Seit kurzem gibt es das erste offizielle Facebook-WordPress-Plugin. Nach dem Download der Version 1.0 kann das Social Publishing stark erleichtert werden. Neue WordPress-Beiträge können sodann direkt bei Facebook veröffentlicht werden. Hierbei sind verschiedene Einstellungen möglich. So kann der begleitende Kommentar festgelegt werden, man kann bestimmte Nutzer mit dem Beitrag verknüpfen und auch auf einer Fanpage veröffentlichen.

 

Facebook-Plugin für WordPress
Das Plugin lässt sich einfach herunterladen und installieren.

 

Das Plugin bietet neben der Social-Publishing-Funktion noch weitere Fähigkeiten. So kann eine Facebook-Kommentar-Box ebenso auf der WordPress-Seite eingebaut werden wie Like-Buttons und weitere Facebook-typischen Bedienelemente. Diese lassen sich auch an die eigenen ästhetischen Vorgaben anpassen.

Was das Facebook-Wordpress-Plugin nun neu macht: es entfallen vor allem diverse Umwege, die Seitenbetreiber beim Einbau und der Nutzung von Facebook-Funktionen auf einer WordPress-Seite auf sich nehmen mussten. Das Plugin ermöglicht so kürzere Wege und somit effizienteres Arbeiten.

Die beliebte Blog-Software WordPress ist am heutigen Tag in der Version 3.1 erschienen. Dabei fällt unter dem Gesichtspunkt der Suchmaschinenoptimierung ein neues Feature besonders auf:

Beim editieren/erstellen von Beiträgen wurde der Dialog der  „internen Verlinkung“ eingefügt. Musste man bisher aufwendig den Beitrag im Frontend heraussuchen und den Link kopieren – nun kann man nach dem gewünschten Artikel komfortabel im Backend suchen.

Des Weiteren können nun Beiträge vor Veröffentlichung einem Post Formats zugewiesen werden. Erstmal können so Beiträge beispielsweise als Bildergalerie, Video oder kurzer Kommentar deklariert werden. Voraussetzung ist eine Unterstützung seitens des Templates.

Weitere Informationen gibt es unter blog.wordpress-deutschland.org

Wie die WordPress-Entwickler kürzlich bekanntgaben, wird die im Dezember erwartete Version 3.1 der populären Blogsoftware nicht mehr auf Webservern genutzt werden können, die nur PHP 4 unterstützen.

Für Version 3.2, die im ersten Halbjahr 2011 erscheinen soll, soll die Messlatte für die Mindestanforderungen zudem weiter auf PHP-Version 5.2 angehoben werden. Gleichzeitig wird bei diesem Schritt auch der Support für die mittlerweile in die Jahre gekommene Version 4 des Datenbanksystems MySQL gestrichen, als niedrigste Versionsnummer wird dann 5.0.15 zum Einsatz kommen können.

Dieser Schritt kommt keineswegs übereilt: Auch die Software-Versionen der neuen Mindestanforderungen haben schon sechs (PHP) bzw. fünf (MySQL) Jahre auf dem Buckel und werden von ihren Herstellern schon nicht mehr supportet – eine kleine Ewigkeit im von Sicherheitslücken gebeutelten Internet. Website-Betreiber sollten sich frühzeitig darüber Informieren, ob ihr Hosting-Anbieter die neuen Anforderungen unterstützt.

Die beliebte Blog-Software WordPress geht in die dritte Runde: Gestern (am 17.06.2010) wurde die Version 3.0 mit dem Codenamen „Thelonius“ in der finalen Version veröffentlicht und bringt einige Neuerungen mit sich: So geht das alte Standard-Template „Kubrick“ würdevoll in den Ruhestand und wird von dem neuen Template „Twenty Ten“ abgelöst.

Neues Standard-Template in WordPress 3.0 "Twenty Ten"
Neues Standard-Template in WordPress 3.0 „Twenty Ten“

Im Backend wurde (eigentlich) nur wenig an der Optik geändert, aber deutlich aufgeräumt, etliche Bugs wurden zudem gefixt und viele Funktionen erweitert. So ist die Multi-User-Edition WordPress MU in die „normale“ Version integriert worden. Somit besteht fortan die Möglichkeit, mit einer Installation von WordPress unzählige Blogs zu betreiben.

Die Version 3.0 von WordPress macht schon jetzt einen sehr guten Eindruck auf uns. Erfahrungsgemäß sollte man jedoch auf den ersten Patch (3.01) warten, bevor man seinen Blog von älteren Versionen auf den neuesten Stand bringt. Somit kann man sich eine Menge Ärger mit Kinderkrankheiten von X.0 Versionen ersparen. Des Weiteren sollte man sich vorab informieren, ob die verwendeten Plugins (wie z.B. Simple Tags) mit der neuen Version kompatibel sind.

Weitere Informationen zu WordPress 3.0 sind auch auf den Seiten von perun.net zu finden.

Vor einiger Zeit haben wir uns bereits mit WordPress und der Absicherung gegen Angriffe befasst. Doch ein Blog sollte natürlich nicht nur sicher sein, sondern auch Leser finden, beziehungsweise von Lesern gefunden werden. Daher wollen wir im Folgenden einige Hinweise geben, wie man Worpdress für Suchmaschinen attraktiv macht, denn obwohl WordPress von Haus aus schon recht gut optimiert ist, einige Stellschrauben gibt es noch immer.
(mehr …)

Das Opensource Blog-System WordPress erfreut sich immer größerer Beliebtheit im Netz. Dank der Funktionsvielfalt wird es längst nicht mehr ausschließlich als Blog eingesetzt, sondern ersetzt oftmals auch aufwendige Content-Management-Systeme bei kleineren Webauftritten.

Doch der steigende Funktionsumfang ist für den Anwender Fluch und Segen gleichermaßen, denn mit den Möglichkeiten wächst auch die Zahl potentieller Schwachstellen, die von Hackern ausgenutzt werden können, um Inhalte zu manipulieren oder an Daten zu kommen, die nicht für die Öffentlichkeit bestimmt sind. Wir haben deshalb an dieser Stelle die gängigsten Maßnahmen zusammengestellt, um WordPress sicherer zu machen.

Tabellen-Präfix ändern

Bei einer Standardinstallation verwendet WordPress den Präfix „wp_“ um seine Tabellen in der MySQL Datenbank zu kennzeichnen. Das wissen auch Hacker und versuchen so über Schwachstellen im Code Daten in der Datenbank zu manipulieren. Die einfachste Abwehr dagegen ist ein individueller, kryptischer Präfix. Festgelegt werden kann dieser während der WordPress Installation.

Wer sein Blog bereits seit einiger Zeit im Netz hat kann auch die bestehenden Datenbanken ändern, am einfachsten geht das mit dem Plugin WP Prefix Table Changer. Wichtig ist, dass der verwendete Präfix auch in der Datei wp-config.php angegeben wird, die im Stammverzeichnis von WordPress zu finden ist.

Secret-Keys generieren

Seit einiger Zeit verwendet WordPress die so genannten Secret-Keys, um Cookies zu verschlüsseln. Mittlerweile sind 4 dieser Keys im Einsatz. Sie werden ebenfalls in der Datei wp-config.php definiert und müssen derzeit noch von Hand eingesetzt werden. Mit Hilfe dieses Generators kann man sich die vier Codezeilen inkl. zufällig vergebener Keys generieren lassen. In zukünftigen WordPress-Versionen sollen die Secret-Keys automatisch während der Installation in die Konfiguration geschrieben werden.

Standard-User „admin“ löschen

Bei der Installation eines WordPress Blogs wird der User „admin“ automatisch angelegt, dieser sollte direkt nach dem Setup gelöscht und durch einen neuen Nutzer mit Administrator-Rechten ersetzt werden. Zusätzlich empfiehlt es sich die User-ID des neuen Admins in der Datenbank zu ändern, so dass dieser nicht die IDs 1 oder 2 bekommt, da Hacker versuchen könnten über die User-ID einen Admin vorzutäuschen, um Zugriff auf Posts, Plugins oder Einstellungen zu bekommen.

Wer nicht direkt auf die MySQL Datenbank zugreifen kann oder möchte, dem hilft das Plugin Search & Replace.

WordPress Version verschleiern

Die Ausgabe der WordPress Version gibt Angreifern Aufschluss über eventuell vorhandene Schwachstellen durch veralteten Quellcode. Um die Ausgabe zu verhindern muss die folgende Zeile in die Datei functions.php geschrieben werden.

remove_action('wp_head', 'wp_generator');

Die functions.php gehört zu jedem WordPress Theme und findet sich daher im jeweiligen Verzeichnis des verwendeten Themes.

Achtung bei einem Relaunch oder beim Wechsel zu einem anderen Theme: Da jedes Design seine eigene funtions.php mitbringt, muss diese auch jedes mal wieder indvividuell angepasst werden.

Windows LiveWriter und XMLRPC Schnittstellen deaktivieren

Diese Windows LiveWriter und XMLRPC  Schnittstellen erlauben das Bloggen mittels Software auf dem eigenen PC oder auch unterwegs per Handy. Ab der WordPress Version 2.6 sind sie bei der Installation standarmäßig bereits deaktiviert, sicherheitshalber sollten dennoch die folgenden Zeilen in der gerade schon beschriebenen Datei functions.php ergänzt werden.

remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'rsd_link');

Um Risiken vollkommen auszuschließen sollte außerdem die Datei xmlrpc.php im WordPress Stammverzeichnis gelöscht oder zumindest umbenannt werden.

Fehlerausgabe unterbinden

Bei der Web-Entwicklung sind Fehlerausgaben nützlich. In einer Live-Umgebung geben Sie Angreifern jedoch unter Umständen fatale Hinweise auf den Maschinenraum eines Blogs.

Mit Hilfe der folgenden Zeile in der Datei wp-config.php kann die Ausgabe von PHP und MySQL Fehlern deaktiviert werden.

define('WP_DEBUG', false);

Plugin-Verzeichnis schützen

Das Plugin-Verzeichnis und ggf. auch andere kritische Ordner sollten durch eine leere index.html oder index.php Datei vor Ausgabe des Ordnerinhaltes geschützt werden, egal ob der Server dies erlaubt oder nicht. Ab Version 2.8 bringt WordPress diese Maßnahme bereits mit, doch auch Blogger, die regelmäßig Updates einspielen, sollten prüfen, ob ihr Plugin-Verzeichnis bereits geschützt ist.

wp-admin Verzeichnis schützen

Wichtigster Angriffspunkt in WordPress und damit die größte Schwachstelle sind die Dateien im Verzeichnis wp-admin, da hier sämtliche Funktionen des Blogs gesteuert werden, und, neben Veränderungen an der Datenbank (bei falscher Serverkonfiguration) selbst, Dateien manipuliert werden können. Der einfachste Weg diese Schwachstelle zu schließen, ist es Angreifer erst gar nicht bis dorthin kommen zu lassen.

Eine Möglichkeit dies zu realisieren ist der Schutz des wp-admin Verzeichnisses durch eine .htaccess + .htpasswd Kombination bzw. eine IP-Sperre per .htaccess. Somit ist das gesamte Verzeichnis und damit auch der eigentliche Login zum Backend für nicht authorisierte Benutzer gesperrt. Die benötigten Dateien können beispielsweise mit diesem Generator erzeugt werden und müssen anschließend im wp-admin Verzeichnis abgelegt werden. Alternativ können diese Aufgabe aber auch die Plugins wie Login Lockdown oder AskApache Password Protect übernehmen.

Wichtig hierbei ist natürlich sicherzustellen, dass alle zugelassenen Autoren über die benötigten Zugangsdaten verfügen. Eine IP-Sperre eignet sich vor allem für Unternehmen, da diese häufig über einen Internetzugang mit fester IP-Adresse verfügen. Normale Internetuser haben meist jedoch eine dynamische IP, die sich spätestens nach 24 Stunden ändert. In diesem Fall würde man sich hierüber aus seinem eigenen Blog aussperren.

Login-Versuche limitieren

WordPress erlaubt unendlich viele Anmeldeversuche mit falschen Zugangsdaten, Brute-Force-Angriffe werden dadurch erleichtert.

Mit dem Plugin Limit Login Attempts kann die Zahl von Falscheingaben bestimmt werden, nach der ein User für weitere Login-Versuche gesperrt wird. Der Administrator wird per Mail über diese Sperre informiert und kann im Ernstfall schnell weitere Maßnahmen ergreifen.

Login Fehlermeldungen unterdrücken

Hinweise über fehlerhafte Passwörter oder Nutzernamen unterstützen den Hacker bei der Suche nach gültigen Zugangsdaten. Die Ausgabe solcher Hinweise kann über folgende Codezeile in der Datei functions.php unterbunden werden

add_filter( 'login_errors', create_function( '$a', "return null;" ) );

wp-config.php schützen

Bei einem falsch konfigurierten Server könnte es möglich sein, den Inhalt der Datei wp-config.php anzuzeigen und so an Zugangsdaten für die Datenbank zu gelangen. Um dies zuverlässig zu verhindern, sollte die .htaccess Datei im WordPress Stammverzeichnis durch die folgenden Zeilen ergänzt werden.

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>

Registrierung neuer Nutzer verbieten

Sofern die Möglichkeit der Registrierung neuer User nicht benötigt wird, sollte diese über die entsprechende Einstellung im WordPress Backend deaktiviert werden. Ist in der vorliegenden Installation noch die Datei wp-register.php im Stammverzeichnis vorhanden, so kann diese gelöscht werden, da sie seit der Version 2.6 nicht mehr verwendet wird.

Backups durchführen

In Regelmäßigen Abständen sollten unbedingt Backups der Datenbank erstellt werden. Auch eine Sicherung der aktuellen Theme-Version sollte stets vorhanden sein, um bei eventuellen Totalabstürzen wieder schnell online gehen zu können.

Das Plugin WP-DBManager hilft bei der Erstellung automatisierter Datenbank-Backups.

Updates durchführen

Auch die beste Absicherung nützt nichts, wenn das System selbst kritische Schwachstellen aufweist. WordPress wird ständig von einer großen Gemeinde erfahrener Programmierer weiterentwickelt und verbessert. Deshalb sollte das Kernsystem stets auf dem aktuellsten Stand gehalten werden und auch Plugins und Themes sollten regelmäßig auf die aktuellste Version gebracht werden.

Vor einem Update sollte jedoch stets ein Backup erstellt werden, sodass im Fall eines Fehlers die bisherige Version wiederhergestellt werden kann.

Zum Schluss noch ein allgemeiner Tipp: Verwenden Sie, wenn immer möglich, für den Datentransfer auf Ihre Server nicht das FTP-Protokoll, sondern greifen Sie auf FTPS oder sFTP (via SSH) zurück. FTP überträgt sämtliche Login-Daten unverschlüsselt, ein Hacker könnte ihre Daten abfangen und erhält somit vollen Zugriff auf Ihren Server. FTPS und sFTP übertragen sämtliche Daten verschlüsselt und bieten so optimalen Schutz vor neugierigen Blicken.

Ähnliches gilt auch für den WordPress Login. Dieser sollte wenn möglich via SSL geschützt werden – auch wenn in der Praxis wohl den wenigsten ein gültiges SSL-Zertifikat auf dem Server zur Vergügung stehen dürfte.

Am 27.5.2003 begann eine der Erfolgsgeschichten im Internet und das ganz ohne kommerziellen Hintergrund. Mit dem Release 0.7 startete WordPress die kostenlose OpenSource-Blog-Lösung. Im Jahr 2007 gab es bereits 3.816.965 WordPress-Installationen – eine Verdoppelung gegenüber dem Vorjahr (1,5 Mio.)!

Die Idee zu WordPress entstand bereits 2001 aus dem Wunsch heraus, eine elegante, schlanke und möglichst flexible Lösung basierend auf PHP und der freien Datenbank mySQL zu entwickeln. Grundlage der Entwicklung ist die sog. General Public License, die ausdrücklich auch die kommerzielle Verwendung erlaubt. Das ist natürlich gerade für Corporate Blogs interessant, da das Blog ohne jegliche Mehrkosten eingesetzt werden kann.

Maßgeblicher Teil der Erfolgsgeschichte ist die sehr einfache Installation, das leicht anzupassende Design, sowie die Flexibilität durch die hohe Anzahl an PlugIns. Durch den WordPress-Codex, welcher die genauen Regeln der Programmierung festlegt, ist es jedem User möglich seine eigenen Erweiterungen zu schreiben und diese dann der Öffentlichkeit zur Verfügung zu stellen. Somit entstehen immer mehr Varianten und immer neue Möglichkeiten werden geboten. Die Zahl der Anwendungsmöglichkeiten z. B. steigt täglich. Mittlerweile kann man das ursprüngliche Blog-System auch als Wiki, CMS oder E-Commerce-Lösung einsetzen.

WordPress – aktuell

Diese Jahr erschien das Release 2.5 bzw. 2.5.1. Die Entwickler, allen voran Erfinder Matthew Mullenweg, achteten diesmal besonders darauf, dass die typischen Kinderkrankheiten und Sicherheitslücken schon vor der Veröffentlichung beseitigt wurden. Wie bei jeder Software gelang dies natürlich nur begrenzt, aber nichtsdestotrotz auf einem erfreulich hohen Niveau. Die wichtigsten Veränderungen zum Vorgänger 2.3 (2.4 gab es nie) waren:

  • grafische Veränderungen im Administrations-Backend
  • eingebaute Galeriefunktion mit verbessertem Uploader
  • verbesserte Verschlüsselung für Passwörter
  • Tag-Verwaltung

WordPress µ

Mit Worpresss µ (MU / Multiuser) erschien in diesem Jahr eine Variante von WordPress, die speziell auf die Bedürfnisse eines Mehrbenutzer-CMS zugeschnitten ist. Nun ist es möglich, auf einer Installation mehrere Blogs parallel zu betreiben und zu verwalten.

Die bekannteste Umsetzung von WordPress µ ist der Dienst WordPress.com, der von Automattic betrieben wird. Automattic wurde im August 2005 durch die WordPress-Entwickler mit dem Zweck gegründet, weitere Dienstleistungen rund um WordPress anzubieten.

Jazz und Filme

Hätten Sie gewusst, dass jede Version einem der großen Jazz-Musiker gewidmet wird? So wurden die Releases seit 1.0.1 jeweils benannt nach Größen wie Miles Davis, Duke Ellington oder ganz aktuell dem Saxophonisten Michael Brecker. Und auch das Standard-Template ist natürlich eine Hommage an die Regie-Legende Stanley Kubrick (2001: Odyssee im Weltraum oder Uhrwerk Orange).

 

Ein hilfreicher Ansatz für die Suchmaschinenoptimierung von WordPress-Blogs ist das Weblog-Plugin „wpSEO“ von Sergej Müller. In der Vergangenheit haben schon mehrere Plugins für sich beansprucht, dem Webmaster Hilfe für die Blog-Optimierung durch wenige Klicks an die Hand geben zu können – mehr oder weniger erfolgreich und schlau gelöst. Auch wenn WordPress schon vieles mitbringt: Um alle für Suchmaschinen halbwegs wichtigen Faktoren unter einen Hut zu bekommen, bleibt oft noch einiges an Arbeit und Sorgen beim Blogbetreiber hängen.

wpSEO (mehr …)