Ich wollte mir gerade eine Email mit Google Mail senden. Dazu schnell den Inhalt eines Logfiles in das Mail kopiert und als Notiz für mich ganz oben den Text “Anbei der Logeintrag…”,dann auf Senden gedrückt. Und siehe da, Google hat mal schnell meine Email gecheckt und festgestellt, dass ich zwar das Wort “anbei” in der Email, ABER keine Datei angehängt habe! Na so was! Gut das mir Google so genau auf die Finger schaut…..

Allgemein ist man gut beraten, wenn  man die Verzeichnisse auf seinem Webspace vor ungewollten Zugriffen schützt. Der Artikel Web Verzeichnisse mit .htaccess schützen beschreibt, wie man mit sehr einfachen Mitteln ein Verzeichnis schützen kann. Eigentlich gibt es ja zwei Möglichkeiten von offenen Verzeichnissen. Der Apache Webserver, den sehr viele Hoster und Provider einsetzen hat in einer Konfiguration alle Dateien aufgelistet, für die er eine “Internetseite” darstellen kann. Meist sind dies Dateien mit den Endungen .htm .html oder .php. Sollte in einem Verzeichnis zB nur eine Textdatei oder ein Bild sein, werden diese wie vom Datei Explorer dargestellt. Und genau dabei liegt der Haken! Jeder kann alle Datein einsehen, dass ist natürlich so nicht gewollt.

Manchmal ist es auch nicht erwünscht, wenn jeder aus dem Internet bestimmte Bereiche ansurfen kann. Meist sind dies Administrations Bereiche oder einfach nur Inhalte, die nicht für jederman bestimmt sind. Und genau dafür kann man einen Zugriffs Schutz mit .htaccess bauen. Im Grunde sagt man dem Web Server nur, dass er den Inhalt dieses Bereichs erst dann darstellen soll, wenn man den Usernamen mit seinem Password richtig eingegeben hat.

Der Admin Bereich von einem WordPress Blog wird ja per Default durch eine Password Abfrage geschützt. Jedoch ist in der Grundinstallation von WordPress ein kleiner Schönheitsfehler. Wenn man sich mit dem falschen Passwort oder sogar nur mit dem falschen User anmeldet bekommt man sehr detailliert zurückgeliefert, was falsch war: User, Passwort oder Beides! Um eben diese Login Fehlermeldung bei WordPress zu unterdrücken, muss man nur in einer bestimmten Datei (functions.php) eine Zeile einfügen und schon hat man keinen verwertbaren Output mehr

Für WordPress gibt es eine große Menge an Plugins. Sowohl für den Frontend als auch für das Admin Interface. Ein sehr nützliches Plugin ist das WordPress Security Admin Tool. Nach der Installation hat man sofort die Möglichkeit, seinen Blog oder besser das was hinter seinem Blog passiert und konfiguriert ist zu überprüfen. Zusätzlich zeigt das Plugin die notwendigen Verbesserungen gleich an. So kann man on-the-fly die Änderung durchführen und das Ergebnis sofort nochmals kontrollieren. Als Zusatz Funktion kann man sich noch sichere Passwörter generieren lassen!

Ein sehr oft unterschätzter Bereich ist das Backup seines Blogs. Dabei kann man ein WordPress Datenbank Backup selber durchführen. Es gibt einige Plugins mit denen man solche Backups machen kann, eines davon ist das WP-DBManager Plugin. Mit diesem Tool kann man seine Datenbank sichern, periodische Backups erstellen lassen, die Datenbank optimieren, im Fehlerfall ein erstelltes Backup wieder zurückspielen und man hat sogar eine vereinfachte SQL Schnittstelle wie man sie etwa von phpMyAdmin kennt.

Im Großen und Ganzen gibt es sehr viele Punkte bzgl Sicherheit bei WordPress Blogs, wenn man sich an bestimmte Standards hält, sollte man aber wenig Probleme haben

Zum Ersten müssen wir den Inhalt der Webseite sichern.In den meisten Fällen haben die jeweiligen Admins direkten Zugriff auf ihren Webspace Mittels ftp oder ssh. Für FTP gibt es sowohl für Windows (Ws_ftp, FileZilla)  als auch für MacOS (Transmit, Flow) Clients die diesen Transport einfach erledigen können. Speziell Mac Programme gibt es immer wieder  recht günstig als Bundles im Internet. Macheist hatte Flow in seinem letzten nanoBundle enthalten, Achim hat in seinem Blog darüber berichtet. Mit diesen Clients kann man sich in seinem Webspace anmelden und den Inhalt auf einen lokalen Datenträger laden. Aber auch hier ist Vorsicht geboten, auch eure Festplatte kann mal den Geist aufgeben Mit Programmen wie cron-FTP könnt ihr diesen Download sogar zeitgesteuert erledigen lassen.

Der fast wichtigere Teil eines Blogs auf WordPress Basis ist der Inhalt der Datenbank. Bei der Installation eines Blogs mit WordPress wird man ja gefragt, ob man den default table prefix wp_ übernehmen will oder, was aus Sicherheits Gründen besser wäre, diesen zu ändern (siehe Blog Post). Soweit, sogut. Aber eben diese Datenbank, zumindestens  der Inhalt und die Struktur aller Tables die mit unserem Prefix beginnen muss man sichern. In der aktuellen Version von WordPress gibt es dazu keine direkte Unterstützung, daher muss wieder ein Plugin helfen. Ich habe mir WP-DBManager von Alex King installiert. Zu installieren ganz einfach im Admin Menü unter Plugins –> install new. Nach dem aktivieren hat man einen zusätzlichen Menüpunkt Database. Wenn man nun auf diesen neuen Menüpunkt klickt, wird zuerst gecheckt, ob alle notwendigen Programme installiert sind und von dem Plugin auch gefunden werden und ob alle Verzeichnisse und deren Rechte stimmen.

WP-DBManager erfüllt eigentlich alle meine Forderungen wie

• Datenbank Sicherung (auch automatisiert)
• Datenbank  Optimierung und
• Rückspielen im Falle eines Problems.

Zusätzlich kann man noch

• seine Datenbank reparieren
• bestimmte Tables löschen oder leeren (das ist ein großer Unterschied ) und
• so genannte Sql Queries absetzten.

Herz, was begehrst du mehr?

Zusätzlich zu dem von mir ausgeführten Datenbank Backup gibt es beim WP-DBManager auch noch die Möglichkeit, Backups automatisch zu erstellen und sich dann auf einen eMail Account zu senden. Achtet nur bitte darauf, dass der Sql Dump eurer Datenbank schnell mal auf einige Mega Bytes anwachsen kann. Für den Sql Dump kann man zusätzlich noch einstellen, dass dieser gezip wird.

Mit all diesen Features kann man mit dem Plugin WP-DBManager die Datenbank seines WordPress Blog recht gut kontrollieren. Es gibt nebenbei natürlich auch die Möglichkeit, mit phpMyAdmin seine WordPress Datenbank zu verwalten.

Beim Aufruf des Menüs wird die aktuelle Installation von WordPress und deren Konfiguration überprüft und das Ergebnis ausgegeben. WordPress selber hat ja auf seiner Seite (oder heist dass eigentlich ihrer Seite???) eine eigene Page zu dem Thema Hardening WordPress geschrieben. Eben diese Hinweise werden mit dem Plugin teilweise überprüft.

Generell ermöglicht das Plugin die Überprüfung und auch teilweise Korrektur von:

• Password der User
• Version der WordPress Installation
• File Zugriffs Rechte
• Datenbank Konfiguration (Prefix und Konfiguration)
• Zugriffs Rechte auf Verzeichnisse.

Zu den wichtigsten Punkten zählt sicher die Version der jeweiligen WordPress Installation (aktuell ist zur Zeit 2.9.2), ob die aktuelle Version von WordPress ausgegeben wird (sollte ein Bug einer bestimmten Version öffentlich werden, wird eure Seite nicht gleich an Hand der Version gefunden und attackiert), welchen user ihr verwendet und ob eurer Admin Bereich gesichert ist.

Zum Thema User für WordPress sei gesagt, dass man nicht mit dem per Default erstellten admin User arbeiten soll. Richtet euch einen eigenen User ein mit dem ihr eure Beiträge posted und einen Admin Account, mit dem ihr euren Blog administriert. Dies kann auch noch im Nachhinein geändert werden. Ihr könnt sämtliche Posts eines admin Users eurem neuen Redakteur übergeben

Als einziger Fehler wird bei mir momentan noch die table prefix angekreidet. Mit dem WordPress Security Admin Tool kann man diese selber ändern, sollte man bei der Installation von WordPress den default prefix nicht von wp_ auf seinen eigenen geändert haben. Vorher solltet ihr jedoch ein Backup eurer Datenbank machen, es kann ja auch mal was daneben gehen . Zum Thema Backup teste ich gerade ein paar Plugins, sobald ich ein gutes gefunden habe, mach ich erstmal das besprochen Backup und werde dann den prefix ändern.

Mir ist dabei besonders der Beitrag zum Thema “Aufgeräumtes Admin Menü” aufgefallen. Wenn man schon mehrere Plugins in seinem Blog installiert hat wird das Menü auf der linken Seite im Admin Menü recht unübersichtlich. Selbst wenn man schön artig die Hauptmenüs zusammen klappt (wer macht dass schon immer ), muss man ziemlich weit nach unten Scrollen um zB den Security Scanner zu starten, pah!

Was liegt nun näher, als die Anordnung und Struktur des Admin Menüs zu ändern. Ozh (ein Akronym??) hat sich Gedanken zu dem Thema gemacht und ein tolles Plugin für WordPress geschrieben. Zu den wichtigsten Features gehört die individuelle Farbgestaltung der Menüleiste, die Möglichkeit die Menüleiste je nach User zu definieren und vor allem, dass es Browser unabhängig funzt!

Ich kann das Plugin wirklich nur empfehlen, es hat meinen Admin Bereich deutlich übersichtlicher gemacht und dadurch wird die Arbeit erleichtert.

Update: Achim hat seine Bilder online gestellt

Update 2: Monika hat auf soisses.at ihr Bilder online gestellt

Gestern waren wir am Nachmittag bereits mit den ersten Teilnehmern unterwegs auf das Stubeck. Nach dem mehr oder weniger kraftraubenden Aufstieg durch den Lärchenwald, vorbei am Eggenkopf waren wir nach ca 2,5 Stunden am Gipfel. Der Rundblick war genial, man kann es gar nicht beschreiben….

Heute begannen wir fast pünktlich um 10 Uhr mit der ersten Session. Es folgten viel interessante Diskussionen, einige auch abseits der Gaststube in der Leonhardhütte in dem wir von der Gastgeberfamilie während des Almcamp immer super bewirtet und rund um die Uhr (heute bis in die frühen Morgenstunden – Gruß ans Eisbärzimmer) verwöhnt wurden.

Zu den einzelnen Session schreiben die jeweiligen Autoren bereits selber, es wird auch auf unserer Seite bei Barcamp.at nachgetragen bzw verlinkt. Erwähnen möchte ich jedoch die spontane Fotosession mit Werner und Carola.

Ich bin mir sicher, dass es morgen wieder einige hochkarätige Sessions und Diskussionen geben wird. Wir werden berichten….

Wenn ihr Live Updates haben möchtet, folgt uns auf dem twitter stream, hashtag ist #alm09