaten dieses neuen Administrator wählt man möglichst kryptisch und notiert sie sich. Dann loggt man sich aus der Admin-Oberfläche wieder aus und meldet sich frisch bei WP an. Nun aber verwendet man die Zugangsdaten des eben neu angelegten neuen Administrators. Als nächstes entfernen (löschen) wir den automatisch angelegten „admin“.

Diese Maßnahme ist deshalb effizient, weil auch Skripte (Roboter) eingesetzt werden, die nach Weblogs mit Schwachstellen suchen und diese Robots natürlich zu allererst nach diesem voreingestellten „admin“ und der ihm stets zugewiesenen Nutzer-ID #1 suchen.

Der zweite Ratschlag lautet also:

Lege einen neuen Admin-Account an und lösche den admin # 1!

3. Abschnitt: Nutzeraccount erstellen

Ein weiterer Rat: Wir kennen das bereits seit Jahren von den Betriebssystemen unserer Computer. Man legt dort einen Administrator an, der alles darf und noch einen Nutzer, der bestimmte Betriebssystemfunktionen sicherheitshalber nicht oder erst nach Eingabe eines Sicherheitspasswortes ausführen kann. Sinnvollerweise sollte man immer unter dem Account des eingeschränkten Nutzers arbeiten, damit man nicht versehentlich größeren Schaden anrichten kann. Ob man das nun immer so macht, lasse ich mal dahingestellt, sinnvoll wäre das allemal.
Um es aber auf Weblog-Ebene nun eventuellen Angreifern etwas schwerer zu machen, kann man ohne weiteres bei WP einen weiteren Nutzeraccount allein zum Schreiben einrichten. Der Name des Admin taucht dann im Weblog überhaupt nicht mehr auf.
Wir haben dann also einen Admin-Account für die größeren Wartungsarbeiten am Weblog und einen einfachen Schreibaccount ohne weitere Rechte unter dem wir eben genau das tun was wir normalerweise jeden Tag machen wollen: Artikel schreiben.

Dritter Tip also:

Schreibe Deine Artikel nur unter einem Schreibaccount und halte den Admin-Namen aus dem Weblog heraus!

4. Abschnitt: Passwort

Der nächste Tip beschäftigt sich mit einer Binsenwahrheit. Dieser Lösungsansatz liegt so sehr auf der Hand und ist so altbekannt, daß es einem fast davor graut, ihn niederzuschreiben. Da aber die dümmste aller Hotlinemitarbeiter-Fragen: „Haben Sie denn auch den Stecker in die Steckdose gesteckt?“ immer noch den am häufigsten gemachten Fehler eliminiert, scheue ich mich nun auch nicht, diesen Tip niederzuschreiben:

Wähle für das Login bei jedem Deiner Accounts ein möglichst starkes Passwort! Immer noch verwenden zu viele WP-Admins (und nebenbei bemerkt alle die irgendwo Passwörter verwenden) ihren Vornamen, den Namen ihrer Kinder oder Ehepartner oder Passwörter wie „1234567“ und „qwertz“ oder „ABCDEFGH“.
Ein starkes Passwort ist erstens lang, zweitens entspricht es keiner Bezeichnung die irgendwie geraten oder nachgelesen werden kann und drittens enthält es neben Buchstaben auch Ziffern und Sonderzeichen!
Überdies neigen dummerweise viele Internetnutzer dazu, überall das gleiche Passwort zu verwenden. Wer garantiert einem aber, daß nicht auf irgendeiner Seite die man besucht und auf der man E-Mail-Adresse, Webseite und Passwort hinterlassen hat, ausgespäht wird? Schon hat der Angreifer eine lange Liste von funktionierenden Name/Passwort-Kombinationen zur Hand, die dann praktischerweise auch auf alle anderen Türen passen, die der Anwender eigentlich verschlossen wissen will.

Ein sicheres Passwort erfüllt also folgende Bedingungen:

– kein bekannter Name
 – mindestens 8 Zeichen lang
 – gemischt aus Groß- und Kleinschreibung
 – enthält wenigstens 2 Ziffern
 – enthält wenigstens zwei Sonderzeichen: wie z.B. ? ! “ $ %
 – ist einzigartig und wird nirgendwo sonst verwendet

Ratschlag, um WP sicherer zu machen:

Wähle ein einzigartiges und starkes Passwort!

5. Abschnitt: Fehlermeldungen unterdrücken

Es ist also inzwischen klar: Die Loginseite zum Adminpanel von WP steht fast schon offen wie ein Scheunentor und dabei ist es mit wenigen Maßnahmen möglich, diesem Tor ein paar zusätzliche Riegel zu verpassen. Manchmal sind es aber auch die kleinen komfortablen Hilfen von WP, die uns –aber auch den Angreifern‑ das Leben erleichtern.
So teilt uns WP immer freudig erregt mit, was wir denn nun falsch eingegeben haben, das Passwort oder den Admin-Namen. Gerade vor dem Hintergrund des nächsten Tips sollten wir aber von vornherein davon ausgehen, daß wir uns die Zugangsdaten sicher notiert haben und keinerlei Hilfen bei der Eingabe benötigen.

Deshalb schalten wir den Hinweis darauf, ob nun Passwort oder Adminname falsch eingegeben wurde, einfach ab! Der Angreifer steht dann wie ein Ochs vor dem Berg und weiß nicht, was von beiden denn nun nicht stimmt. Die Anzahl von Fehlversuchen wird logischerweise ansteigen und es dem Ganoven erschweren, die richtige Kombination herauszufinden.

So kommuniziert WP einen falsch eingegebenen Benutzernamen:

Und so teilt es uns –aber auch dem Böswilligen‑ mit, daß dieses Mal das Passwort falsch war:

Eine einzige kleine Zeile hilft enorm weiter. Sie gehört in die Datei functions.php des benutzten Themes.

add_filter('login_errors',create_function('$a', "return null;"));

Hat man diese Datei nicht auf seinem Rechner, lädt man sie mit einem FTP-Programm herunter, editiert sie entsprechend und lädt sie wieder hoch.

Danach sollte es so aussehen:

Einen möglichen Angreifer fehlen somit wichtige Informationen darüber, welchen Teil seiner Attacke er schon richtig gemacht hat und wie es weitergeht.

Der Rat nun:

Editiere die functions.php mit einer Zeile und schalte die Hinweise ab!

So, wir haben nun 5 wichtige Tips erhalten, wie man seine Login-Seite bei WP sicherer machen kann. Mehr Tips, die zum Teil auch noch mehr „ins Eingemachte gehen“ gibt es im nächsten Teil dieser kleinen Reihe zur Verbesserung der Sicherheit von WordPress.

Die Tips dieser Folge hier noch einmal zusammengefasst:

1. Wähle einen möglichst nicht zu ergründenden Admin-Namen für das Login!
2. Lege einen neuen Admin-Account an und lösche den admin # 1!
3. Schreibe Artikel nur unter einem Schreibaccount und halte den Admin-Namen aus dem Weblog heraus!
4. Wähle ein einzigartiges und starkes Passwort!
5. Editiere die functions.php mit einer Zeile und schalte die Hinweise ab!