Sicherheit rund um WordPress – 24.02.2016

Das Thema Sicherheit wurde bereits beim Meetup im Juni 2015 diskutiert. Wir sind diese Woche gemeinsam die Themen noch einmal durchgegangen und haben sie ergänzt.

  • Das Thema Cross-Site-Scripting (XSS) wurde diskutiert. Wichtig dabei ist, dass bereits im Code verhindert wird, das über Such- oder Kommentarfelder bösartiger Code eingeschleust wird. Daraus kam die Empfehlung, dass wo man selber Plugins entwickelt, auf die bestehende Methoden in der WordPress-API zugegriffen werden soll.
  • Es ist für Anwender ohne Programmiererkenntnis schwierig festzustellen, ob Sicherheitslücken im Code stehen. Deshalb sollte man vertraute Quellen für Themes und Plugins bevorzugen. Zum Beispiel die von WordPress-Mutterfirma Automattic.
  • Sobald Besucher wissen, dass die Website mit WordPress (oder auch anderen CMS!) läuft, wird es einfacher jegliche Schwachstellen zu kennen. Darum sollte man die Empfehlungen für WordPress Hardening folgen.
  • Es gibt Sicherheitstools, die man mehr oder weniger problemlos einsetzen kann. Dessen Anwendung ist ein guter erster Schritt aber man soll sich Zeit nehmen, um die Auswirkungen zu verstehen. Die Beispiele Bulletproof Security, Sucuri Scanner und iThemes Security enthalten alle ausführliche Checklisten, die in die .htaccess-Datei (für Apache-Server) schrieben.
  • Probiert man diverse Optionen in einer Test-Umgebung aus, um diese später in eine Live-Umgebung zu implementieren, soll man genau notieren was gemacht wurde. Damit man besser verstehen kann, welche Auswirkung die Option hat und ggf. manuelle Anpassungen vornehmen kann.
  • Die wichtigste Maßnahme, für Anwender ist die Nutzung sichererer Passwörter und auch Benutzernamen. Zur Verwaltung seiner Passwörter wurde 1password oder KeePass empfohlen.
  • Wenn sich keine Besucher auf der Seite anmelden müssen/sollen, ist der Schutz über die .htaccess ein zusätzlicher wichtiger Schutz. Anleitung auf WP-Toolbox.ch.
  • Serverseitig kann man weitere diverse Optionen nutzen, um die Installation besser zu schützen. Zum Beispiel der Einsatz von SSH Schlüsseln, wo die Hostingfirma dies ermöglicht.
  • Diskutiert wurde auch, das regelmäßige Backups hilfreich sind, um eine WordPress-Installation, die gehackt wurde wieder zu reparieren. Allerdings muss man hier zunächst versuchen herauszufinden, wann der Hack passiert ist.

WordPress 4.4 und unsere Lieblings-Plugins – 28.1.2016

Upgrade WP 4.4 «Clifford»

Es hat wichtige Änderungen drin, aber eher im Hintergrund. u.a.:

    • «Responsive Image» (Bereitstellung verschiedener Bildgrössen) steckt nun fix im Core drin, gute Sache.
    • oEmbed bindet externe Inhalte direkt in WP ein, z.B. jetzt auch irgendeinen (externen) WP-Blogpost embedden in eine andere WP-Seite. Vorgehen: URL des Posts kopieren, im Textbeitrag eines Blogs reinkopieren, dann entsteht automatisch eine Box mit dem eingebetteten Inhalt
    • Die REST API ist nun integriert
    • Neues Theme Twenty Sixteen, wpbern.ch itself läuft auf diesem Theme.
    • Details zu «Clifford»:
      https://de.wordpress.org/2015/12/wordpress-4-4-clifford-ist-da/

      Plugins

      «Welche Plugins installiert ihr zuerst?»
      Grundsätzlich: Jedes Projekt ist anders, es gibt aber Basis-Plugins, die jedem WP gut stehen.

      Erster Rundumschlag:

    • Jetpack. Grosses Paket an Modulen, aus der zentralen Küche von WP (Automattic). – Gerd: das hat mir etwas viel drin, viel Code, den ich evtl. gar nicht wirklich brauche; Ich löse meine Anforderungen eher mit einzelnen Modulen – Stefan: Man kann einzelne Elemente ausschalten; aber ja, der ganze Motor bleibt da in der Installation drin. Da ist z.B. dabei: Security, Statistics, Monitoring, SEO-Verifizierung, Widget-Sichtbarkeit steuern. Heikel bei Jetpack: Datenschutz, gewisse Logs rauschen ab in die USA…
    • Antispam Bee, um Kommentar-Formulare von Spam zu befreien. Anstatt Akismet. Ein WP ohne Kommentare braucht aber nichts dieser Art
    • Mehrsprachigkeit: Polylang. (WPML ist eher heikel bzw. ziemlich komplex, hatte jedenfalls vor ein paar Jahren noch Implikationen z.B. mit anderen Plugins)
    • Domainmapping & Multinetwork (für Multisite-Installationen)
    • Cachify (Site schneller machen)
    • CrazyLazy (zeitversetztes Laden von grossen Bildmengen)
    • Responsive Lightbox als Zusatz für die eingebaute Bildgalerie

Gerds Basis-Set

Gerd hält eine Roh-Site parat, quasi eine Checkliste, dort stecken seine wichtigen Basis-Plugins drin. Bei neuem WP-Projekt startet er mit diesem Setting (mit Duplicator PRO), macht danach Feintuning. Die Plugins:

  • 404 Error Logger
  • Antispam Bee
  • Autoptimize (optimiert code; erst nach RollOut einschalten)
  • BackUpWordpress («Bei mir solls automatisch passieren. Dieses Tool könnte zwar noch besser sein, ist aber kostenlos, darum OK.»
  • Broken Link Checker (checkt intern/extern)
  • Cachify (optimiert Site; erst nach RollOut einschalten)
  • CMS Tree Page View (Seitenstruktur im Backend nützlicher anzeigen)
  • Duplicator (Sicherungskopien, Backups, Migration einer Site; bei Pro-Version gehts auch automatisch. Bei grossen Sites kann es Begrenzungen vom Hoster geben)
    /oder: iThemes BackupBuddy, teuer, eher unübersichtlich; macht das, was Duplicator Pro auch macht
  • iThemes Security («Ich habe die kostenlose. Diverse Funktionen. Bei wichtigen Seiten habe ich die PRO-Version») / Stefan: «TwoFactor Authentification: Login in zwei Stufen, Sinn macht Google Authentificator, es gibt dazu diverse Plugins. Clef ist evtl. interessant, man muss mit dem Handy ein Bildli scannen.»
  • MainWP Child (Mehrere WPs von einem WP-Dashboard aus überwachen, Upgrades machen von diesem Dahsboard aus.
    (ein anderes wäre CMS Commander, bedingt aber einzelne Lizenzen; sehr schöne kleiner Monitor auch über ServerDownTime, SEO-Metrics usw.) – (Oder ManageWP, was Stefan nutzt.)
  • Optimus (Bild-Optimierung automatisch)
  • Query Monitor (DB Programming)
  • Wp Security Audit Log (Falls diverse User: Loggt die Aktivitäten, «wer hat wann was vercheibet?»)
  • WP-Optimize (hält DB sauber; Der CMS Commander hat auch sowas, evtl. Überschneidungen)

    Wie beurteile ich ein Plugin?

  • Support-Seite checken. 1-Stern-Replys des Entwicklers checken – wie lösen sie die Probleme? Gnade walten lassen, wenn gratis und X Anfragen pro Tag – bei 1 Entwickler, der anderswo noch Geld verdienen muss…

DANKE für eure Inputs!

Next Meetup

Aufbau einer WordPress Installation – 26.11.2015

Beim letzten Treffen hat die Gruppe über die einzelne Grundeinstellungen diskutiert.  Letzten Donnerstag sind wir weiter gegangen und haben Beiträge, Seiten, Meidien, Kommentare und Benutzer angeschaut.

Beiträge

  • Beiträge sind chronologisch.
  • Beitragsformate sind Design-Optionen um den Beitrag zu gestalten. Meistens wird es nur mit Hilfe von CSS unterschiedlich gestaltet. Die Schlussfolgerung war das  die Formate nur bei Persönlichen Blogs passen wo der Autor verschiedene Inhalte einzel veröffentlciht.beitragsformat
  • Der Beitragsautor kann nach der Verarbeitung geändert werden.

Seiten

  • Bei Seiten sind nicht chronologisch aber können hierarchisch unter andere Seiten untergeordnet werden.
  • Wir haben gesehen wir «Benutzerdefinierte Felder» eingesetzt werden um zusätliche Informationen darzustellen
  • Für Seiten können «Template» definiert werden

Kommentare

  • Eine Frage ist aufgetaucht wie kann man auf alle Seiten die Kommentar nicht erlauben? Es ist möglich mehrere Seiten oder Beiträge gleichzeitig zu verarbeiten. batch-edit

Benutzer

  • Es ist sehr wichtig starke Passwörter zu benutzen und nur die minimale Rollen zu neue Benutzer zu geben.
  • Passwörter sollten nie per email versendet dies eine Sicherheitlücke darstellt.
  • Für die verschiedenen Rollen gibt es eine Gute Erklärung auf WordPress.com.

Nächstes Mal in Januar sprechen wir von WordPress 4.4 das im Dezember raus kommt.

Protokoll vom Treffen 22.10.15

Beim letzten Mal ist eine Installation gemacht worden, es existiert ein leeres WP mit installiertem iThemes Security Plugin. Dieses soll nun gemäss den acht Punkten vom 11. Oktober weiter ausgebaut werden. Im Plugin iThemes security kann man die Salts einsehen und anpassen. Salts sind die WP internen Verschlüsselungen, die Keys werden von WordPress automatisch erstellt, sofern man diese nicht via entsprechenden Link in wp-config macht.

Grundeinstellungen

Allgemein

Menupunkt Einstellungen, folgende Einstellungen sind zu machen:

  • Seitentitel und Untertitel ändern
  • URL’s anpassen
  • Die System Emailadresse muss nicht mit der Adresse des Administrators identisch sein. Alle Systemmeldungen gehen standardmässig an diese Adresse.
  • Mitgliedschaft: Jeder kann sich registrieren, wenn der Haken gesetzt ist. Z.B ein Forum Plugin setzt voraus, dass der Haken gesetzt ist.

Schreiben

  • Standardkategorie für Blogeinträge kann gewählt werden, die Kategorie muss natürlich zuerst erstellt werden.
  • Standard Beitragsformat kann ebenfalls ausgewählt werden.

Lesen

Hier kann gewählt werden ob eine statische Seite als Startseite gezeigt wird, oder der Blog.

Ich kann wählen ob der Betrag gekürzt wird oder ganz ausgegeben.

Wichtig ist aber zu wissen, dass die Kurzfassung zusammen mit dem gesamten Beitrag im RSS Feed ausgegeben wird. Es ist zudem möglich, dass der RSS Reader (oder der Browser, welcher als RSS Reader fungiert) den gesamten Beitrag ebenfalls kürzt. In diesem Fall hat die Wahl bei den WP Einstellungen keinen Einfluss.

Erlauben Sie Besuchern Beiträge zu kommentieren. Diese Funktion deaktiviert das Beitragsfeld ab dem gesetzten Datum. Bei älteren Seiten bleibt das Feld bestehen.

Medien

Eine Änderung der Dimensionen der Bilder ist ebenfalls nicht rückwirkend möglich. Es gibt Plugins, welche Bilder neu generieren. und ggf. auch alle unbenutzten, alten Bilder löschen.