WordPress Blogs vor Angriffen durch Hacker schützen

Die Popularität von WordPress hat auch seine Nachteile: die Bekanntheit lockt immer wieder «dubiose Gestalten» an. Hacker, die versuchen, in Dein Blog einzudringen und im Backend Dinge anzustellen, die Du selbst ganz bestimmt nie tun würdest.

Es gibt verschiedene Wege, sich davor zu schützen. Ich habe mich bei Blogs und Websites unter meinen «Fittichen» (eigene Blogs wie den JobBlog oder diesen Blog hier, die Websites von Dominique Gisin und Janick Schalch usw.) für diesen dreistufigen Schutz entschieden:

  • Stufe 1: Die Hacker versuchen den Zutritt primär über den Standard-Administrator «admin». Deshalb solltest Du bereits bei der Neuinstallation einen anderen Admin-Benutzername vergeben. Für bestehende Blogs/Websites findest Du hier eine gute Beschreibung von zwei Verfahren, den Benutzer umzubenennen.
  • Stufe 2: Hacker versuchen den Angriff in der Regel nicht durch Versuche «mit der Hand am Arm», sondern setzen Scripts ein, die endlos verschiedene Benutzer-Passwort-Kombinationen ausprobieren. Diese Scripts kannst Du ins Leere laufen lassen, indem Du die IP-Adresse (temporär) sperrst, von der der Angriff ausgeht. Sehr gute Erfahrungen habe ich mit dem «Limit Login Attempts» Plugin gemacht. Das Plugin habe ich so konfiguriert, dass ich jeweils per E-Mail über Versuche und Sperrungen informiert werde.
  • Stufe 3: Die IP-Adressen von Hackern, die vom obigen Plugin gleich mehrfach gesperrt wurden, schliesse ich grundsätzlich vom Zugriff auf die ganze Website aus. Ich verwende dazu das Plugin «IP Filter» und trage in dessen Einstellungen dort die betreffenden IP-Adressen ein.

Diese dreistufige Abwehr ist ganz offensichtlich sicher: noch nie hatte ich einen unberechtigten Zugriff auf eine der von mir betreuten Blogs und Websites.

P.S. In vielen Foren wird als weitere Massnahme empfohlen, den Standardprefix der WordPress-Datenbank von «wp_» umzubenennen. Aus der eigenen Erfahrung empfehle ich diese Schutzmassnahme nur mit Vorsicht: bei meinen Sites gab es einige (unsauber programmierte) Plugins, die ohne «wp_» nicht mehr funktionierten.

WordPress – meine 4 wichtigsten Websites

Ein bisschen stolz bin ich schon, dass ich (als Nicht-Webdesigner und Nicht-Programmierer) meine 4 wichtigsten WordPress-Websites so hinbekommen habe (wenn auch ab und zu am Rande der Verzweiflung):

WidmerConsulting.ch
die Website meiner Firma (in dieser Form seit gut 2 Jahren online)

JobBlog.ch
mein Fachblog, in dem ich seit Dezember 2004 gegen 1000 Artikel publiziert habe

JanickSchalch.ch
die Website von Speed-Skater und Nationalmannschafts-Mitglied Janick Schalch, den ich unterstütze (Logo und Header stammen von Frühjahr)

marcelwidmer.com
mein persönlicher Blog

Best of Twitter

Es gibt unendlich viele Tweets, die ausgesprochen witzig sind. Jene, die mich am meisten zum Lachen bringen, sammle ich in meinen Twitter-Favoriten (sofern ich nicht vergesse, auf den Favoriten-Stern zu klicken).

Damit auch meine Blogleser etwas von diesen Best-of-Twitter-Perlen haben, zeige ich eine Auswahl dieser Tweets hier im Blog (oben, direkt unterhalb des Logos) an – wild durcheinander gemischt (ein Kinderspiel mit Random Text). Wenn Du einen neuen Tweet lesen willst, klick einfach auf „Aktualisieren“ bzw. „Refresh“ in Deinem Browser.

Ich wünsche Dir ein breites Grinsen und Tränen in den Augen. Aber nicht, dass Du noch eine Brille benötigst, wenn Du hier stundenlang liest :-)

Thesis 1.6: deutsche Sprachdateien jetzt downloaden!

Bis anhin habe ich keine Lösung gefunden, um den Fehler von Thesis 1.6 unter WordPress 2.9 zu beheben: obwohl eigentlich alles übersetzt war, zeigte Thesis im Blog nach wie vor einige Begriffe (z.B. den Hinweistext im Suchfeld) in Englisch an.

Jan vom Apple-Gadget-Blog hat vor einigen Tagen festgestellt, dass das Problem umschifft werden kann, wenn man die Übersetzung von Grund auf neu erstellt. Nun habe ich ebenfalls in den sauren Apfel gebissen und meine Sprachdateien in wochenlanger Nachtarbeit in rund 4 Stunden vollständig überarbeitet.

Nachdem Jan die Sprachdateien in der „ß-Version“ (für Deutschland und Österreich) erstellt hat und zum Download anbietet, habe ich mich natürlich auf die CH-Version (ohne ß) beschränkt. Weil ich meine Leserinnen und Leser drüben im JobBlog nach wie mit „Sie“ anspreche, habe ich aber wiederum eine Du- und eine Sie-Version erstellt.

Also:

  • Die CH-Sprachdateien in der Du- und in der Sie-Version kannst Du hier downloaden (ich empfehle, diese Seite zu bookmarken – das ist die permanente Seite für meine Thesis-Sprachdateien)
  • Die Sprachdatei mit „ß“ findest Du bei Jan.

Manchmal sieht man ja vor lauter Buchstaben die Schreibfehler nicht. Wenn Du noch Fehler findest: bitte einen (möglichst präzisen) Hinweis hier in die Kommentare schreiben. Danke!

Deutsche Sprachdateien für Thesis 1.6

Die Texte für das WordPress-Theme Thesis in der Version 1.6 sind übersetzt. Und dennoch veröffentliche ich die deutschen Sprachdateien nicht – noch nicht.

An und für sich habe ich alle Textelemente von Thesis 1.6 übersetzt und mehrfach überprüft. Dennoch erscheinen einige Texte im Blog noch immer in Englisch (z.B. der Text im Eingabefeld des Search-Widgets: „To search, type and hit enter“).

Aus drei Gründen bin ich nun der festen Überzeugung, dass diese Probleme mit der leider sehr fehlerhaften WordPress-Version 2.9 zusammenhängt:

  1. Die Beschreibung der Bugs von WP 2.9 deuten darauf hin, dass die Ursache der Probleme tatsächlich bei WP liegt.
  2. Einzelne Probleme, die bei der übersetzten Version von Thesis auftauchen, erscheinen auch bei anderen Themes.
  3. Einer meiner Testblogs läuft noch immer unter WP 2.8.6 – und dort werden alle Texte bei Thesis 1.6 richtig (sprich: in Deutsch) angezeigt.

Da die WP-Version 2.9.1 höchstwahrscheinlich in den nächsten Tagen veröffentlicht wird, habe ich mich entschlossen, auf diese zu warten, um die deutschen Sprachdateien einem abschliessenden Test unterziehen und anschliessend hier veröffentlichen zu können. Es ist also noch ein bisschen Geduld gefragt … :-(