Monthly Archives: August 2009

Unter dem Namen Caffeine startete Google Anfang letzter Woche einen öffentlichen Testlauf der weiterentwickelten Architektur der Suchmaschine. In Googles Webmaster Blog teilt das Unternehmen mit, dass an diesem zuvor geheimen Projekt bereits seit mehreren Monaten gearbeitet wurde. Zu vermuten ist, dass Google angesichts der aktuellen Bewegung auf dem Suchmaschinenmarkt (“Microhoo – Microsoft übernnimmt die Yahoo Suche”) mit “schnelleren und relevanteren” Ergebnissen selbst im Gespräch bleiben will. Google verspricht, mit diesem Update „die Grenzen hinsichtlich der Indexierungs-Geschwindigkeit, der Genauigkeit, des Umfangs und anderer Dimensionen zu erweitern“:

It’s the first step in a process that will let us push the envelope on size, indexing speed, accuracy, comprehensiveness and other dimensions.

So, was fällt also nach den ersten Gehversuchen hinsichtlich dieser Kriterien auf?

Ein bisschen schwammig erscheint der Begriff „Indexierungs-Geschwindigkeit“ (indexing speed) – ist hiermit die Geschwindigkeit gemeint, mit der Google neue Seiten findet und indiziert oder aber die Geschwindigkeit, mit der Caffeine Suchergebnisse präsentiert? Letzteres mal angenommen, lassen sich tatsächlich z.T. erhebliche Unterschiede in der Geschwindigkeit feststellen, in der der “aktuelle” und “neue” Google-Code die Ergebnisse präsentieren.

Im Bereich unseres Testings ist Caffeine teils deutlich schneller als der aktuelle Google-Algo – allerdings nur ablesbar anhand der von Google selbst angegebenen Geschwindigkeit in der Ergebnisleiste. Diese letztlich subjektiv nicht mehr zu fassenden zeitlichen Unterschiede im Millisekundenbereich sind jedoch für den normalen User kaum bemerkbar. Mehr Geschwindigkeit könnte zukünftig aber ggf. auch mehr Features in den Suchergebnissen zulassen.

Ein anderer Nutzen wäre da schon die versprochene Genauigkeit und Keyword-Relevanz der Suchergebnisse. Mit den URL-Parametern &hl=de (für die deutsche Sprache) und &gl=de (für das deutsche Targeting) lässt sich auch mit deutschen Ergebnissen ein wenig rumspielen. In der aktuellen Pre-Beta scheinen News und Kommunikation ein stärkeres Gewicht zu erhalten, so werden z.B. die News-Ergebnisse in der Sandbox meistens prominenter angezeigt. Wikipedia-Einträge hingegen, die derzeit häufig auf den Top-Plätzen zu finden sind, rücken oft weiter nach hinten. Genaueres wird sich aber erst zeigen, wenn die Änderungen in den Live-Betrieb gehen.

Weitere Unterschiede lassen sich am Umfang der präsentierten Suchergebnisse ausmachen. Hier fährt Caffeine einen deutlich erweiterten Index vor. Wahrscheinlich lässt sich so zukünftig ggf. die ein oder andere zusätzliche Perle im Long-Tail finden, die es vorher noch nicht in den Index geschafft hat.

Fazit
Insgesamt ist es zum heutigen Zeitpunkt schwer, ein abschließendes Fazit zu ziehen – zu viele Fragen in der Definierung der Neuerungen weist die aktuelle Prä-Beta-Version noch auf. So bleibt natürlich abzuwarten, welche Änderungen in Caffeine noch einfließen werden oder wie sich der Index der neuen Version erweitern bzw. verändern wird. Aktuell macht es eher den Eindruck, als ob der Index noch etwa vier bis sechs Wochen hinter dem Live-Algo herhinken würde.

Aber auch wie sich die AdWords-Einblendungen auf die Suchergebnisse auswirken werden, welche weiteren Änderungen in das Update einfließen. Man kann jedoch sicher davon ausgehen, dass sich in Zukunft noch einiges tun dürfte. Webentwickler, Power Sucher und interessierte Nutzer sollten auf jeden Fall einen Blick riskieren.

Wer sich professionell oder auch nur interessehalber mit den Backlinkzahlen seiner Domain auseinandersetzt, wird in der Vergangenheit vermutlich schon oft die teils enormen Diskrepanzen zwischen den Zahlen von Google, Yahoo und MSN bemerkt haben.
Dass Google und MSN seine Zahlen nur in Bruchteilen bis gar nicht herausgibt, ist kein Geheimnis. Die Authentifizierung in den GoogleWebmaster-Tools ist eine Voraussetzung für zuverlässigere Zahlen.
Mit der Umbenennung von “MSN” zu “Bing”, folgt nun aber auch hier eine eigene Lösung: das Bing Webmaster Center.

Um die Vorteile des bing Webmaster Centers nutzen zu können, benötigt man lediglich ein Windows Live-Konto, sowie eine kleine XML-Datei bzw. einen speziellen Meta-Tag. Schon stehen die “vertraulichen” Daten der Suchmaschine zur Verfügung. Leider liefert Bing nur einen Backlink-Export der ersten 1.000 Seiten.  Schade, da 1.000 Backlinks doch ein recht überschaubarer Pool an Daten ist.

Auch bei den Indexzahlen scheint Bing nachgebessert zu haben. MSN kennzeichnete bislang immer eine gewissen Trägheit im Index – alte Seiten blieben auch lange nach der Löschung noch im Index. Nun gleichen sich diese mit genaueren Zahlen mehr und mehr dem Marktführer an.

Auch wenn derzeit das Bing Webmaster Center noch weniger Daten zur Verfügung stellt als sein Google-Äquivalent, sollte man diese weitere Quelle für nützliche Informationen zu Crawling-, Index und Backlink-Daten nicht ungenutzt lassen. Denn auch Bing hat Alleinstellungsmerkmale, so bietet das Webmaster Center beispielsweise die Möglichkeit, sich alle Outbound-Links anzeigen zu lassen, die auf Seiten verweisen, welche als “Malware” eingestuft sind. Ein schneller Weg, um eine sogenannte “Bad Neighborhood” zu vermeiden.

Da Yahoo künftig auf die Suchengine von MSN setzt, werden wahrscheinlich auch dort bald Zahlen im Einklang mit BINGs Webmaster Center zu finden sein.

Bei den öffentlichen Backlink-Ausgaben über den Yahoo-Siteexplorer wird es zudem spannend, ob dieser Service zukünftig weiter aufrecht erhalten wird. Eine mögliche Einstellung des Services durch die Übernahme von Bing würde vermutlich auch den Wegfall diverser Backlink-Tools von Drittanbietern zur Folge haben, die oftmals auf der Yahoo-Datenbasis aufsetzen.

dmexco – digital marketing exposition & conference – heißt die neue Leitmesse für digitales Marketing. Sie findet am 23. und 24. September in Köln statt und mehr als 250 Aussteller aus der digitalen Wirtschaft werden insgesamt 26.000 Quadratmeter Fläche belegen.

Auch trafficmaxx wird als Aussteller dabei sein. Bei uns können Sie sich zu den Themen Suchmaschinenoptimierung, Suchmaschinenmarketing, Suchmaschinen Advertising, Online Reputationsmanagement, Social Media Marketing, Online PR und Online Marketingweiteren Online Marketing Services unseres Hauses informieren.

Besuchen Sie uns in Halle 8, am Stand F-059.
Gerne können wir im Vorfeld auch einen Termin vereinbaren.

Nutzen Sie dazu das nachfolgende Kontaktformular oder rufen Sie uns an: 0421 – 27 867 18, Kontakt: Oliver Dahm.

Das Opensource Blog-System WordPress erfreut sich immer größerer Beliebtheit im Netz. Dank der Funktionsvielfalt wird es längst nicht mehr ausschließlich als Blog eingesetzt, sondern ersetzt oftmals auch aufwendige Content-Management-Systeme bei kleineren Webauftritten.

Doch der steigende Funktionsumfang ist für den Anwender Fluch und Segen gleichermaßen, denn mit den Möglichkeiten wächst auch die Zahl potentieller Schwachstellen, die von Hackern ausgenutzt werden können, um Inhalte zu manipulieren oder an Daten zu kommen, die nicht für die Öffentlichkeit bestimmt sind. Wir haben deshalb an dieser Stelle die gängigsten Maßnahmen zusammengestellt, um WordPress sicherer zu machen.

Tabellen-Präfix ändern

Bei einer Standardinstallation verwendet WordPress den Präfix “wp_” um seine Tabellen in der MySQL Datenbank zu kennzeichnen. Das wissen auch Hacker und versuchen so über Schwachstellen im Code Daten in der Datenbank zu manipulieren. Die einfachste Abwehr dagegen ist ein individueller, kryptischer Präfix. Festgelegt werden kann dieser während der WordPress Installation.

Wer sein Blog bereits seit einiger Zeit im Netz hat kann auch die bestehenden Datenbanken ändern, am einfachsten geht das mit dem Plugin WP Prefix Table Changer. Wichtig ist, dass der verwendete Präfix auch in der Datei wp-config.php angegeben wird, die im Stammverzeichnis von WordPress zu finden ist.

Secret-Keys generieren

Seit einiger Zeit verwendet WordPress die so genannten Secret-Keys, um Cookies zu verschlüsseln. Mittlerweile sind 4 dieser Keys im Einsatz. Sie werden ebenfalls in der Datei wp-config.php definiert und müssen derzeit noch von Hand eingesetzt werden. Mit Hilfe dieses Generators kann man sich die vier Codezeilen inkl. zufällig vergebener Keys generieren lassen. In zukünftigen WordPress-Versionen sollen die Secret-Keys automatisch während der Installation in die Konfiguration geschrieben werden.

Standard-User „admin“ löschen

Bei der Installation eines WordPress Blogs wird der User “admin” automatisch angelegt, dieser sollte direkt nach dem Setup gelöscht und durch einen neuen Nutzer mit Administrator-Rechten ersetzt werden. Zusätzlich empfiehlt es sich die User-ID des neuen Admins in der Datenbank zu ändern, so dass dieser nicht die IDs 1 oder 2 bekommt, da Hacker versuchen könnten über die User-ID einen Admin vorzutäuschen, um Zugriff auf Posts, Plugins oder Einstellungen zu bekommen.

Wer nicht direkt auf die MySQL Datenbank zugreifen kann oder möchte, dem hilft das Plugin Search & Replace.

WordPress Version verschleiern

Die Ausgabe der WordPress Version gibt Angreifern Aufschluss über eventuell vorhandene Schwachstellen durch veralteten Quellcode. Um die Ausgabe zu verhindern muss die folgende Zeile in die Datei functions.php geschrieben werden.

remove_action('wp_head', 'wp_generator');

Die functions.php gehört zu jedem WordPress Theme und findet sich daher im jeweiligen Verzeichnis des verwendeten Themes.

Achtung bei einem Relaunch oder beim Wechsel zu einem anderen Theme: Da jedes Design seine eigene funtions.php mitbringt, muss diese auch jedes mal wieder indvividuell angepasst werden.

Windows LiveWriter und XMLRPC Schnittstellen deaktivieren

Diese Windows LiveWriter und XMLRPC  Schnittstellen erlauben das Bloggen mittels Software auf dem eigenen PC oder auch unterwegs per Handy. Ab der WordPress Version 2.6 sind sie bei der Installation standarmäßig bereits deaktiviert, sicherheitshalber sollten dennoch die folgenden Zeilen in der gerade schon beschriebenen Datei functions.php ergänzt werden.

remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'rsd_link');

Um Risiken vollkommen auszuschließen sollte außerdem die Datei xmlrpc.php im WordPress Stammverzeichnis gelöscht oder zumindest umbenannt werden.

Fehlerausgabe unterbinden

Bei der Web-Entwicklung sind Fehlerausgaben nützlich. In einer Live-Umgebung geben Sie Angreifern jedoch unter Umständen fatale Hinweise auf den Maschinenraum eines Blogs.

Mit Hilfe der folgenden Zeile in der Datei wp-config.php kann die Ausgabe von PHP und MySQL Fehlern deaktiviert werden.

define('WP_DEBUG', false);

Plugin-Verzeichnis schützen

Das Plugin-Verzeichnis und ggf. auch andere kritische Ordner sollten durch eine leere index.html oder index.php Datei vor Ausgabe des Ordnerinhaltes geschützt werden, egal ob der Server dies erlaubt oder nicht. Ab Version 2.8 bringt WordPress diese Maßnahme bereits mit, doch auch Blogger, die regelmäßig Updates einspielen, sollten prüfen, ob ihr Plugin-Verzeichnis bereits geschützt ist.

wp-admin Verzeichnis schützen

Wichtigster Angriffspunkt in WordPress und damit die größte Schwachstelle sind die Dateien im Verzeichnis wp-admin, da hier sämtliche Funktionen des Blogs gesteuert werden, und, neben Veränderungen an der Datenbank (bei falscher Serverkonfiguration) selbst, Dateien manipuliert werden können. Der einfachste Weg diese Schwachstelle zu schließen, ist es Angreifer erst gar nicht bis dorthin kommen zu lassen.

Eine Möglichkeit dies zu realisieren ist der Schutz des wp-admin Verzeichnisses durch eine .htaccess + .htpasswd Kombination bzw. eine IP-Sperre per .htaccess. Somit ist das gesamte Verzeichnis und damit auch der eigentliche Login zum Backend für nicht authorisierte Benutzer gesperrt. Die benötigten Dateien können beispielsweise mit diesem Generator erzeugt werden und müssen anschließend im wp-admin Verzeichnis abgelegt werden. Alternativ können diese Aufgabe aber auch die Plugins wie Login Lockdown oder AskApache Password Protect übernehmen.

Wichtig hierbei ist natürlich sicherzustellen, dass alle zugelassenen Autoren über die benötigten Zugangsdaten verfügen. Eine IP-Sperre eignet sich vor allem für Unternehmen, da diese häufig über einen Internetzugang mit fester IP-Adresse verfügen. Normale Internetuser haben meist jedoch eine dynamische IP, die sich spätestens nach 24 Stunden ändert. In diesem Fall würde man sich hierüber aus seinem eigenen Blog aussperren.

Login-Versuche limitieren

WordPress erlaubt unendlich viele Anmeldeversuche mit falschen Zugangsdaten, Brute-Force-Angriffe werden dadurch erleichtert.

Mit dem Plugin Limit Login Attempts kann die Zahl von Falscheingaben bestimmt werden, nach der ein User für weitere Login-Versuche gesperrt wird. Der Administrator wird per Mail über diese Sperre informiert und kann im Ernstfall schnell weitere Maßnahmen ergreifen.

Login Fehlermeldungen unterdrücken

Hinweise über fehlerhafte Passwörter oder Nutzernamen unterstützen den Hacker bei der Suche nach gültigen Zugangsdaten. Die Ausgabe solcher Hinweise kann über folgende Codezeile in der Datei functions.php unterbunden werden

add_filter( 'login_errors', create_function( '$a', "return null;" ) );

wp-config.php schützen

Bei einem falsch konfigurierten Server könnte es möglich sein, den Inhalt der Datei wp-config.php anzuzeigen und so an Zugangsdaten für die Datenbank zu gelangen. Um dies zuverlässig zu verhindern, sollte die .htaccess Datei im WordPress Stammverzeichnis durch die folgenden Zeilen ergänzt werden.

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>


Registrierung neuer Nutzer verbieten

Sofern die Möglichkeit der Registrierung neuer User nicht benötigt wird, sollte diese über die entsprechende Einstellung im WordPress Backend deaktiviert werden. Ist in der vorliegenden Installation noch die Datei wp-register.php im Stammverzeichnis vorhanden, so kann diese gelöscht werden, da sie seit der Version 2.6 nicht mehr verwendet wird.

Backups durchführen

In Regelmäßigen Abständen sollten unbedingt Backups der Datenbank erstellt werden. Auch eine Sicherung der aktuellen Theme-Version sollte stets vorhanden sein, um bei eventuellen Totalabstürzen wieder schnell online gehen zu können.

Das Plugin WP-DBManager hilft bei der Erstellung automatisierter Datenbank-Backups.

Updates durchführen

Auch die beste Absicherung nützt nichts, wenn das System selbst kritische Schwachstellen aufweist. WordPress wird ständig von einer großen Gemeinde erfahrener Programmierer weiterentwickelt und verbessert. Deshalb sollte das Kernsystem stets auf dem aktuellsten Stand gehalten werden und auch Plugins und Themes sollten regelmäßig auf die aktuellste Version gebracht werden.

Vor einem Update sollte jedoch stets ein Backup erstellt werden, sodass im Fall eines Fehlers die bisherige Version wiederhergestellt werden kann.

Zum Schluss noch ein allgemeiner Tipp: Verwenden Sie, wenn immer möglich, für den Datentransfer auf Ihre Server nicht das FTP-Protokoll, sondern greifen Sie auf FTPS oder sFTP (via SSH) zurück. FTP überträgt sämtliche Login-Daten unverschlüsselt, ein Hacker könnte ihre Daten abfangen und erhält somit vollen Zugriff auf Ihren Server. FTPS und sFTP übertragen sämtliche Daten verschlüsselt und bieten so optimalen Schutz vor neugierigen Blicken.

Ähnliches gilt auch für den WordPress Login. Dieser sollte wenn möglich via SSL geschützt werden – auch wenn in der Praxis wohl den wenigsten ein gültiges SSL-Zertifikat auf dem Server zur Vergügung stehen dürfte.

Nun ist es Offiziell: Microsoft übernimmt die Suchsparte von Yahoo

Kurz nach der Einführung seiner neuen Suchmaschine Bing (vorher Microsoft Live Search), macht der amerikanische Softwarekonzern Microsoft erneut im Suchmaschinenbusiness auf sich aufmerksam. Microsoft und Yahoo werden für die nächsten 10 Jahre in der Suchsparte eng zusammenarbeiten. Das bedeutet konkret: Yahoo! wird Microsoft seine Suchmaschinentechnologie überlassen und zukünftig die Suchergebnisse von Bing auf den eigenen Seiten nutzen.

Als Gegenzug für diese Freigabe übernimmt Yahoo! einen Großteil der Werbevermarktung innerhalb des Suchmaschinenzusammenschlusses. Dabei kommt dieser Deal nicht ganz so überraschend. Bereits seit über drei Jahren buhlt der Softwarekonzern um Bill Gates um den Suchmaschinenkonkurrenten. Ursprünglich hatte man vor, das Unternehmen für eine Summe von über 44 Milliarden Dollar ganz zu übernehmen, doch die Kalifornier blockten immer wieder ab. Jetzt hat man sich auf den Zusammenschluss der Suchmaschinentechnologien geeinigt. Aus Yahoo! Search wird damit Bing.

Doch was bedeutet das für den Suchmaschinen-Anwender? Diese Frage lässt sich bislang noch nicht genauer klären. Fest steht nur, dass Microsoft einen weiteren Schritt getan hat, um dem bisher klar als Monopolist geltenden Suchgiganten Google ein Stückchen näher zu kommen. Normalerweise belebt Konkurrenz das Geschäft, doch in diesem Fall wird aus zwei Mitbewerbern nur noch einer.

Fraglich ist auch, was das für Yahoo! bedeutet. Mit der Suchmaschinentechnologie fällt der Großteil des Konzerns an einen Mitbewerber. Viele Medien sprechen dahingehend schon von einer Kapitulation Yahoos, das den harten Kampf um den Suchmaschinen-Markt damit aufgegeben hat. Kann Yahoo ohne eigene Suchmaschine weiterhin überleben oder ist der erste Schritt zur vollständigen Übernahme durch Microsoft hiermit getan? Und aus Marketing-Sicht: Wie wird sich das nun entstandene Konglomerat zukünftig präsentieren?

Es bleibt spannend für die Internetnutzer.