WordPress

Um in eurem Blog eine bestimmte Kategorie auszuschließen, fügt ihr am Besten folgenden PHP-Code in eure Funktions.php Datei hinzu:

In dem obigen Beispiel wird die Kategorie mit der ID=15 aus dem Blog ausgeschlossen. Diese könnt ihr dann zum Beispiel als eine extra Seite veröffentlichen.

Wenn du mehrere Kategorien ausschließen willst, füge einfach mehrere IDs mit Komma ( , ) getrennt und mit Bindestrich ( – ) hinzu.

Um eine bestimmte Kategorie aus dem Blog und zum Beispiel dem Feed auszuschließen, ersetzt ihr:

mit:

Viel Erfolg

Zur Zeit kursiert ein Wurm im Internet, der sich in ältere WordPress Versionen einnistet und dort Malware und Spam Code hinterlegt.
Die aktuelle WordPress Version 2.8.4 ist immun gegen diesen Wurm, also gilt für alle Benutzer einer alten WordPress Installation – UPDATEN!

Dieser Wurm, wie auch viele vor ihm, geht relativ clever vor: Er registriert einen neuen Benutzer, nutzt eine Sicherheitslücke früherer WordPress Versionen aus, um einen bestimmten Code Schnippsel über die Permalinkstruktur auszuführen.
Dieser Code definiert den neuen Benutzer als Admin, nutzt dann ein JavaScript um sich im Dashboard unsichtbar zu machen und fügt im Hintergrund heimlich versteckten SPAM und Malware (schädliche Software) in die alten Beiträge ein.

Die Taktik ist recht neu, die Strategie dahinter allerdings nicht. Dieser fiese Wurm hat eine Schwachstelle, er versteckt sich nicht gut genug. Ein infizierter Blogger bemerkt einen Wurmangriff an vielen kaputten Permalinks, die ihn weiter nachforschen und eventuell den eingebauten Spam-Code finden lassen.
Ältere Würmer benutzen meist keinen Spam-Code, sondern verändern das Aussehen eures Blogs oder Ähnliches. Dieser allerdings verhält sich unauffällig und verdeckt, sodass man ihn nur bemerkt, wenn der Wurm einen Fehler begeht (wie z.B ändern der URLs).
Wenn der Wurm nicht rechtzeitig bemerkt werden sollte, wird die infizierte Webseite früher oder später vom Google Index entfernt und als Spam oder Malware Seite identifiziert.

Es wird immer wieder Würmer wie diesen geben, die einzige Lösung ist es eure WordPress Installation auf dem neusten Stand zu halten. Deshalb gibt es die einfache Update Funktion im Dashboard und deshalb gibt es in letzter Zeit so viele WordPress Updates.
Das aktuelle Update zu installieren ist weitaus einfacher als einen gehackten Blog wieder zu reparieren.

Dieser Wurm wird nicht zurückschrecken, indem ihr nur eure WordPress Version versteckt. Bei älteren Würmern hat das anscheinend ganz gut geklappt, diese neuen interessiert die installierte WordPress Version gar nicht mehr.

Viele bekannte Angreifer können durch sehr komplexe Passwörter, oder modifizierte .htacces Dateien zurückgehalten werden (z.B. durch IP-Sperren,…).
Allerdings wirken all diese Sicherheitsmodifikationen natürlich nur, wenn man die Methoden der Angreifer kennt und sich damit auseinander setzt.

Da ich in dieser Branche nicht super top informiert bin, und die meisten unter uns wohl ebenfalls nicht, rufen wir am Besten die riesige WordPress Community zu Hilfe. Diese beschäftigen sich täglich mit dem Code und liefern uns viele Updates, die große und kleine Sicherheitslücken stopfen.

-> Updaten, updaten und nochmals UPDATEN.

Referenzen:

• How to Keep WordPress Secure geschieben vom WordPress und Automattic Gründer – Matt Mullenweg (http://ma.tt/)

Über XAMPP kann WordPress sehr komfortabel, lokal auf dem Rechner installiert werden. XAMPP beinhaltet einen Apache-Webserver, MySQL, PHP, Perl und vieles weitere.
Normalerweise ist es ein größeres Unterfangen einen Apache-Server lokal zu installieren. Die Distribution XAMPP installiert und konfiguriert alle notwendigen Features, die für eine lokale Installation von WordPress notwendig sind automatisch.

Wenn Änderungen am Theme oder Plugins ausprobiert werden müssen, ist es ratsam dies nicht online zu tun. Im Falle eines Fehlers kann im schlimmsten Fall der Blog nicht mehr gerettet werden.

Um dies vorzubeugen, werde ich euch hier sehr ausführlich erklären, wie ihr euren Blog offline erstellen könnt. Über XAMPP lässt sich natürlich nicht nur WordPress installieren. Einmal eingerichtet, kann auch andere Blog-Software und natürlich normale HTML Seiten hervorragend erstellt werden. Doch nun zu der Anleitung für die XAMPP Installation.

1. XAMPP installieren

Ersteinmal auf ApacheFriends.org vorbeisurfen und sich für die neuste Version von XAMPP entscheiden. Diese ist momentan Version 1.7.2 (10.08.2009).

Nach dem Download, gehts zur Installation.
Gebt einen alternativen Zielordner an, oder behaltet die Standardeinstellungen bei.

Ich entscheide mich für den voreingestellten Installationspfad.

Klickt auf “Install” und der XAMPP-Installer entpackt die notwendigen Installationsdateien.

Dieser Vorgang dauert einige Zeit.

Ist der Installer fertig mit dem Entpacken der Dateien, erscheint folgendes Fenster:

Wenn ihr Verknüpfungen zu dem Programm auf eurem Desktop und im Startmenü erstellen möchtet, tippt “Enter”.
Wollt ihr keine Verknüpfungen tippt “n” und dann “Enter”.

Jetzt fragt das Programm ob es mit der Installation fortfahren darf – bestätigt mit “Enter”.

Wollt ihr eine portable Installation von XAMPP erstellen? So könnt ihr diese zum Beispiel auf einen USB-Stick kopieren, diese zu Freunden mitnehmen und dort weiter an eurer Webseite basteln.

Ich entscheide mich hier allerdings gegen eine portable Installation. Da “n” schon ausgewählt ist, drücke ich zum Bestätigen “Enter”.

Jetzt wird XAMPP fertig konfiguriert und kann eingesetzt werden. Durch “Eingabe” bestätigt ihr die Meldung. Nun erscheint eine Meldung über die Zeitzone, bestätigt diese wieder.

Dann erscheint diese abschließende Meldung:

Da wir WordPress installieren wollen und alles soweit konfiguriert ist, tippen wir “1″, bestätigen mit “Enter” und starten somit das Menü von XAMPP.

Das DOS-Fenster könnt ihr nun schließen, wir brauchen es nicht mehr.

Jetzt hat sich unten rechts ein weiteres Fenster geöffnet. Hier startet ihr den Apache und den MySql Dienst. Das sollte dann so aussehen:

2. XAMPP für WordPress konfigurieren

Nun wollen wir für WordPress eine eigene Datenbank erstellen. Hierzu klickt ihr auf den MySql “Admin” Button.

In diesem Fenster benennen wir die neue Datenbank “wordpress” und klicken auf “Anlegen”.

Eine Meldung erscheint, dass die Datenbank erzeugt wurde.

3. WordPress unter XAMPP lokal installieren

Endlich kommen wir zu dem wichtigsten Punkt dieses Artikels. Ladet euch die neuste Version von WordPress.org (momentan Version 2.8.4) runter und speichert das .zip Archiv auf dem Desktop.

Den enthaltenen Ordner “wordpress” entpackt ihr in folgendes Verzeichnis:

C:\xampp\htdocs

Das “htdocs” Verzeichnis sollte jetzt so aussehen:

Editieren der “wp-config-sample.php” Datei

Jetzt öffnet ihr die “wp-config-sample.php” Datei in dem “wordpress” Ordner mit einem Editor.
Für uns interessant ist der MySQL Abschnitt.

Die originale “wp-config-sample” Datei mit dem relevanten Abschnitt:

Diesen ändern wir in folgendes ab:

Wir haben jetzt unsere vorher erstellte Datenbank “wordpress” angegeben und lassen uns von WordPress einen Admin Account erstellen.
Dafür haben wir “username” mit “root” ersetzt und das “password” gelöscht.

Diese Datei speichern wir nun als “wp-config.php” ab. Sie sollte sich im “wordpress” Ordner bei der “wp-config-sample.php” Datei befinden.

Installation von WordPress

In eurem Browser gebt ihr nun die lokale Adresse eures WordPress Blogs ein:

http://localhost/wordpress/wp-admin/install.php

Nun macht ihr Angaben zu eurem Blog. Nennt einen Namen des Blogs und gebt eine eMail Adresse an. Klickt dann auf “WordPress installieren”.

Jetzt bekommt ihr euren Benutzernamen “admin” und ein automatisch generiertes Passwort, welches ihr kopiert oder aufschreibt.

Klickt auf “Anmelden”.

Jetzt seht ihr die altbekannte Login Seite von WordPress. Hier gebt ihr das eben notierte Passwort ein und meldet euch an.

Jetzt seid ihr im Dashboard eures lokalen WordPress Blogs. Super!

Doch ihr habt sicher schon die rote Meldung oben bemerkt, ändert also erstmal euer Zufallspasswort in ein persönliches.

Klickt hierzu auf “Ja, bring mich zu meiner Profilseite!”. Ganz unten könnt ihr euer Passwort ändern.

Auf geht’s! Jetzt hab ihr einen funktionierenden WordPress Blog der über XAMPP läuft. War doch gar nicht so schwierig, oder?

Wünsche euch viel Spaß.

WordPress 2.8.4 wurde veröffentlicht um eine weitere Sicherheitslücke der 2.8.3 Version zu flicken.

Zuvor war es Menschen mit bösen Absichten möglich, das Passwort des Admins zurück zusetzen. Die Sicherheitslücke konnte nicht ausgenutzt werden, solange der potentielle Angreifer keinen Zugriff auf das Mailkonto des Admins hat.

Der Admin könnte sich nach einem Angriff nicht in seinen Blog einloggen, bis er das neue Passwort über eMail bekommt.
Es wäre dem Angreifer allerdings nicht möglich gewesen ein neues Passwort zu erstellen, er könnte nur die Passwort-Reset Funktion auslösen und somit dem Admin das aktuelle Konto sperren.

Um diese Sicherheitslücke zu beseitigen installiert das neuste WordPress Update 2.8.4 oder ändert folgenden Code in eurer wp-login.php:

in

Zusammengetragen aus folgenden Quellen:

• Caschy’s Blog
• Filzo’s Blog

Im WordPress Dashboard kann man eine super Übersicht der Kommentare, Artikel, Tags, und so weiter einsehen.

Klar, man kann diese Statistik sicherlich auch durch ein Plugin in die Seiten integrieren, aber ich versuche möglichst ohne Plugins auszukommen.

Um diese Anzeige nun anzuzeigen, kopiert einfach folgenden Code an die gewünschte Stelle:

Diese Anzeige zeigt eine tolle Übersicht deiner Seite.