Ratgeber WordPress 3.3.1 für „Der Webdesigner“

Für die Februar/März-Ausgabe der Fachzeitschrift „Der Webdesigner“ aus dem Sonic Media Verlag habe ich unter anderem einen 10-seitigen Ratgeber zu  WordPress 3.3.1 verfasst. Der Ratgeber umfasst eine Vorstellung der Möglichkeiten der neuen Version sowie einen Installationsworkshop in 10 Schritten, in dem ich auch auf sicherheitsrelevante Themen eingehe. Das Heft ist jetzt im Zeitschriftenhandel oder über die Verlags-Website erhältlich.

Veröffentlicht am 3. März 2012 um 16:59 von Olivia Adler · Permalink · Kommentare geschlossen
In: Installation, Linktipps · Schlagworte: , , ,

WordPress – Vorsicht bei Themes unbekannter Herkunft!

Im Buch und auch in Beratungen gebe ich immer den Tipp, sich Themes, die nicht von wordpress.org oder wordpress-deutschland.org kommen, ganz genau auf möglichen Schadcode anzusehen, bevor man sie einsetzt. (Wobei man auch bei vertrauenswürdigen Quellen wie diesen nie eine 100 %-Garantie geben kann – „Vertrauen ist gut, Kontrolle ist besser“.)

Aktuell sind wieder mal Themes mit einem Quasi-Trojaner im Gepäck ins Gerede gekommen: Sucuri Security berichtet über WordPress-Themes, die nach Hause telefonierten und dem Server der Theme-Entwickler Meldung machten über jeden Besucher (mit IP-Adresse!) von Websites, die mit diesem Theme ausgestattet sind. Das ist nicht nur wegen der Missbrauchsmöglichkeiten kritisch (immerhin könnte jemand den Server der Entwickler hacken und auf diesem Weg alle Sites, die das Theme einsetzen, mit Malware infizieren), sondern auch vom Datenschutz-Aspekt her: hier würde eine IP-Speicherung auf fremden Servern erfolgen, über die der Blogbetreiber aufgrund von Unkenntnis des Vorgangs den Blogbesucher gar nicht via Datenschutzerklärung informieren konnte.

Die Hintertür flog auf, als der Server eine Weile offline war und Fehlermeldungen in den Blogs, die mit diesem Theme ausgestattet waren, erschienen.

Besonders perfide war, dass der fragwürdige Code nicht etwa innerhalb einer PHP-Datei versteckt war, sondern in einer Bilddatei namens wp.gif. Darauf muss man auch erstmal kommen.

(via wpSEO)

Veröffentlicht am 1. Juni 2010 um 20:28 von Olivia Adler · Permalink · Kommentare geschlossen
In: Sicherheit, Themes · Schlagworte: , , , ,

Admin-Bereich in WordPress absichern

Man kann es nicht oft genug sagen: das Dashboard (= Admin-Bereich) sollte nicht öffentlich zugänglich sein, und mit Hilfe von .htaccess ist eine zusätzliche Passwort-Absicherung schnell und einfach zu realisieren. Am einfachsten ist zwar, das gesamte wp-admin-Verzeichnis abzusichern, damit schränkt man aber den Betrieb von WordPress ein, weil WordPress ebenfalls von außen auf dieses Verzeichnis zugreift (beispielsweise bei der Verifizierung der Eingabe in Formularfeldern). Besser ist daher, nur einzelne System-Dateien abzusichern. Wie, das erklärt  Sergej Müller gut verständlich und eindringlich auf playground.ebiene.de.

Für das Problem mit dem Zugriff auf den Admin-Ordner bei unvollständig ausgefüllten Kommentarfeldern gibt es noch eine andere Lösung, vorgestellt bei „dies und das“.

Veröffentlicht am 11. Mai 2010 um 13:13 von Olivia Adler · Permalink · Kommentare geschlossen
In: Sicherheit · Schlagworte: , , ,

WordPress sicherer machen: Artikel online auf magnus.de

Mein WordPress-Security-Artikel, den ich für das Internet Magazin Ausgabe 04/2010 geschrieben habe, ist inzwischen auch online verfügbar: WordPress gegen Angriff schützen: So halten Sie Hacker vom Blog fern – WordPress vor Hackern schützen – Webdesign – Internet – magnus.de.

Weitere wichtige und aktuelle Security-Tipps finden Sie bei Frank Bueltge: WordPress gehackt, was tun – eine Schnellhilfe.

Veröffentlicht am 8. Mai 2010 um 04:18 von Olivia Adler · Permalink · Kommentare geschlossen
In: Sicherheit · Schlagworte: ,