13. Oktober 2008
Die Macher von WordPress haben schon häufig Schelte für die Sicherheit ihres Weblog-Systems bekommen. Was tun als Hasenfüßiger Webmaster, der man ist?
Da hat der “WordPress Codex” seit geraumer Zeit einen passenden Artikel parat, der sich der “Härtung” von WordPress widmet. Lesen sollte man den schon: Hardening WordPress
Da wird nach der Parole “Security through obscurity” auch empfohlen, die Versionsnummer der Installation nicht laut herauszuposaunen, damit es die bösen Cracker in der Zeit zwischen Bekanntwerden einer Lücke und der Installation einer gefixten Version nicht so leicht damit haben, “willige” Opfer zu finden. Na gut, gar nicht so doof!
Leider reicht es dazu nicht aus, einfach das “Generator”-Metatag aus dem Header zu schnipsen. Das System plakatiert seine Versionsnummer an allen Ecken und Enden: in den HMTL-Seiten, in den Feeds und so fort. Das Entfernen des Metatags allein ist bei den letzten Versionswechseln noch ein Stück weit schwieriger geworden – das Tag wird inzwischen von der builtin-Funktion wp_head() erzeugt. Die macht auch noch andere Dinge und ist nicht so leicht verzichtbar.
Abhilfe: der “Generator”-Funktion per Filter einen Riegel vorschieben. Am schnellsten geht das durch Einfügen folgender Zeilen in die function.php des eigenen WordPress-Templates unter /wp-content/themes/THEME-NAME:
function nichts() {
return "";
}
add_filter('the_generator','nichts');
Das behebt das Problem direkt an der Wurzel, da WordPress auf die Funktion the_generator() an allerlei Stellen zurückgreift. Wer diesen “Schalldämper” lieber als PlugIn mag (zum ein- und ausknipsen), kann sich natürlich auch mit wenigen Handgriffen selber eines daraus basteln – das macht den Webmaster natürlich auch nicht doofer 
Tags: security, sicherheit, wordpress
Gepostet in Software, Webdesign | 1 Kommentar »
18. Januar 2007
Vielleicht eines der sehnlichst erwarteten, dafür aber unkompliziertesten WordPress-Updates der letzten Zeit. Die böse, böse Sicherheitslücke, die das Netz in Atem gehalten hat, ist zurückgedrängt.
Wer nicht zu faul war, WordPress 2.0.6 zu installieren, brauchte mit dem inkrementellen Update auf 2.0.7 nur vier Dateien zu überschreiben.
via Golem
Tags: sicherheit, update, wordpress
Gepostet in Technik, Web | 3 Kommentare »
30. Oktober 2006
Nanu, da zwitschert mir doch grade ein Vögelchen, dass es ein WordPress-Upgrade auf Version 2.0.5 gibt.
Als Paranoiker vom Dienst werde ich mir das sofort auf den Webspace schmieren. Wer diese Zeilen lesen kann, darf also getrost davon ausgehen dass die Upgrade-Anleitung von WordPress 2.0.4 auf 2.0.5 einfach und fix zum Ziel geführt hat.
Alle Änderungen – es soll nix schlimmes gewesen sein – finden sich übrigens hier dokumentiert.
*Schnitt*
Hat geklappt und gar nicht wehgetan. Viel Erfolg.
Tags: blog, sicherheit, update, wordpress
Gepostet in Web | 3 Kommentare »
30. Juli 2006
So an sich ist WordPress ja nicht schlecht – zum Bloggen und so. Durch die großen Userscharen gibts ne Menge PlugIns usw., was ja auch fein ist.
Für gewisse Leute steigt damit auch der Anreiz, sich nen Bug zu suchen und reihenweise in die Blogs “einzusteigen” – da werden halt andere Update-Zyklen fällig, um fiese Bugs schnell aus der Welt zu schaffen. Apropos schaffen: schafft Euch bloss den Update Monitor an, wenn Ihr so schusselig wie ich seid.
Das Durchführen der Updates hingegen bringt mich auf die Palme – ich finds umständlich. So wie jetzt, naja: Update downloaden, entpacken, WP sichern, Backup downloaden, Plugins deaktivieren, Update hochladen, installieren, Plugins schritt-für-schritt aktivieren, beten das alles läuft. Ich würde das gerne mit einem einzigen Button machen können, geht das bitte?
Tags: sicherheit, update, wordpress
Gepostet in Technik, Web | 9 Kommentare »