Mein Freund Google
May 7, 2010 by lexxi · Leave a Comment
Ich wollte mir gerade eine Email mit Google Mail senden. Dazu schnell den Inhalt eines Logfiles in das Mail kopiert und als Notiz für mich ganz oben den Text “Anbei der Logeintrag…”,dann auf Senden gedrückt. Und siehe da, Google hat mal schnell meine Email gecheckt und festgestellt, dass ich zwar das Wort “anbei” in der Email, ABER keine Datei angehängt habe! Na so was! Gut das mir Google so genau auf die Finger schaut…..
Sicherheit bei Wordpress Blogs
March 31, 2010 by lexxi · Leave a Comment
Ich habe in letzter Zeit eine paar Artikel zum Thema Sicherheit und Wordpress Blogs geschrieben und möchte nochmal die wichtigsten Themen zusammenfassen.
Allgemein ist man gut beraten, wenn man die Verzeichnisse auf seinem Webspace vor ungewollten Zugriffen schützt. Der Artikel Web Verzeichnisse mit .htaccess schützen beschreibt, wie man mit sehr einfachen Mitteln ein Verzeichnis schützen kann. Eigentlich gibt es ja zwei Möglichkeiten von offenen Verzeichnissen. Der Apache Webserver, den sehr viele Hoster und Provider einsetzen hat in einer Konfiguration alle Dateien aufgelistet, für die er eine “Internetseite” darstellen kann. Meist sind dies Dateien mit den Endungen .htm .html oder .php. Sollte in einem Verzeichnis zB nur eine Textdatei oder ein Bild sein, werden diese wie vom Datei Explorer dargestellt. Und genau dabei liegt der Haken! Jeder kann alle Datein einsehen, dass ist natürlich so nicht gewollt.
Manchmal ist es auch nicht erwünscht, wenn jeder aus dem Internet bestimmte Bereiche ansurfen kann. Meist sind dies Administrations Bereiche oder einfach nur Inhalte, die nicht für jederman bestimmt sind. Und genau dafür kann man einen Zugriffs Schutz mit .htaccess bauen. Im Grunde sagt man dem Web Server nur, dass er den Inhalt dieses Bereichs erst dann darstellen soll, wenn man den Usernamen mit seinem Password richtig eingegeben hat.
Der Admin Bereich von einem Wordpress Blog wird ja per Default durch eine Password Abfrage geschützt. Jedoch ist in der Grundinstallation von Wordpress ein kleiner Schönheitsfehler. Wenn man sich mit dem falschen Passwort oder sogar nur mit dem falschen User anmeldet bekommt man sehr detailliert zurückgeliefert, was falsch war: User, Passwort oder Beides! Um eben diese Login Fehlermeldung bei Wordpress zu unterdrücken, muss man nur in einer bestimmten Datei (functions.php) eine Zeile einfügen und schon hat man keinen verwertbaren Output mehr 
Für Wordpress gibt es eine große Menge an Plugins. Sowohl für den Frontend als auch für das Admin Interface. Ein sehr nützliches Plugin ist das Wordpress Security Admin Tool. Nach der Installation hat man sofort die Möglichkeit, seinen Blog oder besser das was hinter seinem Blog passiert und konfiguriert ist zu überprüfen. Zusätzlich zeigt das Plugin die notwendigen Verbesserungen gleich an. So kann man on-the-fly die Änderung durchführen und das Ergebnis sofort nochmals kontrollieren. Als Zusatz Funktion kann man sich noch sichere Passwörter generieren lassen!
Ein sehr oft unterschätzter Bereich ist das Backup seines Blogs. Dabei kann man ein Wordpress Datenbank Backup selber durchführen. Es gibt einige Plugins mit denen man solche Backups machen kann, eines davon ist das WP-DBManager Plugin. Mit diesem Tool kann man seine Datenbank sichern, periodische Backups erstellen lassen, die Datenbank optimieren, im Fehlerfall ein erstelltes Backup wieder zurückspielen und man hat sogar eine vereinfachte SQL Schnittstelle wie man sie etwa von phpMyAdmin kennt.
Im Großen und Ganzen gibt es sehr viele Punkte bzgl Sicherheit bei Wordpress Blogs, wenn man sich an bestimmte Standards hält, sollte man aber wenig Probleme haben 
Worpress Datenbank Backup selber durchführen
March 29, 2010 by lexxi · Leave a Comment
Schon die alten Griechen sagten: “Save early, save often!” Kann auch sein dass das jemand anderer war ABER, was sie uns damit sagen wollten war, dass man immer vor einem Unglück eine Sicherung machen sollte. In unserem Fall besteht die Sicherung aus 2 Teilen.
Zum Ersten müssen wir den Inhalt der Webseite sichern.In den meisten Fällen haben die jeweiligen Admins direkten Zugriff auf ihren Webspace Mittels ftp oder ssh. Für FTP gibt es sowohl für Windows (Ws_ftp, FileZilla) als auch für MacOS (Transmit, Flow) Clients die diesen Transport einfach erledigen können. Speziell Mac Programme gibt es immer wieder recht günstig als Bundles im Internet. Macheist hatte Flow in seinem letzten nanoBundle enthalten, Achim hat in seinem Blog darüber berichtet. Mit diesen Clients kann man sich in seinem Webspace anmelden und den Inhalt auf einen lokalen Datenträger laden. Aber auch hier ist Vorsicht geboten, auch eure Festplatte kann mal den Geist aufgeben 
Mit Programmen wie cron-FTP könnt ihr diesen Download sogar zeitgesteuert erledigen lassen.
Der fast wichtigere Teil eines Blogs auf Wordpress Basis ist der Inhalt der Datenbank. Bei der Installation eines Blogs mit Wordpress wird man ja gefragt, ob man den default table prefix wp_ übernehmen will oder, was aus Sicherheits Gründen besser wäre, diesen zu ändern (siehe Blog Post). Soweit, sogut. Aber eben diese Datenbank, zumindestens der Inhalt und die Struktur aller Tables die mit unserem Prefix beginnen muss man sichern. In der aktuellen Version von Wordpress gibt es dazu keine direkte Unterstützung, daher muss wieder ein Plugin helfen. Ich habe mir WP-DBManager von Alex King installiert. Zu installieren ganz einfach im Admin Menü unter Plugins –> install new. Nach dem aktivieren hat man einen zusätzlichen Menüpunkt Database. Wenn man nun auf diesen neuen Menüpunkt klickt, wird zuerst gecheckt, ob alle notwendigen Programme installiert sind und von dem Plugin auch gefunden werden und ob alle Verzeichnisse und deren Rechte stimmen.
WP-DBManager erfüllt eigentlich alle meine Forderungen wie
- Datenbank Sicherung (auch automatisiert)
- Datenbank Optimierung und
- Rückspielen im Falle eines Problems.
Zusätzlich kann man noch
- seine Datenbank reparieren
- bestimmte Tables löschen oder leeren (das ist ein großer Unterschied ) und
- so genannte Sql Queries absetzten.
Herz, was begehrst du mehr?
Zusätzlich zu dem von mir ausgeführten Datenbank Backup gibt es beim WP-DBManager auch noch die Möglichkeit, Backups automatisch zu erstellen und sich dann auf einen eMail Account zu senden. Achtet nur bitte darauf, dass der Sql Dump eurer Datenbank schnell mal auf einige Mega Bytes anwachsen kann. Für den Sql Dump kann man zusätzlich noch einstellen, dass dieser gezip wird.
Mit all diesen Features kann man mit dem Plugin WP-DBManager die Datenbank seines Wordpress Blog recht gut kontrollieren. Es gibt nebenbei natürlich auch die Möglichkeit, mit phpMyAdmin seine Wordpress Datenbank zu verwalten.
Wordpress Security Admin Tool
March 28, 2010 by lexxi · 2 Comments
Auf der Suche nach guten Plugins für den Admin Bereich meines Blogs bin ich auf das Wordpress Security Scan Plugin gestoßen. Das Plugin lässt sich einfach im Admin Menü unter Plugins –> Install New suchen und installieren. Nach dem aktivieren des Plugins hat man im Admin Bereich einen zusätzlichen Punkt “Security”.
Beim Aufruf des Menüs wird die aktuelle Installation von Wordpress und deren Konfiguration überprüft und das Ergebnis ausgegeben. Wordpress selber hat ja auf seiner Seite (oder heist dass eigentlich ihrer Seite???) eine eigene Page zu dem Thema Hardening Wordpress geschrieben. Eben diese Hinweise werden mit dem Plugin teilweise überprüft.
Generell ermöglicht das Plugin die Überprüfung und auch teilweise Korrektur von:
- Password der User
- Version der Wordpress Installation
- File Zugriffs Rechte
- Datenbank Konfiguration (Prefix und Konfiguration)
- Zugriffs Rechte auf Verzeichnisse.
Zu den wichtigsten Punkten zählt sicher die Version der jeweiligen Wordpress Installation (aktuell ist zur Zeit 2.9.2), ob die aktuelle Version von Wordpress ausgegeben wird (sollte ein Bug einer bestimmten Version öffentlich werden, wird eure Seite nicht gleich an Hand der Version gefunden und attackiert), welchen user ihr verwendet und ob eurer Admin Bereich gesichert ist.
Zum Thema User für Wordpress sei gesagt, dass man nicht mit dem per Default erstellten admin User arbeiten soll. Richtet euch einen eigenen User ein mit dem ihr eure Beiträge posted und einen Admin Account, mit dem ihr euren Blog administriert. Dies kann auch noch im Nachhinein geändert werden. Ihr könnt sämtliche Posts eines admin Users eurem neuen Redakteur übergeben
Als einziger Fehler wird bei mir momentan noch die table prefix angekreidet. Mit dem Wordpress Security Admin Tool kann man diese selber ändern, sollte man bei der Installation von Wordpress den default prefix nicht von wp_ auf seinen eigenen geändert haben. Vorher solltet ihr jedoch ein Backup eurer Datenbank machen, es kann ja auch mal was daneben gehen . Zum Thema Backup teste ich gerade ein paar Plugins, sobald ich ein gutes gefunden habe, mach ich erstmal das besprochen Backup und werde dann den prefix ändern.
Wordpress Admin Drop Down Plugin
March 23, 2010 by lexxi · 2 Comments
Mehr durch Zufall bin ich bei Ritchie auf einen Beitrag zum Thema Komfort im Admin Bereich von Wordpress gestossen. Der Blog Post ist zwar aus dem Jahre 2008 aber was soll’s, Ritchies Beiträge zu lesen ist immer ein Gewinn
Mir ist dabei besonders der Beitrag zum Thema “Aufgeräumtes Admin Menü” aufgefallen. Wenn man schon mehrere Plugins in seinem Blog installiert hat wird das Menü auf der linken Seite im Admin Menü recht unübersichtlich. Selbst wenn man schön artig die Hauptmenüs zusammen klappt (wer macht dass schon immer ), muss man ziemlich weit nach unten Scrollen um zB den Security Scanner zu starten, pah!
Was liegt nun näher, als die Anordnung und Struktur des Admin Menüs zu ändern. Ozh (ein Akronym??) hat sich Gedanken zu dem Thema gemacht und ein tolles Plugin für Wordpress geschrieben. Zu den wichtigsten Features gehört die individuelle Farbgestaltung der Menüleiste, die Möglichkeit die Menüleiste je nach User zu definieren und vor allem, dass es Browser unabhängig funzt!
Ich kann das Plugin wirklich nur empfehlen, es hat meinen Admin Bereich deutlich übersichtlicher gemacht und dadurch wird die Arbeit erleichtert.
:: My Twitter Favs- wpSEO: 30 Websites, die auf #WordPress setzen, aber keine Blogs sind http://j.mp/bt2WYB #design
- wpSEO: Pimp my wp-config.php: Alle Einzelheiten der #WordPress Config-Datei http://j.mp/aPxknX
- wpthemeguy: Google Maps Karten in Wordpress einfügen http://bit.ly/aAGtJH
- wpSEO: 5 hochkarätige Optimierungstools für $25 http://j.mp/b6Fpsc
- bensen: Im September: iTV mit App Store für USD 99,- | BENM.AT http://i.benm.at/ceO2oo #Apple #Hulu #iTV
- wpbeginner: How to Easily Embed Videos in #WordPress Blog Posts - http://bit.ly/ckw875
- wpSEO: #WordPress Howto: Autoren-Box am Ende eines Beitrags anzeigen http://t.co/qfzQc2V
- heiseonline: iPhone-Flugdrohne im Handel erhältlich http://heise.de/-1060823