WordPress 3.0 – Screenshots und Download

Bald erscheint das (Blog)-CMS „WordPress“ in der Version 3.0 . Wir haben uns die aktuelle „Beta 1“ Version einmal angesehen. Screenshots finden sich in der Galerie weiter unten.
Wer die Beta 1 selbst einmal ausprobieren möchte, der kann WordPress 3.0 hier herunterladen.

[imagebrowser id=9]

WordPress bombensicher: 10 Methoden zur Absicherung

WordPress ist ein sehr bekanntes und weitverbreitetes(Blog-) CMS. Der Bekanntheitsgrad führt jedoch zu Sicherheitsrisiken – aufgrund des hohen Verbreitungsgrades lohnt es sich hier für Hacker besonders, zuzuschlagen. Damit das Webprojekt abgesichert ist, und man guten Gewissens WordPress einsetzen kann, empfehle ich folgende Sicherheitsmaßnahmen.

1. Standardbenutzer „Admin“ löschen

Bei der Installation von WordPress wird dieser User automatisch angelegt. Dieser sollte durch einen neuen User mit Adminrechten ersetzt werden.

2. WordPress Version ausblenden

Im Quellcode wird per Standardeinstellung angezeigt, mit welcher WordPress Version ein Blog betrieben wird. Das kann Hackern über eventuelle Sicherheitslücken aufschluss geben. Um die Version auszublenden muss einfach dieser Code in die functions.php (im Ordner des verwendeten Themes zu finden) geschrieben werden:

remove_action(‚wp_head‘, ‚wp_generator‘);

3. Fehlerausgabe unterbinden

Für Entwickler nützlich: Die Fehlerausgabe. So sieht man oft sofort wo der Fehler steckt. Wenn der Fehler jedoch öffentlich zu sehen ist, können Hacker dadurch schnell einen potentiellen Eingang in die Seite finden. Mit dem folgenden Eintrag in der wp-config.php kann man die Fehlerausgabe ausschalten.

remove_action(‚wp_head‘, ‚wp_generator‘);

4. WP-Admin Verzeichnisse verschlüsseln

Die Größte „Gefahrenstelle“ ist das /wp-admin Verzeichnis. Einfach und effektiv ist hier ein .htaccess-Schutz. Einen Generator hierfür kann man hier finden.

5. Anzahl der Loginversuche begrenzen

Um an ein Passwort zu gelangen, werden oft Brute-Force-Angriffe durchgeführt. Dabei werden sämtliche möglichen Passwörter durchprobiert, so lange bis eines stimmt. Mit einer begrenzten Anzahl an Loginversuchen lässt sich auch diese Lücke schließen. Am besten geht das mit dem Plugin Limit Login Attempts.

6. Userregistrierung deaktivieren

Wenn die Möglichkeit der Regisierung neuer Benutzer nicht benötigt wird, empfiehlt es sich, auch diese zu deaktivieren. Dies geht über das Einstellungsmenü im Adminbereich von WordPress.

7.  Updates installieren

Die Entwickler von WordPress veröffentlichen regelmäßig Updates. Diese schließen unter anderem bestehende Sicherheitslücken von älteren Versionen. Diese nicht zu installieren wäre fahrlässig.

8. Windows LiveWriter und XMLRPC Schnittstellen deaktivieren

Wer seine Beiträge nicht per Windows LiveWriter oder auf dem Handy schreibt, der kann getrost die LiveWriter und XMLRPC-Schnittstellen deaktivieren.
Dazu muss man einfach den folgenden Code in die functions.php ergänzen.

remove_action(‚wp_head‘, ‚wlwmanifest_link‘);
remove_action(‚wp_head‘, ‚rsd_link‘);

9. Aufräumen

Oft werden Plugins installiert, aktiviert, aber dann nicht gebraucht vergessen. So werden diese nicht aktualisiert, und bieten ein enormes Sicherheitsrisiko.
Es empfiehlt sich also, die Plugin-Liste durchzugehen, und nicht benötigte zu deaktivieren/löschen.

10. Backups machen

Im Falle eines Falles kann man mit Backups die Seite in den Ursprungszustand versetzen. Es ist daher ratsam, regelmäßig Backups zu machen (ich mache das in einem Zyklus von 3 Tagen).  Meist kann man im Admin-Menü beim jeweiligen Webhoster Backups erstellen (und ggf. wieder einspielen).

WordPress-Update 2.8.5 ist sicherer!

In der Vergangenheit gab es jede Menge Sicherheitslecks in dem sehr beliebten Blog-CMS „WordPress“. In der heute erschienen Version „2.8.5“ sollen einige Lücken gestopft worden sein. Laut dem Entwickler Peter Westwood kann nun keine DoS-Attacke mehr über die Trackback-Funktion durchgeführt werden, desweiteren lässt sich eingeschmuggelter PHP-Code nicht mehr über die Funktion „eval()“ ausführen.

Auch die Upload-Funktion der Mediathek ist nun sicherer, es können nun nur noch Dateierweiterungen, die auf der Whitelist stehen, hochgeladen werden.

Die Liste der erlaubten Dateierweiterungen kann hier eingesehen werden.

Bis jetzt steht nur eine englische Version des beliebten CMS bereit, im Laufe des Tages soll jedoch eine Deutsche Version folgen.

Es wird geraten, dringend auf die neue Version zu aktualisieren. Und vor der Aktualisierung bitte nicht vergessen: Backups machen. Es kann immer etwas schief gehen.

Insgesamt ein eher entäuschendes Update, keine neuen Funktionen,“ lediglich“ gestopfte Sicherheitslecks. Hatte mir mehr erhofft, werde aber auf jeden Fall aktualisieren.

Der Download-Link wird ergänzt, sobald die Deutsche Übersetzung fertig ist.

[Update] 21. Oktober – 15:04: Das deutsche Paket ist nun bei WordPress Deutschland verfügbar.

10 Plugins die bei keiner WordPress Installation fehlen dürfen

In der sehr oft genutzten Blogsoftware „WordPress“ steckt ungeahntes Potenzial. Denn mit den vielen verschiedenen Erweiterungen (Plugins) lassen sich oft wichtige Funktionen nachrüsten.

blue-l

Wir stellen die besten 10 dieser Plugins vor.

1. Jeder kennt diese schicken Boxen, die sich öffnen, wenn man auf ein Bild klickt. Diese Funktion ist in WordPress nicht enthalten, lässt sich aber schnell und einfach mit LightBox Plus nachrüsten.

2. Es ist sehr ärgerlich, wenn durch einen Servercrash hunderte Artikel verloren gehen. Das WordPress PluginWordPress Database Backup“ schafft Abhilfe. Es erstellt automatisch zu einer bestimmten Uhrzeit Backups, und sendet diese an eine vorher festgelegte E-Mail Adresse.

3. Es ist sehr wichtig, seinen Erfolg zu kontrollieren. Bezogen auf die Besucherzahlen bei Websites ist der Google Tracking-Dienst „Analytics“ die beste Lösung dafür. Damit Analytics jedoch wirklich jeden Besucher zählen kann, muss der Code auch auf jeder einzelnen Seite eingefügt werden. Diese mühsame und zeitintensive Arbeit nimmt einem jedoch das tolle Plugin „Ultimate Google Analytics“ ab.

4. Es ist doch interessant zu wissen, wie viele Besucher gerade in dem eigenen Blog lesen. Auch dafür gibt es ein passendes Plugin. WP-UserOnline zeigt, wieviele Gäste und registrierte Mitglieder gerade online sind, außerdem kann man sehen, wann die meisten Gäste gleichzeitig online waren.

5. Wer viele Bilder im eigenen Blog veröffentlicht, will diese auch angemessen präsentieren. Dafür bietet sich das Plugin „NextGen Gallery“ an. Mit seinen vielen Einstellungsmöglichkeiten kann es voll und ganz überzeugen.

6. Für jeden, der gerne mit Zahlen und Statistiken arbeitet, ist das Plugin „WP Stats“ genau richtig. Man sieht unter anderem wie viele Artikel und Kommentare von wievielen Autoren geschrieben wurden.

7. Ein großer Besucherstrom kommt über Suchmaschinen wie Google und Yahoo. Damit von den sogenannten Crawlern, die von Google und co. zur Suche nach neuen Seiten eingesetzt werden, auch alles gefunden wird, bietet sich „Google XML Sitemaps“ an. Mit diesem Plugin wird eine Google-Kompatible Sitemap genereriert, damit der Crawler sofort bei einem neuen Artikel benachrichtigt wird.

8. Viele WordPress Installationen beherbergen große Sicherheitslücken, durch die jeder Hacker leicht in den Administrationsbereich kommt. So kann man im schlimmsten Fall vom Hacker „ausgesperrt“ werden, oder aber es werden alle Artikel gelöscht. Damit es nicht zu einem solchen Szenario kommt, gibt es auch dafür ein tolles Plugin. AntiVirus zeigt Sicherheitslücken und überprüft das gesamte Theme auf infizierte Dateien.

9. Wenn jemand einen langen Kommentar schreibt, dann kann man ihm auch  etwas zurückgeben. Das ist das Prinzip von 140Follow. Mit diesem Plugin wird bei jedem Kommentar, das länger als 140 Zeichen ist, das Nofollow-Attribut entfernt. So wird der Link im Kommentar zu einem „echten“ Backlink für den Kommentierenden. Das bringt vor allem in Sachen SEO etwas.

10. In vielen großen Online-Magazinen sieht man unter dem Artikel „Ähnliche Beiträge“. Dies kann den Besucher animieren, auf einen der Ähnlichen Beiträge zu klicken, und somit länger auf der Seite zu bleiben. Diese nützliche Funktion rüstet das Plugin „Related Posts by Category“ nach.

Es gibt noch viele nützliche Plugins mehr, diese Liste stellt meine 10 Favoriten dar. Falls ich Ihrer Meinung nach ein Plugin vergessen haben sollte, können Sie dies gerne in einem Kommentar schreiben.