Archiv
Artikel Tagged ‘Wordpress’
Die robots.txt Datei dient dazu einer Suchmaschine zu sagen welche teile des Blogs indexiert werden sollen und welche nicht. Dadurch kann man z.B. auch vermeiden dass über Google nach exploits in Plugins gesucht werden kann, da der Plugin-Ordner über die robots.txt Datei ausgeklammert wurde.
Des weiteren kann man über die robots.txt eine Sitemap der Seite verlinken welche es den Suchmaschinen einfacher macht, die Seite zu indexieren.
Hier der Auszug aus der robots.txt. Diese muss im Hauptverzeichnis der Domain sein.
User-agent: *
Sitemap: http://www.camma.ch/sitemap.xml
# Nicht indexieren aller Dateien in folgenden Verzeichnissen
Disallow: /cgi-bin/
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wpcontent/themes/
Disallow: /wp-content/plugins/
Disallow: /trackback/
Disallow: /*?*
Disallow: */trackback/
User-agent: Googlebot
# Unterbinden der Indexierung aller Dateien mit diesen Endungen
Disallow: /*.php$
Disallow: /*.js$
Disallow: /*.inc$
Disallow: /*.css$
Disallow: /*.gz$
Disallow: /*.cgi$
Disallow: /*.wmv$
Disallow: /*.png$
Disallow: /*.gif$
Disallow: /*.jpg$
Disallow: /*.cgi$
Disallow: /*.xhtml$
Disallow: /*.php*
Disallow: */trackback*
Disallow: /*?*
Disallow: /category/
Disallow: /tag/
Disallow: /archives/
Disallow: /feed/
Disallow: /wp-*
Allow: /wp-content/uploads/
# Google Image erlauben alle Bilder zu indexieren
User-agent: Googlebot-Image
Allow: /*
# Dem AdSense Bot erlauben die Seite zu indexieren
User-agent: Mediapartners-Google*
Disallow: /*?*
Allow: /wp-content/
Allow: /tag/
Allow: /category/
Allow: /*.php$
Allow: /*.js$
Allow: /*.inc$
Allow: /*.css$
Allow: /*.gz$
Allow: /*.cgi$
Allow: /*.wmv$
Allow: /*.cgi$
Allow: /*.xhtml$
Allow: /*.php*
Allow: /*.gif$
Allow: /*.jpg$
Allow: /*.png$
# Archivierung der Seite unterbinden
User-agent: ia_archiver
Disallow: /
# duggmirror unterbinden
User-agent: duggmirror
Disallow: /
Die sitemap.xml kann durch das Plugin Google XML Sitemaps erstellt werden.
Jede CMS Installation sollte abgesichert werden. Dazu gibt es jeweils für die verschiedenen CMS System Anleitungen.
Gerade bei weit verbreiteten Systemen wie WordPress gibt es immr wieder Berichte über gehackte WordPress-Installationen bei denen oftmals von Angreifern Beitragsinhalte verändert, Spamlinks eingefügt und per CSS versteckt wurden. Genauso ist es durch einen Hacker möglich alle Beiträge zu löschen oder sonstigen Unfug zu treiben.
Auf cywahle.de ist ein Tutorial veröffentlich worden wie man WordPress absichern kann:
http://www.cywhale.de/sicherheit-wordpress-absichern/
Update:
Unter folgender Adresse sind weitere Tipps zu finden:
http://www.agenturblog.de/2008-01/wordpress-sicherer-machen-acht-tipps-fuer-den-hausgebrauch/
Interessant dabei vorallem die Einschränkung des Adminbereichs auf den Zugriff nur von bestimmten IP Adressen:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 64.233.169.99
# whitelist work IP address
allow from 69.147.114.210
allow from 199.239.136.200
# IP while in Kentucky; delete when back
allow from 128.163.2.27
Die IP Adressen müssen natürlich durch die eigenen IP Adressen ersetzt werden.
Um die Ausgabe der wp_head() Funktion zu beeinflussen, lassen sich mit einfachen Funktionen verschiedene Ausgaben unterdrücken. Dies ohne an den core Dateien veränderungen vornehmen zu müssen:
#remove_action('wp_head', 'title of what needs removing');
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'wp_generator');
Weitere Informationen dazu bei
Seit Sonntag oder so hatte ich wieder ein Plugin Problem mit WordPress. Nach dem aktualisieren des Plugins “StatsPress” war wieder mal der Inhalt des Blogs nicht mehr sichtbar.
Da ich nach diesem Update keine Kontrolle durchgeführt habe, ist mir dies erst heute morgen aufgefallen. Ein Problem dieser Auswirkung des Updates ist, dass zwar ein eingeloggter User alle Einträge sieht, der normale jedoch nichts…
Ich bin also noch immer auf der Suche, wie ich einen solchen GAU verhindern kann ohne mich nach jedem Update ausloggen zu müssen um zu sehen ob die Seite noch läuft.
Wer sich auf die Suche nach einer Alternative zum Bloggen über das Webfrontend von WordPress macht, kommt am Live Writer von Microsoft nicht vorbei. Dieses Programm erfüllt bei mir die meisten Wünsche um zu bloggen.
Eine weitere Möglichkeit ist das Firefox Plugin Scribefire. Dieses wird im unteren Teil von Firefox eingeblendet während auf dem oberen Teil auf einer Webseite gesuft werden kann. Dies kann praktisch sein wenn man über eine Webseite (z.B. die Herstellerseite eines Produkts) bloggen will.
Wem diese Auswahl zu klein ist, dem ist die WordPressseite Codex empfohlen. Hier werden diverse Blogsoftware aufgelistet.
Seit längerem Benutze ich zum Bloggen von Unterwegs Live Writer von Microsoft. Nach dem Test von 2 weiteren Programmen bin ich mit Live Writer am meisten zufrieden.
Ein Problem das ich auch in WordPress hatte, waren die entfernten Umlaute in den Permalinks. Bei einem Post aus dem Livewriter wurden diese statt entfernt in HTML Coding integriert. Auf der Webseite des Live Writer Blogs habe ich nun das Plugin o42-clean-umlauts gefunden. Dieses wandelt Umlaute in oe, ae, ue um.
Dieses wurde vom Livewriter Blog erweitert damit es auch die Umlaute des Live Writer in den Permalinks korrekt umgeschrieben.
Download angepasstes o42-clean-umlauts.
Zum Artikel des Live Writer Blogs.
Gestern abend aktualisierte ich das Blog auf die aktuelle Version 2.7.1. Als ich heute morgen einen Artikel veröffentlichte und anschliessend die Seite als Gast besuchte, stellte ich mit erschrecken fest, dass keine Artikel mehr angezeigt werden.
Sobald ich eingeloggt war, wurden alle Artikel wieder angezeigt. Wo könnte nun das Problem liegen. Ich weiss es leider nicht. Behoben habe ich das Problem in dem ich alle Plugins deaktiviert und danach wieder eines um das andere aktivierte. Nun sind wieder alle Plugins aktiv und die Seite funktioniert.
Mal schauen ob das so bleibt.
Heute auf dem Texdo Blog gelesen.
WordPress erlaubt eine unbegrenzte Anzahl an Login Versuchen. Dadurch ist es möglich per Script gesteuert unzählige Loginversuche zu vollziehen bis das richtige Passwort erraten (bzw. errechnet) wurde. So ist also das Blog für einen Bot offen wie ein Scheunentor.
Limit Login Attemps
Dies lässt sich mit dem Plugin Limit Login Attempts lässt sich dies verhindern. Mit dem Plugin kann man die Anzahl Login-Versuche beschränken. Meine Einstellung sind 4 Loginversuche. Anschliessend wird die entsprechende IP-Adresse für 20min gesperrt. Zusätzlich erhalte ich ein Mail. So kann ich z.B. mittels .htaccess den Zugriff von einer entsprechenden IP für immer sperren. Dies wird so gemacht:
deny from xxx.xxx.xxx.xxx
ErrorDocument 403 http://127.0.0.1
Um einen ganzen Adressbereich zu sperren:
order allow,deny
allow from all
deny from xxx.xxx.xxx.00/255
Eine weitere Möglichkeit ist der Zugriffschutzt von wp-admin durch .htaccess. Dies bringt allerdings nur zusätzliche Sicherheit wenn das Passwort für den .htacess-Zugang nicht gleich dem Zugang für WordPress ist. Desgleichen sollte ein Passwort von Zeit zu Zeit gewechselt werden.
Über die Integration von Google Gears in WordPress ist schon vieles geschrieben worden. Da ich häufig mit schlechter UMTS Verbindung unterwegs bin, interessiert mich natürlicch vorallem ob man mit Google Gears WordPress offline oder mit sehr schlechter Internetverbindung brauchen kann, bzw. ob es einen nutzen bringt.
Installation und Aktivierung von Google Gears
Die Installation von Gears wird in WordPress sehr einfach gemacht. Oben rechts findet sich in der Navigation der Link “Turbo”
Turbo aktivieren
Es wird ein Link zu Google Gears angezeigt. Hier kann man Gears herunterladen und installieren. Nach einem Browser Neustart ist Gears bereit für den Einsatz. Um Gears zu aktivieren muss nun nochmals auf “Turbo” geklickt werden.
Gears aktivieren
Anschliessend muss die Sicherheitswarnung von Gears quitiert werden.
Gears Sicherheitswarnung
Danach wird Gears mit dem Blog synchronisiert. Dazu werden ca 270 Dateien auf dem PC heruntergeladen
Erfahrungen mit Gears
Meine Erfahrungen mit Gears sind zwiespältig. So bringt Gears bei einer schlechten (zwischen Verbindung haben und keine Verbindung haben) nichts. Ansonsten lässt sich auf meinem EeePC 1000H geschwindigkeitsmässig nicht sehr viel bemerken.
Auf der anderen Seite habe ich bei anständiger Verbindung sowie auf meinem Dell Notebook sowie dem Desktop das Gefühl es sei ein wenig schneller.
Hierzu der interessante Test auf dem Blog talkpress.de. Für die Verbindung auf einen Server in den USA ergab sich eine Geschwindigkeitssteigerung von mehr als 600%.
