1

Gastartikel: 9 Tipps, um WordPress vor Hackern zu schützen

WordPress SicherheitstippsWeltweit bedienen sich inzwischen über 70 Millionen Webseiten der Dienste von WordPress. Das CMS ist inzwischen längst nicht nur die erste Anlaufstelle für kleinere Privatblogs und Online-Projekte, sondern wird dank der hohen Flexibilität und der vielen Gestaltungsmöglichkeiten auch immer attraktiver für Unternehmen, die sich eine ansprechende unkompliziert Webpräsenz wünschen ohne hohe Kosten. Doch mit der steigenden Popularität wird das CMS auch ein immer ergiebigeres Ziel für Hacker, die sich erhoffen, über Angriffe auf Websites an sensible Daten zu gelangen oder anderweitig Schaden anzurichten. Über Injektionen in die MySQL-Datenbank, geteilte Ordner, Javascript oder PHP-Code sind Hacker dabei sogar in der Lage, Webseiten gänzlich außer Betrieb zu setzen, nachhaltig zu zerstören oder zur Verbreitung von Malware zu verwenden. Wer also vermeiden möchte, dass er irgendwann beim Aufruf der eigenen Webseite von oben stehender Warnung begrüßt wird, nimmt sich am besten die folgenden 9 Tipps für höhere WordPress-Sicherheit zu Herzen:

1. Updates nutzen

Ein Großteil der Hacks hat ihren Ursprung in Sicherheitslücken, die von veralteter Software hinterlassen werden – das gilt sowohl für die WordPress-Installation an sich als auch für sämtliche Plugins, die verwendet werden. Trotz der Open Source-Natur von WordPress, verfügt die Publikationsplattform über eine extrem große und aktive Community, die Sicherheitslücken umgehend stopft, sobald sie auftreten und entsprechende Updates versendet. Wer diese nicht nutzt und sich somit angreifbar macht, ist im Endeffekt selbst schuld, wenn seine Seite infiziert wird.

2. Login-Daten mit Bedacht wählen

WordPress LoginfensterDas Erste, was Hacker versuchen, wenn sie ins Backend einbrechen wollen, ist testen, ob ein Account über den Standarduser „Admin“ läuft. Wer einen solchen verwendet, sollte also zusehen, dass er ihn löscht und stattdessen mit einem Account arbeitet, der seinen eigenen Namen trägt – oder besser noch: Einen Namen, der nicht aus den Inhalten der Webseite hervorgeht. Auch das Passwort sollte gut gewählt sein. Ein bombensicheres Passwort setzt sich optimalerweise aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zusammen, wobei in diesem Zeichensalat keine bestehenden Begriffe zu erkennen sind. Wer sich eine solche komplizierte Aneinanderreihung von Zeichen verständlicherweise nicht merken kann, dem sei zu einem Passwort-Manager geraten.

3. Sichere Verbindung zum Server verwenden

Normale FTP-Zugänge sind inzwischen unsicher geworden. Für Hacker ist es ein Leichtes, Daten über dieses Protokoll abzufangen, wenn sie es darauf anlegen. Deswegen sollten User wann immer es möglich ist auf SFTP oder SSH-Verbindungen zurückgreifen, um ihre Dateien auf den Server zu übertragen sowie ihre Webseite über HTTPS bzw. gegebenenfalls SSL zur Verfügung stellen.

4. Sicheren Webhoster aussuchen

Wer seine WordPress-Installation selbst über einen Webhoster betreibt (was zu empfehlen ist), sollte sich gut überlegen, bei welchem Webhoster er Serverplatz erstehen möchte. Nicht alle Webhoster bieten die gleichen Sicherheitsstandards. Während bei den besten Hostern der Service vom Passwortschutz und täglichen Backups über SMTP- und SSL-Verschlüsselung bis hin zum Spam- und Antivirenschutz reicht, gibt es auch Anbieter, die nichts davon gewährleisten und die Webseiten somit sehr angreifbar machen. Eine Übersicht über die Leistungen verschiedener Webhoster gibt es auf der Vergleichsplattform Netzsieger.de.

5. Datei- und Ordner-Rechte im Auge behalten

WordPress Dateirechte setzenViele WordPress-Nutzer gewähren sämtlichen Dateien und Ordnern gleich nach der Installation die Zugriffsrechte 777, also größtmögliche Rechte, um Komplikationen beim Upload von Dateien zu vermeiden. Man könnte genauso gut auch den roten Teppich für die Hacker ausrollen. Sehr viel sicherer sind die Rechte 644 für Dateien und 750 für Ordner – so ist die Webseite gesichert genug vor dem Zugriff Unbefugter und der User hat trotzdem keine Probleme beim Upload von Dateien.

6. Themes und Plugins nur von vertrauenswürdigen Quellen beziehen

Die Zahl der Viren, die in Themes und Plugins versteckt werden, steigt kontinuierlich – insbesondere in Raubkopien. Daher sollten entsprechende Software-Pakete nur von Anbietern bezogen werden, die als sicher eingestuft werden, z. B. WordPress selbst. Das hat einen positiven Nebeneffekt: Wer Plugins und Themes von etablierten Herstellern bezieht, kann auch sicher sein, dass er kontinuierlich mit Updates versorgt wird und somit Sicherheitslücken geschlossen werden.

7. Security-Plugins verwenden

Eigentlich ein Ratschlag, der auf der Hand liegen sollte, aber doch häufig vergessen oder zumindest nicht weit genug ausgeführt wird, denn das vorinstallierte Aksimet, das sich einigermaßen effizient um die Beseitigung von Spam bemüht, geht lange nicht weit genug, um eine Webseite ausreichend abzusichern. Die Möglichkeiten sind vielfältig: Vom Virenscanner bis zum Backup-Plugin steht alles kostenlos zur Verfügung. Auch Plugins, die Code-Injektionen verhindern, unautorisierte Dateiänderungen im Auge behalten oder sogar die Login-Seite vor Unbefugten verstecken sind frei verfügbar. Im Frontend ist zudem die Installation einer Captcha-Abfrage bei Kommentaren sinnvoll, um sich vor Spambots zu schützen.

8. Die WP-Config-Datei verstecken

wp-config versteckenDie Konfigurationsdatei ist besonders anfällig für Hacks und für gewöhnlich einfach durch anhängen von /wp-config.php an die URL zu finden. Das lässt sich ändern. Die Datei liegt standardmäßig im WordPress-Ordner, doch WordPress erlaubt es, die Datei einen Ordner darüber, außerhalb von WordPress zu lagern, ohne dass die Seite dadurch lahm gelegt wird. Das allein sorgt bereits für höhere Sicherheit. Zwar gibt es zahlreiche weitere Methoden, um die WP-Config-Datei noch besser zu verstecken – Umbenennung, Erstellung einer reduzierten Kopie, Änderung der Datenbank-Präfixe, etc. – aber wenn man die anderen Sicherheitshinweise befolgt, reicht es bereits aus, sie einfach nicht dort zu hinterlegen, wo Hacker sie erwarten, sondern einen Ordner darüber.

9. Regelmäßige Backups erstellen

Wer mal ganz schlimmes Pech hat, kann seine Webseite noch so sehr vor Malware schützen – er fängt sich trotzdem irgendetwas ein, was die Seite unbrauchbar macht und alle Dateien vernichtet. Auch böse Serverabstürze ohne Hacker-Einfluss soll es schon mal geben. Deshalb ist es wichtig für den Fall der Fälle immer ein aktuelles Backup parat zu haben, um die Webseite ohne großen Aufwand wiederherzustellen. Eine ordentliche Backup-Lösung erledigt das in regelmäßigen Abständen automatisch und einige der Plugins sind – als angenehme Zusatzfunktion – sogar außerordentlich hilfreich, wenn man mit seiner Seite auf einen anderen Server umzieht.

1

Projektvorstellung: WordPress Guru

WordPress Guru MockupIch habe in meinem Urlaub mal wieder ein wenig an meinem Webportfolio gearbeitet und eben dieses um ein kleines Projekt erweitert, welches ich euch nachfolgend kurz vorstellen möchte.

Bei dem neuen Projekt handelt es sich um wp-guru.net ein WordPress-Blog über WordPress. Das mag auf den ersten Blick erst einmal ein wenig komisch anmuten, wo das Web gefühlt doch schon überschwemmt mit Seiten und Artikeln zum Thema WordPress ist. Genauer betrachtet hat jedoch auch WP-Guru (=WordPress Guru) eine Daseinsberechtigung und das gleich aus mehreren Gründen.

WP-Guru soll mir als Plattform dienen, um Snippets (Sourcode-Schnippsel) und sehr kurze Artikel zum Thema WordPress zu sichern und zu veröffentlichen. Klar gibt es wie gesagt viele Seiten, auf denen es WordPress-Tutorials gibt, doch meistens sind diese sehr aufgebläht und detailliert. Genau das soll es auf WP-Guru nicht geben. Es sollen einfach kurze, knappe und auf das Wesentliche beschränkte Artikel erscheinen.

Und was ist mit SEO?

Aus SEO-Sicht mag das Käse sein, ließt man doch täglich, dass Content-King ist und ein Artikel aller mindestens 300 Wörter, besser noch 500 Wörter, haben sollte. Und genau das ist ein weiterer Grund für WP-Guru. Ich möchte Snippets festhalten und sie so kurz wie möglich und so lang wie nötig (um die Snippets noch sinnvoll verwenden zu können) speichern. Aus SEO-Gründen möchte ich dies jedoch nicht hier auf code-bude.net tun. Thematisch hätte dies zwar gepasst, von meiner Strategie her jedoch nicht. Code-Bude.net steht für längere, detaillierte und auch fachliche Artikel. Der “Guru” für die kurzen und knappen.

Ihr seht also schon, dass die “Erfolgsaussicht” für den Guru nicht allzu hoch ist. Denn sowohl der durchschnittliche Content wird sehr kurz sein als auch die Konkurrenz sehr groß. Dennoch betreibe ich das Projekt, weil ich so einerseits alle “meine” Snippets (jene die ich öfters nutze) an einem Ort habe und andererseits die Erstellung und Pflege von WordPress-Blogs meines Leidenschaft ist. Erfolg ist schließlich eine Definitionsfrage.

Wer ist dieser WordPress Guru?

Abschließend noch ein paar Worte zur Namensgebung und wie es zum Guru kam. Das “WP” in der Domain / im Namen stand schnell fest. Schließlich sollte der Bezug zum Thema WordPress klar sein und da die Verwendung des ausgeschriebenen Begriffs WordPress nicht erlaubt ist, habe ich mich auf die Abkürzung WP beschränkt.

Der Guru kam, weil es “griffig” klingt, meiner Meinung nach gut im Gedächtnis bleibt und auch Design-technisch gut umzusetzen ist. Der Guru hat also nichts mit meinem Wissensstand zu tun. Um mich als einen Guru (WordPress-Übermenschen) zu bezeichnen fehlt mir noch das ein oder andere bisschen Erfahrung. Aber dies lässt sich ja mit jedem weiteren Artikel auf dem Blog steigern…

Und was habt ihr davon?

Also schaut euch ruhig mal ein wenig um, und wenn euch das neue Projekt zusagt und ihr auf dem aktuellen Stand bleiben wollte, dann klickt doch einfach kurz auf den “Gefällt mir”-Button und werdet Fan vom “Guru”.

0

Apps erstellen ohne Programmierkentnisse

eezzyy-logoDiejenigen unter meinen Lesern, die wie ich in der IT-Branche arbeiten, kennen sicherlich folgende Situation: “Du machst doch was mit Computern. Ich hätte da mal eine Frage…”

Dabei ist es vollkommen irrelevant, ob man Programmierer, IT-Manager oder IT-Einkäufer ist. Sobald man im IT-Gewerbe tätig ist, hat man den Stempel weg und wird von Familie, Freunden, Bekannten sowie deren Freunden und Bekannten fleißig bei allen IT-Fragen zurate gezogen. Und so kam es, das mir vor Kurzem wieder eine Frage zum Thema App-Programmierung gestellt wurde, welche wie folgt lautet: “Kann man Apps eigentlich erstellen, ohne Programmieren zu können? Ich möchte nicht für jede Änderung eine Agentur zurate ziehen!”

Bei solchen Fragen schlackern mir jedes Mal die Ohren. Auch wenn IT nichts physisch Greifbares ist, so kosten solche Dinge wie eine App zu programmieren viel Zeit und machen Arbeit. Dennoch habe ich mich mal nach Lösungen umgeschaut und einen Kompromiss gefunden, den ich dem Bekannten vorgeschlagen habe und den ich euch im Folgenden vorstellen möchte.

Native Apps per Generator erstellen

Der Kompromiss zwischen teurer Individualentwicklung und der Möglichkeit die Oberhand über die App zu behalten nennt sich eezzy.de und ist ein Onlinedienst, über den Apps erstellt, verwaltet und in den App-Stores veröffentlicht werden können. Bisher unterstützt eezzy die Android- und iOS-Plattform. Weitere Plattformen sind laut Firmenwebseite jedoch in Planung.

Das Besondere an eezzy ist die Tatsache, dass die Apps vollständig “zusammengeklickt” werden können. Über den Mitgliedsbereich der Webseite gelangt man zu einem visuellen Designer, in der die Apps gestaltet und mit Inhalten befüllt werden können. Programmierkenntnisse sind hierzu nicht nötig.

Damit ihr euch ein besseres Bild von oben genannten Features machen könnt, habe ich für diesen Artikel mal eine kleine Beispielapp für meinen Blog erstellt und die wesentlichen Schritte dabei festgehalten.

Erstellung einer Beispiel-App

Nachfolgend wollen wir eine kleine App zu diesem Blog hier bauen. Die Registrierung bei eezzy ist grundlegend kostenfrei und geht schnell von der Hand. Nach dem Login findet man sich im Dashboard wieder. Dies ist die “Schaltzentrale” von wo aus sich die eigenen Apps verwalten und bearbeiten lassen, ein Überblick über die Nutzungszahlen der Apps gegeben wird und Nutzer der jeweiligen Apps mit Push-Nachrichten kontaktiert werden können.

eezzy - Registrierung  eezzy - Dashboard  eezzy - Appeinstellungen

Zu Beginn klicken wir auf den Butten “Einstellungen” im Kasten “Nächste Schritte”. Hier können wir nun auf 5 verschiedenen Reitern die Grundeinstellungen unserer App festlegen. Ich habe hier Namen, Logo und Navigationsart festgelegt. Die Navigationsart beschreibt die Darstellung des Menüs in der späteren App, kann aber jederzeit umgeschaltet werden.

Wenn die Grundeinstellungen gesetzt sind, kann es an die Inhalte gehen. Inhalte werden in eezzy über die sogenannten “Tabs” gepflegt. Ein Tab entspricht einem Menüpunkt der späteren App. Tabs können jederzeit und aus jedem Punkt des eezzy-Backends angelegt werden. Hierzu reich ein Klick auf den grünen “+ Tab hinzufügen” am linken Rand des Backends.

eezzy - Tabs  eezzy - Tab - RSS  eezzy - Tab - Kontakte

eezzy - Tab - Kontakte - 2Derzeit stehen 25 verschiedene Module zur Verfügung, die man für einen Tab auswählen kann. Die Module helfen bei der Erstellung und Pflege der Inhalte des Tabs. So gibt es vom schlichten HTML, in dem der Tab-Inhalt per HTML-Code gestaltet werden kann, bis hin zum Kontakt-Modul, mit dem eine komplette Kontaktdatenbank aufgebaut werden kann, ziemlich alles, was das Herz begehrt. In unten stehenden Screenshots habe ich euch einmal die Erstellung eines Kontakt- und eines RSS-Tabs bildlich festgehalten.

Wie gut zu erkennen ist, hat jedes Modul seine eigene grafische Oberfläche, die die Pflege der Daten erleichtert und abgesehen vom HTML-Modul, kommt man so auch vollständig ohne Programmierkenntnisse aus.

Um sich die Ergebnisse seiner Arbeit vorab ansehen zu können, gibt es eine sogenannte Vorschau-App. Diese App kann kostenlose im Google Play Store oder in iTunes heruntergeladen werden.

eezzy - Vorschau  eezzy - App - Vorschau QR-Code  eezzy - App - Home

Nach Installation und Start der App wechselt man auf den QR-Code-Scanner-Reiter in der App und klickt auf der eezzy-Webseite auf den “App-Vorschau”-Button in der oberen Menüleiste.

eezzy - App - Kontakteübersicht  eezzy - App - Kontaktdetail  eezzy - App - RSS

Einmal mit der Webseite gekoppelt, zeigt die Vorschau-App nun immer den aktuellen Entwicklungsstand der App, sodass man vorab sehen kann, wie sich die App auf einem Endgerät macht.

Veröffentlichung, Kosten und Nutzen

Ist man mit der App zufrieden, kann man die App direkt aus dem eezzy-Backend in die Appstores der großen Anbieter versenden. An diesem Punkt endet jedoch die kostenlose Phase von eezzy. Wie ich Eingangs schon angedeutet hatte, wollte ich einen Kompromiss vorstellen.

eezzy - AboUnd zwar jenen zwischen sehr teurer Individualentwicklung und Flexibilität bei der Aktualisierung. So kostet auch eezzy Geld, jedoch weniger als eine Individualentwicklung und Pflege kosten würde. Je nach Anforderungsprofil schlägt eezzy mit 9,90€ bis 19,90€ pro Monat zu buche. Hinzu kommt noch eine einmalige Einrichtungsgebühr von ~400€.

Sicherlich ist auch das kein Pappenstiel, aber dafür erhält man ein Werkzeug, mit dem man seine App ohne Programmierkenntnisse erstellen und gestalten kann. Die Alternative wäre besagte Individualentwicklung, welche jedoch teurer sein wird und vor allem auf lange Sicht und je nach Frequenz der gewünschten Updates teuer zu buche schlägt.

1

Update: BulkSuggest 0.6.0.0

BulkSuggest LogoGestern erst habe ich mein neues Programm – BulkSuggest – hier im Blog veröffentlicht und heute steht schon das erste Update an. Wer Böses denkt, könnte jetzt mit dem erhobenen Finger auf mich zeigen und behaupten, die Software sei schlecht getestet, wenn ich nach einem Tag schon einen Bugfix liefere. In dieser Hinsicht muss ich jene leider enttäuschen.

Bei dem Update handelt es sich nicht um ein Bugfix/Patch/Hotfix, sondern um eine Erweiterung um ein neues Feature. Nach der Veröffentlichung gestern erhielt ich relativ kurzfristig einen Vorschlag für folgende neue Funktion, die mir so gut gefiel, dass ich sie gleich implementieren musste.

Was ist neu an Version 0.6.0.0?

BulkSuggest 0.6.0.0 - neues FeatureDas neue Feature erlaubt es, die von euch angegeben Keywords auf Wunsch noch einmal mit dem Faktor 37 zu multiplizieren. Für jedes Keyword werden also 37 weitere Keywords nach folgendem Schema angelegt. Angenommen das Keyword lautet “Was kostet ein”, dann würde mit eingeschaltetem Keyword-Multiplier folgende Keywords erstellt werden: “Was kostet ein +”, “Was kostet ein + a”, “Was kostet ein + b”, …, “Was kostet ein + z”, “Was kostet ein + 0″, “Was kostet ein + 1″, …, “Was kostet ein + 9″.

Durch diese Methodik können der Google Suggest Funktion wesentlich mehr themenrelevante Ergebnisse entlockt werden. Oder anders ausgedrückt. Ihr könnt mit weniger eingegebenen Keywords, mehr neue Keywords ermitteln.

Zum Download von BulkSuggest 0.6.0.0

Ich hoffe ihr findet das neue Features genauso sinnvoll wie ich. Über Feedback und Anregungen freue ich mich jederzeit.

4

BulkSuggest – Google Suggest Keyword Tool

BulkSuggest LogoMit BulkSuggest gibt es mal wieder ein von mir selbst entwickeltes und geschriebenes Tool für euch. Wer ein wenig mit SEO zu tun hat oder sich schon einmal näher mit Google beschäftigt hat, der wird vielleicht schon erahnen, wofür des Titel des Programms steht.

BulkSuggest erleichtert nämlich die Identifikation der Suchvorschläge von Google. Hierzu ermittelt BulkSuggest über eine Schnittstelle die Suchvorschläge aus Googles Suggest-Funktion zu den (zuvor vom Nutzer eingegebenen) Keywords. (Die Suggest-Funktion ist übrigens jene, die ich auch in meinem WordPress-Plugin TagKeywordFinder verwende.)

Wie funktioniert BulkSuggest?

Gleich vorweg – BulkSuggest ist nach der Leitlinie “Keep it simple” entstanden. So funktioniert BulkSuggest nach dem Schema: Eingabe, Manipulation, Ausgabe.

Die Eingabe besteht aus vom Nutzer vorgegebenen Keywords. Die Keywords können entweder per Hand oder Copy und Paste eingegeben oder aus einer Textdatei eingelesen werden.

BulkSuggest - Start - 0.6.0.0  BulkSuggest - Analyse  BulkSuggest - Output

Im nächsten Schritt muss das Ausgabeformat festgelegt werden. Zur Auswahl stehen XML, CSV und TXT. Alle Formate enthalten die gleichen Informationen, eignen sich jedoch je nach Einsatzzweck besser oder schlechter. Das Plaintext-Format (.txt) ist am leichtesten lesbar, das CSV-Format ist am leichtesten maschinell zu parsen und das XML-Format am besten geeignet für prüfbare und besonders zuverlässige maschinelle Weiterverarbeitung.

Nach der Wahl des Ausgabeformats muss noch das Ausgabeverzeichnis gewählt werden. Als letzte Option steht ein sogenannter “Keyword-Multiplizierer” bereit. Wird der Haken bei “Generate ‘keyword + a-z0-9′” gesetzt, erstellt BulkSuggest zu jedem Keyword eine Zusatzliste an Keywords. Gibt man also nur das Keyword “Auto” ein. Dann wird nicht nur für “Auto” gesucht, sondern auch für “Auto + a”, “Auto + b”, … und so weiter. Das hat zum Effekt das wesentlich mehr thematische Keywords über die Suggest-Funktion ermittelt werden können.

Mit einem Klick auf den “Begin check!”-Button startet BulkSuggest die Auswertung. Für jedes Keyword werden nun über die Google Suggest Funktion die passenden Suchvorschläge ermittelt.

BulkSuggest - Output - Plaintext  BulkSuggest - Output - Excel  BulkSuggest - Output - XML

Während der Ermittlung gibt BulkSuggest Auskunft über den aktuellen Status der Verarbeitung. Nach Abschluss der Arbeiten und der Erstellung der Ausgabedatei kehrt das Programm wieder in die Ausgangsansicht zurück.

Download und Informationen

BulkSuggest steht kostenfrei zur Verfügung und kann unbegrenzt benutzt werden. Da es sich um eine kostenlose Anwendung handelt, wird jedoch auch kein Support garantiert. Wenn Bugs gefunden werden, können diese gerne gemeldet werden und ich gebe mein Bestes, die Fehler zu beheben. Ein Versprechen gebe ich aufgrund der Kostenfreiheit jedoch nicht.

Download: BulkSuggest v0.6.0.0

Wer danke sagen möchte, kann gerne auch ein bisschen Spenden. Ich freue mich über jeden Cent. ;-)

Erweiterungen, Anpassungen und Ausgangslage

Der Anstoß zur Erstellung für BulkSuggest entstammt einer Userfrage aus der “WordPress & SEO”-Facebook-Gruppe. Dort wurde nach einem Tool wie BulkSuggest gefragt. In den Antworten tauchte jedoch nur ein kostenpflichtiges Programm auf, welches zwar viel mehr als nur die Suggest-Recherche kann, jedoch auch gut 100$ kostet.

Da ich die Anforderung relativ einfach fand, habe ich mich entschieden BulkSuggest zu entwickeln und kostenlos zur Verfügung zu stellen.

Solltet ihr noch Erweiterungen oder Verbesserungen haben, so lässt sich da sicherlich drüber reden. Je nach Aufwand sprengt das dann aber den Rahmen der kostenfreien Version. Schreibt mir hierzu am Besten eine Mail. Dort können wir dann alles Weitere besprechen.

Und nun wünsche ich viel Spaß mit BulkSuggest und freue mich über euer Feedback.

Seite 1 von 52