WordPress Schriftgrösse Tagcloud

Schriftgröße der Schlagwörter – Tags

Nach fast jedem Update von WordPress wird die Schriftgröße der Schlagwörter (Tags) wieder auf den Standard zurück gesetzt.
Das sieht dann oftmals so aus:Tagcloud Einstellung

Damit die Schlagworte wie hier „Nobelpreisträger“ und „Schriftsteller“ nicht den vorgesehenen Rahmen überschreiten, dafür ist die Datei category-tamplate.php zuständig.

Du findest die unter wp-includes / category-tamplate.php

 Achtung:

Vor dem editieren eine Sicherungskopie des Files „category-tamplate.php“ anlegen.

 

 

 Editieren:

Diese Datei „category-tamplate.php“ mit einem Editor einmal öffnen und ab ca. Zeile 521 (bei WP 3.51) findest du dann dies:
Bildschirmfoto 2013-01-25 um 12.05.17

 

Die 22 ist für die Schriftgröße verantwortlich

'smallest' => 8, 'largest' => 22, 'unit' => 'pt', 'number' => 45,

bei mir steht  die 16 damit die Schlagwörter wieder im Rahmen sind.

'smallest' => 8, 'largest' => 16, 'unit' => 'pt', 'number' => 45,

Nach der gewünschten Schriftgröße noch speichern und das war es.

WP 3.5

Mein erster Eindruck – Achselzucken

Neue Mediathek
einige sind begeistert, es gibt aber auch schon andere Stimmen – z.B. bei Perun

HTML Editor wird zu Text Editor
Beim schreiben heißt es nicht mehr HTML sondern TEXT was ich persönlich echt blöd finde.
Mehr dazu bei Texto

Artikel jetzt Beiträge
was meines Erachtens allein Grammatikalisch schon falsch ist.
Ich schreibe auf meinen Seiten Artikel und alle Kommentatoren schreiben Beiträge dazu.
Lese ich in meiner Tageszeitung ab Heute einen Artikel oder einen Beitrag.

Deutsche Sprache, schwere Sprache

Das ist so das, was mir als erstes so auffällt und was ich so lese.

Jetzt müssen alle Bücher, Schulungsunterlagen, Tutorials, Videos und was auch immer, neu geschrieben, überarbeitet sowie neu besprochen werden, damit die, die jetzt anfangen nicht in der Navigation nach Artikel oder nach HTML suchen.

Und wofür?
Ein Quantensprung ist 3.5 nicht und um wichtige Neuerungen oder dringend benötigte Sicherheit geht es in diesem Update nun auch nicht.
Und den Jazz Musiker hätten wir auch anders ehren können.

Ich bin ein bisschen enttäuscht.

WordPress: Sicherheitslücke im Tim Thumb-Script

Bei alten Versionen von Tim Thumb

Selbst nach über acht Monaten gibt es immer noch Websites, die die alter Version von Tim Thumb Einsetzen.
Wer sich nicht sicher ist ob er noch die alte Version von Tim Thumb benutzt, der sollte den TimThumb Vulnerability Scanner und eventuell auch den Exploit Scanner aktivieren.

Quelle: Perun.net 

WordPress: Sicherheit und Cloud

Der Big Brother Awards 2012

Datenschutz zwischen Wolken und Wasser
Der Bericht auf Heise.de zum Big Brother Awards 2012, zweiter Absatz mit der Überschrift: „Irgendwo online speichern“ zeigt gewiss einem jeden Plugin Liebhaber auf, das man zur Datensicherung, Datenbanksicherung keinerlei Plugins dazu nutzen sollte.

Quelle: Heise.de Big Brother Awards 2012

Wer diesen Bericht gelesen hat, kommt sicherlich zu der Einsicht, keinerlei Daten mit einem WP-Plugin auf einer der Dienste wie Dropbox, Google Storage, Microsoft Azure, RackSpaceCloud automatisch und unverschlüsselt sichern zu lassen.

Mein Tipp: Wer schon eine Cloud nutzen will oder muss, der sollte dort nur Verschlüsselte Daten ablegen. Dies könnt ihr u.a. mit TrueCrypt erreichen.
Meines Wissens das sicherste und bislang nicht geknackte Verschlüsselungs Tool.

WordPress: Installation

WordPress: überlegte sichere Installation

  1. WordPress sicherer installieren
  2. WordPress mit der .htaccess und einer .htpasswd absichern
  3. WordPress Plugins zur Absicherung (bitte mit bedacht und sparsam einsetzen)
  4. Weiterführende Sicherheit
  5. Nachwort

1. WordPress sicherer installieren:

1.1 Eine Überlegung vorweg starten.
Will man unter seinem real Name posten, sollte man sich schon mal einen Falschen Namen ausdenken, z.B. Max (mehr dazu gleich *1)

1.2 Nach der Installation von WordPress:
Vorab, du brauchst 2 bis 3 E-Mail Adressen.
Nach der Installation von WordPress und deinem ersten Login, legst du unter Benutzer  einen neuen Benutzer mit Admin Rechten an. Das hat was mit den ID’s zu tun (mehr dazu gleich *2).
Nachdem du einen neuen Admin angelegt hast, meldest du dich von wp-admin ab und logst dich mit dem neuen Account an, löscht dort dann wp-admin und legst einen weiteren Admin an, logst dich danach wieder aus und wieder unter dem neuen dritten Account an. Das Spiel machst du dann so oft wie du etwas Sicherer sein willst, also x mal.
So, und wenn du jetzt genügend Accounts erstellt hast und jetzt nur noch dein echter fehlt, kommt noch mal die Frage auf, ob du unter deinem real Name posten willst, wenn ja, erstelle einen Account mit falschem Namen z.B. Max als Admin und einen Account mit Anna als Redakteur oder Autor.

Im weiteren Text bleibe ich jetzt mal bei Max und Anna.
Max ist Admin und Anna ist Redakteur/in

1.2.1 Poste niemals als Admin
Benutze den Admin Max nur um Einstellungen an deinem Theme vorzunehmen, um Plugins zu installieren etc.
Poste nur als Redakteur oder Autor, Anna. (mehr dazu gleich *3)

1.2.2 Aufklärung zu *1, *2 und *3

  • Zum Stern *1:
    Mit dem Login kommst du jetzt mit Max als Benutzernamen und dem dazu von dir vergebenen Passwort in den Admin Bereich rein.
    Mit Anna und dem richtigen Passwort kommst du in den Redakteur Bereich.
    Max schreibt ja keine Artikel, nur Anna schreibt.
    Soweit so gut, doch leider werden alle Artikel mit dem Benutzer Anna, auch als Autorin des Artikels Anne gekennzeichnet. Damit liegt der Benutzername für das Login offen im Netz.
    Dies können wir schnell ändern: Einfach mal in den Bereich Benutzer / Anna / Bearbeiten navigieren. Schau mal unter Name auf Nachname, hier trägst du jetzt deinen real Name oder  deinen Spitznamen ein.
    Zwei Felder darunter steht jetzt auch unter Öffentlicher Name, dein real Name oder dein Spitzname
  • Der Grund für die Namensänderung *1:
    Alle Artikel die du jetzt als Autor oder Redakteur mit dem Login/Benutzer Anna schreibst, erscheinen jetzt unter dem neuen Namen.
    Angreifer vermuten, dass der Artikel des Autors (real Name /Spitzname) auch der Login Benutzername ist und glauben jetzt nur noch das PW heraus bekommen zu müssen.

Eigentlich hast du so jetzt 2 Passwörter, nett oder?

  • Zum Stern *2:
    Der Standart Admin nach der Installation von WordPress hat die ID 01. Legst du weitere Accounts an, so erhöht sich die ID um 1, auch wenn du andere zuvor angelegten Accounts löscht, die ID’s werden nicht mehr frei.
    Schlauere Angreifer versuchen nicht den Benutzernamen heraus zu bekommen sondern versuchen es über die ID.

Vielerorts kann man zur Sicherheit von WordPress lesen, das man nach der Installation sofort einen neuen Admin anmelden solle und den Standart-Admin löschen soll. Doch dass wissen die Angreifer auch und somit ist die ID 02 als Admin und vielleicht die ID 03 als Redakteur der Schwachpunkt.
Macht Euch die mühe und legt Euch eine halbe oder eine ganze Stunde lang neue Accounts an. Hierbei ist der Benutzername recht unwichtig und das Passwort auch (sofern ihr diese auch gleich wieder löscht).
Erst bei den letzten beiden Accounts als Admin und Redakteur mit denen ihr arbeiten wollt, achtet auf die Namen und gute Passwörter.

  • Tipp zum Stern *2
    Solltet ihr mit der ID 02 oder 03 arbeiten, keine Panik. Ihr könnt auch im Nachhinein neue Accounts erstellen und die alten löschen. Beim löschen werdet ihr gefragt, ob alle Beiträge gelöscht werden sollen oder übernommen werden sollen. Somit geht nichts verloren. Hat bei mir schon mal geklappt.
  • Zum Stern *3
    Postest du als Admin Max und ein Angreifer kommt auf deinen Benutzernamen (ID) und dein Passwort, gelangt er im Backend zu allen Einstellungen.
    Er hat einen vollen Zugriff auf deine Seite.Kommt ein Angreifer auf den Benutzer Namen Anna und das Passwort, so kann er, da Anna Redakteur/in ist alle Artikel und Seiten löschen und das ist schon schlimm.
    Da du als Admin jedoch regelmäßig Updates machst unter Werkzeuge / Daten exportieren, oder durch einen Cronjob (jedoch bitte nicht durch ein Plugin), kannst du die Daten schnell wieder herstellen. Dann noch Anna und ihr Passwort ändern und der Schaden ist nur noch schlimm aber nicht verheerend.

2. WordPress mit der .htaccess und einer .htpasswd absichern

Das Login Fenster, auch mit eingeschalteten Captcha und einem Plugin wie Limit Login Attempts bleibt ein Schwachpunkt der immer wieder angegriffen wird.
Limit Login Attempts ist ein Plugin, das nur eine gewisse Anzahl an Logins erlaubt und dann den Angreifer für mehrere Minuten oder Stunden verbietet weitere Versuche zu machen (je nach Einstellungen).

Nachteil von Limit Login Attempts:
Ändert der Angreifer seine IP (am Router Stecker ziehen und wieder rein oder mit Tor), kann er gleich weiter machen.

Vorteil von Limit Login Attempts:
Hast du bei den Einstellungen zum Plugin eingestellt, dass du gerne peer Mail informiert werden willst wenn eine IP gesperrt wurde, kannst du sehen wie häufig das vorkommt und dir mal über eine .htpasswd und .htaccess Gedanken machen.

Was bewirkt eine .htpasswd und Anpassung der .htaccess?
Kurz gesagt: Es erzeugt ein Login Fenster vor dem Login Fenster von WordPress.

Und bitte, benutzt kein Plugin dazu!
Ihr gebt Eure Passwörter nur in fremde Hände.

Es ist so einfach die .htaccess anzupassen und eine .htpasswd anzulegen. Im Netzt steht so viel und sobald ich meinen Artikel dazu fertig habe, werde ich hier darauf verlinken.

3. WordPress Plugins zur Absicherung

Generelles zu Plugins:

Setzt Plugins sparsam ein. Jedes Plugin kann ein Sicherheitsloch sein, auch wenn jetzt nicht, so kann es beim nächsten update sein.
Jedes nicht benutzte Theme kann, wie ich gelesen habe, ein Risiko sein, auch wenn nicht aktiv, so werden sie upgedatet.
Wenn ihr Euch für ein Theme entschieden habt, löscht die anderen.

Jetzt zu den Plugins:
Nach der Installation von WordPress ist SI CAPTCHA Anti-Spam nicht aktiv, sofort ändern.
Schaut Euch Limit Login Attempts an.
Auch ein scheinbar nützliches und sicheres Plugin Antispam Bee.

4. Weiterführende Sicherheit

  • Lasst Eure(n) Browser niemals Passwörter speichern
  • Schreibt niemals Eure Passwörter in Klartext in eine Text Datei,
    dann lieber auf einen Zettel und legt den auf den Schreibtisch
  • Logt Euch niemals auf fremden Rechnern in Eure Accounts ein.
    1. Schon gar nicht von Windows Rechnern aus
    2. Wenn ihr Euch auf fremde Mac’s oder Linux Rechnern einloggen wollt oder müsst, macht das nicht mit dem angemeldeten Benutzer des Rechners sondern in einem Gast Account.
    3. Müsst ihr immer mal wieder von fremden Rechnern aus auf Eure oder Eurer Kunden Accounts zugreifen, so gewöhnt Euch an von einer Live CD wie Knoppix zu arbeiten. Nur das Booten des Rechners dauert ein wenig länger, danach geht alles so fix wie gewohnt.
    Eine Live CD ist auch ein guter Tipp für Homebanking.

Begründungen:
Gespeicherte Passwörter in Browsern werden in eine Datei abgelegt.
Angreifer kennen diese und können dies herunter laden oder lesen sobald sie ein Loch im OS oder Browser finden.
Fremde Rechner: Ihr wisst nie, selbst auf Euren Kundenrechnern, ob dort Schadsoftware wie Keylogger oder ähnliches installiert ist.
Live-CD: Eine Live CD schreibt keinerlei Daten auf die HDD (Festplatte), sie arbeitet nur mit dem Arbeitsspeicher. Du könntest sogar einen Rechner ohne HDD benutzen oder die HDD abklemmen vor dem booten. Auf der HDD installierte Schadsoftware hat keinerlei Möglichkeiten zu wirken, da das OS (Betriebssystem) auf dem es liegt nicht gebootet ist.
Auf Gespeicherte „Passwörter in Klartext in eine Text Datei“ brauche ich ja jetzt wohl nicht mehr näher eingehen, oder?

 5. Nachwort

Sollte ich was vergessen haben, schreibt es mir.

Weniger ist manchmal mehr und Handarbeit lohnt sich.
Jedes Plugin / Widget kann eine Sicherheitslücke sein, frisst Ressourcen und macht dein(e) Blog(s) langsamer.
Einige Plugins / Widgets sind so falsch geschrieben, dass ihr Euch wundert wenn ihr Eure Seite(n) bei der W3C validiert, wo denn all die Fehler herkommen. Nach meinen Erfahrungen liegt es selten am Theme, meist an den Plugins / Widgets. Deshalb überprüft Eure Seite(n) regelmäßig, gerade nach der Installation eines neuen Plugins oder Widgets.

Dies sind zusammen gesammelte Erfahrungen.
Währe doch schön wenn diese ergänzt würden und in der Anleitung zur Installation von WP stehen würde und nicht so einsam und vielerorts im Netz.

Na, vielleicht ist das ja bald mal anders.

 

WordPress: Search Meter plugin

Search Meter

Ein Backend Plugin, mit dem du sehen kann, ob ein User das Suchfeld auf deiner WordPress Installation nutzt und wonach er auf deiner Webseite gesucht hat.

Auf Welt der Zitate zeigt mir das Plugin:

  • nach welchen Autoren oder Themen gesucht wurde, die ich noch nicht habe.
  • Es zeigt mir auch, wie oft nach Autoren / Themen gesucht wurde, die vorhanden sind.
  • Kurz gesagt, es zeigt mir was sich gelohnt hat und was noch fehlt.

Plugin von  Bennett McElwee – Besuch die Plugin-Seite