CMS | t3n News News, Infos, Tipps und aktuelle Artikel zu CMS 2014-11-27T14:16:52Z t3n Redaktion http://t3n.de/tag/cms Scrollytelling in WordPress: Das kann die Aesop-Story-Engine 1.3 http://t3n.de/news/scrollytelling-wordpress-581501/ 2014-11-27T14:16:52Z
Die Aesop-Story-Engine ist ein erweiterbares WordPress-Plugin, mit dem ihr auf einfache Art und Weise multimediale Scrollytelling-Artikel erstellen könnt. Wir verraten euch, was die Software kann, …

Die Aesop-Story-Engine ist ein erweiterbares WordPress-Plugin, mit dem ihr auf einfache Art und Weise multimediale Scrollytelling-Artikel erstellen könnt. Wir verraten euch, was die Software kann, und welche neuen Features in Version 1.3 stecken.

Aesop-Story-Engine: Die WordPress-Erweiterung erlaubt die Erstellung von multimedialen Scrollytelling-Artikeln. (Screenshot: Aesop-Story-Engine)
Aesop-Story-Engine: Die WordPress-Erweiterung erlaubt die Erstellung von multimedialen Scrollytelling-Artikeln. (Screenshot: Aesop-Story-Engine)

Von der New York Times bis WordPress: Der lange Weg des Scrollytellings

Der Begriff Scrollytelling, oder auch Multimedia-Storytelling, bezeichnet Online-Artikel, deren Layout individuell an den Inhalt angepasst wurde. Ebenfalls bezeichnend für diese Art der Textgestaltung ist der Einsatz einer bereiten Palette an unterstützenden Medieninhalten. Das können je nach Text kurze Video-Clips, Tonaufnahmen, Animationen, Bilder oder interaktive Karten sein. Im Grunde geht es darum, die Möglichkeiten des modernen Webdesigns in den Dienst der zu erzählenden Geschichte zu stellen. Wir hatten uns diesem Thema schon in unserem Artikel „Scrollytelling: Die Königsdisziplin des Multimedia-Journalismus“ gewidmet.

Eine große Inspiration für diese Entwicklung war der Snow-Fall-Artikel der New York Times, dessen Autor dafür mit dem renommierten Pulitzer-Preis ausgezeichnet wurde. Auch wenn seitdem einige sehr schicke Scrollytelling-Artikel veröffentlicht wurden, blieb diese multimediale Erzählform vielen Bloggern, Journalisten und anderen Autoren bislang verschlossen, weil selbst mit Tools wie Pageflow vom WDR ein nicht unerheblicher Aufwand dafür betrieben werden muss. Die Aesop-Story-Engine versucht, genau dieses Problem zu lösen. Das WordPress-Plugin erlaubt es Autoren, direkt im Backend verschiedene Multimedia-Elemente zu einer Story zu verweben.

Scrollytelling: Die multimedialen Elemente werden bequem im WordPress-Backend angelegt und bearbeitet. (Screenshot: Aesop-Story-Engine)
Scrollytelling: Die multimedialen Elemente werden bequem im WordPress-Backend angelegt und bearbeitet. (Screenshot: Aesop-Story-Engine)

Aesop-Story-Engine: Scrollytelling-Artikel direkt in WordPress erstellen

Die Aesop-Story-Engine macht es Autoren einfach, verschiedene Elemente für die eigene Geschichte zu nutzen. Dazu werden vorgefertigte Blöcke, die „Story-Components“ genannt werden, ausgewählt, angepasst und an der richtigen Stelle eingesetzt. Die Story-Components können unterschiedliche Textarten, Bilder, Videos oder andere Multimedia-Objekte sein. Neu in der jetzt veröffentlichten Version 1.3 ist beispielsweise die Möglichkeit, eine Karte am Rand eines Artikels festzuhalten. Scrollt ein Besucher durch den Text, verschiebt sich die Markierung auf der Karte. So kann beispielsweise bei einem Reisebericht immer gezeigt werden, von welchem Ort der Autor gerade erzählt.

Weitere Story-Components lassen sich, genau wie speziell angepasste Themes, über die Website der Aesop-Story-Engine dazukaufen. Der zugrundeliegende Quellcode des eigentlichen Plugins liegt aber unter der freien GNU-Lizenz auf GitHub. Wer eigene Story-Components entwickeln will, kann sich dazu im Entwicklerbereich der Aesop-Website informieren. Außerdem finden sich auf der Website auch Beispiele für den Einsatz der Engine. Natürlich wird das Ergebnis kaum die Qualität des eingangs erwähnten New-York-Times-Artikels erreichen. Aber die Aesop-Story-Engine bietet Firmen und Einzelpersonen dennoch eine interessante Möglichkeit, auch ohne großes Entwicklerteam ansprechende Scrollytelling-Artikel zu verfassen.

via www.producthunt.com

NEU: Lass dir diesen Artikel vorlesen
Ein Service von t3n, in Kooperation mit Narando.
]]>
Kim Rixecker
Kritische Sicherheitslücke: Großteil aller WordPress-Blogs ist betroffen http://t3n.de/news/wordpress-sicherheitsluecke-580844/ 2014-11-25T10:39:21Z
Eine schwere Sicherheitslücke in der Kommentarfunktion von WordPress bedroht die Sicherheit von Millionen von Blogs. Nutzer des CMS sollten sofort das notwendige Update einspielen, sofern noch nicht …

Eine schwere in der Kommentarfunktion von bedroht die Sicherheit von Millionen von Blogs. Nutzer des sollten sofort das notwendige Update einspielen, sofern noch nicht geschehen.

WordPress-Sicherheitslücke: 85 Prozent aller WordPress-Blogs sollen für Cross-Site-Scripting anfällig sein

Der finnische Sicherheitsexperte Jouko Pynnonen hat eine schwerwiegende Sicherheitslücke in WordPress aufgespürt. Damit kann schädlicher Javascript-Code über die Kommentarfelder eingeschleust werden. Wenn ein Administrator einen solchen Kommentar aufruft, beispielsweise um ihn freizuschalten, könnte der Code mit Administratorrechten ausgeführt werden. Der Angreifer könnte so beispielsweise unbemerkt einen neuen Account für sich erstellen oder das Passwort eines bestehenden Administrators ändern. Mittels Ajax-Anfrage könnte der Angreifer sogar Zugriff auf das Server-Betriebssystem erhalten.

Von der Sicherheitslücke sind die WordPress-Versionen 3.0 bis 3.9.2 betroffen. Laut aktuellen Statistiken von WordPress.org wären damit fast 85 Prozent aller Installationen von der Sicherheitslücke betroffen. Blog-Betreiber die eine betroffene Version einsetzen, sollten umgehend das umfangreiche Sicherheitsupdate auf Version 4.0.1 installieren. Mit der Version werden auch eine ganze Reihe weiterer Sicherheitslücken geschlossen. Darunter sind drei weitere Sicherheitslücken, die Cross-Site-Scripting ermöglicht haben sollen.

WordPress-Sicherheitslücke: Nutzer von Version 3.0 bis 3.9 des CMS sollten unbedingt das Sicherheitsupdate einspielen. (Screenshot: WordPress.org)
WordPress-Sicherheitslücke: Nutzer von Version 3.0 bis 3.9 des CMS sollten unbedingt das Sicherheitsupdate einspielen. (Screenshot: WordPress.org)

WordPress-Sicherheitslücke: Auch Nutzer des Plugins WP-Statistics sind gefährdet

Neben dem eigentlichen CMS wurde auch eine Sicherheitslücke in dem beliebten Statistik-Plugin WP-Statistics gefunden. In Version 8.3 oder niedriger soll es Angreifern per Cross-Site-Scripting möglich sein, einen neuen Administrator-Account anzulegen oder SEO-Spam in die Artikel einer Website einzubauen. Ein Update auf Version 8.3.1 des Plugins wird daher ebenfalls dringend empfohlen. Genauere Details zu dieser Sicherheitslücke will der Entdecker Marc-Alexandre Montpas erst in 30 Tagen veröffentlichen, damit Blog-Betreiber genug Zeit haben, das Update einzuspielen.

WordPress ist das beliebteste CMS im ganzen Web. 23,2 Prozent der zehn Millionen größten Websites setzen auf die Software. Insgesamt sollen sogar fast 75 Millionen Websites WordPress nutzen. Daher sind schwerwiegende Sicherheitslücken wie die oben beschriebene auch für reine Internet-Nutzer eine echte Bedrohung. Immerhin könnten Angreifer so auch an persönliche Daten der Besucher kommen.

via www.golem.de

NEU: Lass dir diesen Artikel vorlesen
Ein Service von t3n, in Kooperation mit Narando.
]]>
Kim Rixecker
WordPress: 15 vermeidbare Anfängerfehler http://t3n.de/news/wordpress-15-vermeidbare-578980/ 2014-11-19T07:46:32Z
Die einfache Handhabung von WordPress macht es wohl zum beliebtesten Open-Source-CMS. Aber gerade diese Einfachheit birgt auch ein hohes Fehlerpotential. Wir verraten die häufigsten Anfängerfehler …

Die einfache Handhabung von macht es wohl zum beliebtesten Open-Source-CMS. Aber gerade diese Einfachheit birgt auch ein hohes Fehlerpotential. Wir verraten die häufigsten Anfängerfehler und wie du sie vermeiden kannst.

Fehler in WordPress vermeiden
Fehler in WodPress vermeiden. (Grafik: t3n, Logo: WordPress)

Der Mensch ist nicht perfekt. Wir alle machen Fehler. Einige dieser Fehler, die aber immer wieder in Zusammenhang mit der Benutzung von WordPress gemacht werden, führen zu Problemen in Bezug auf die Sicherheit und verlangsamen den Entwicklungsprozess einer Webseite. Wir zeigen dir die häufigsten Fehler, warum du sie nicht begehen solltest und verraten dir, was du tun kannst um sie zu vermeiden.

1. Falscher Untertitel

Es gibt Themes, die den Untertitel der WordPress-Site nicht ausgeben. Wenn du eines dieser Themes benutzt, liegt der Gedanke nah, dass er auch nicht geändert werden muss. Aber das ist falsch: Google und andere Suchmaschinen indexieren den Untertitel deiner Site, egal ob er angezeigt wird oder nicht. Du kannst den Untertitel unter „Einstellungen -> Allgemein“ ändern.

Wenn du „Just Another WordPress Site“ in den Suchmaschinen suchst, wirst du einige solcher Fehltritte finden können.

2. Admin als Benutzername

Das ist einer der häufigsten Fehler, der auch immer wieder auftritt, da WordPress von sich aus vorschlägt, den ersten Benutzer als „admin“ anzulegen – und diesem Benutzer auch gleich Administrator-Rechte verleiht. Wählt der Benutzer dann noch ein schwaches Passwort, öffnet er Tür und Tor für potenzielle Angreifer. Daher solltest du neben einem guten Passwort auch einen nicht unbedingt vorhersehbaren Login-Namen für deinen WordPress Admin-User wählen.

3. Als Administrator posten

Es ist wichtig den Administrator-Benutzernamen hinter deiner Installation so gut wie möglich zu verschleiern. Schreibst du aber Beiträge als Administrator, kannst du genauso gut den oben genannten Fehler begehen und deinen Admin-Benutzer „admin“ nennen.

Stattdessen solltest du den Admin-Benutzer ausschließlich für die Arbeit am Backend benutzen und ein tiefergestelltes Konto für die Erstellung von Inhalten benutzen.

4. Log-In Maske nicht gegen Bruteforce-Attacke schützen

Je weniger ein potenzieller Angreifer über deine WordPress-Seite weiß, desto schwieriger wird es für ihn, sich Zugriff darauf zu verschaffen. Der Administrationsbereich von WordPress ist normalerweise über http://www.deineseite.de/wp-admin zu erreichen. Solltest du nicht eingeloggt sein, wird auf die Datei wp-login. verwiesen. Um eine Brute-Force-Attacke auf deine WordPress-Webseite zu erschweren, kannst du die wp-login.php umbenennen. Hierfür gibt es das nützliche Plug-In „Rename wp-login.php". Dieses Plug-in lässt dich jede beliebige Zeichenkette für deine WordPress Seite festlegen. Neugierige User und Angreifer, die versuchen über /wp-admin oder /wp-login.php auf dein Administrations-Panel zuzugreifen landen dann auf einer Fehlerseite.

5. Tabellenpräfix

Der beste Weg, das Hacking des Blogs zu vermeiden, ist unvorhersehbar zu sein. Ähnlich wie der Admin-Name, ist das Standard-Tabellenprefix von WordPress eine vorhersehbare Konstante – dabei ist es sehr einfach dein Tabellenpräfix zu ändern. Du kannst es während der Installation, aber auch nachträglich in der wp-config.phpändern. Wähle ein komplexeres Präfix, das sich nur schwer erraten lässt. Das sollte kein Problem sein, da du in Zukunft sowieso nicht mehr darüber nachdenken musst, welches Präfix in der Datenbank benutzt wird.

6. Standardwerte für Salt und Keys

Das „Salt“ und die „Keys“ sind Werte, die sich in der <code>wp-config.php</code> deiner WordPress-Installation befinden. Sie werden dafür benutzt, um eingeloggte Benutzer und deren Endgeräte zu authentifizieren. In der Vergangenheit war es vergleichsweise leicht Session-Cookies und somit auch die jeweilige Sitzung zu übernehmen. Mit „Salt“ und „Keys“ wurde eine Hürde für Angreifer eingebaut, die es nicht mehr so einfach macht Sessions zu übernehmen. WordPress bietet einen eigenen Service für die Erstellung von Salt und Keys. Einfach die Ausgabe der Seite in die <code>wp-config.php</code> kopieren – schon ist alles erledigt. Heute werden Salt und Keys automatisch durch den Autoinstaller vom WordPress-Dienst bezogen. Um auf Nummer Sicher zu gehen, solltest du deine Config nach der Installation aber jedes mal auf das Vorhandensein von individuellen Werten für Salt und Keys hin überprüfen.

NEU: Lass dir diesen Artikel vorlesen
Ein Service von t3n, in Kooperation mit Narando.
]]>
Ilja Zaglov
WieWoWas? t3n-Leser fragten nach: Wordpress-Backup, Child-Themes, Onlineshop-Systeme http://t3n.de/news/wiewowas-t3n-leser-fragten-nach-3-578005/ 2014-11-11T16:05:01Z
Für alle Fragen rund um die digitale Welt findet ihr auf t3n.de den Fragen-Bereich. Dort könnt ihr nach Lust und Laune alles aufs Tapet bringen, was euch ein Rätsel ist. Jeden Dienstag erscheinen …

Für alle Fragen rund um die digitale Welt findet ihr auf t3n.de den Fragen-Bereich. Dort könnt ihr nach Lust und Laune alles aufs Tapet bringen, was euch ein Rätsel ist. Jeden Dienstag erscheinen dann die interessantesten und brisantesten Fragen und Antworten der t3n-Community zusammengefasst in einem Artikel.

In den Fragen dieser Woche geht es um Onlineshop-Systeme, Hoster für .ch-Domains, WordPress-Backup, Child-Theme, Canonical-Link

1. Onlineshop-Systeme

Ich bin momentan auf der Suche nach einem vernünftigen und bin dabei auf shopware gestoßen. Hab nur leider wenig Erfahrung in diesen Dingen da es mein erster ist. Könnt ihr mir den empfehlen oder gibt es was besseres?

Zur Frage: Welches Shopsystem ist das Beste?

2. Hoster für .ch Domains

Ich suche einen Hoster, der Folgendes möglichst günstig anbietet : .ch-Domain mit Möglichkeit den DNS-Eintrag zu setzen, E-Mail, 2 GB Mailspace. Leider bieten die großen Hoster die .ch Domain nicht – oder nur sehr teuer – an. Kleine Hoster bieten diese günstig an, aber dann ohne eMail-Space, sondern nur mit Webspace. Ideal wäre das “Goneo eMail Plus”…. die bieten aber keine .ch Domains an.

Vielleicht kennt jemand einen passenden Anbieter?

Zur Frage: Welcher Hoster für eMail, ch-Domain mit DNS-Eintrag?

3. WordPress-Backup

Ich habe mich bisher nicht mit Backups beschäftigt, deshalb hier die Frage: Wie kann ich am besten Backups von meinem WordPress-Blog machen?

Zur Frage: Wie kann ich ein Backup meines Blogs erstellen?

4. Child-Theme

Wenn man nach Anpassungen sucht, liest man häufig den Begriff „Child-Theme”. Aber was ist das überhaupt? Wofür ist das gut?

Zur Frage: Was ist ein Child-Theme?

5. Canonical-Link

Bei wird auf jeder Seite in rel=“canonical” die URL der aktuellen Seite eingetragen. Wofür ist das gut?

Zur Frage: Was macht die Meta-Angabe rel="canonical"?

Tausch dich mit der Community aus: Stell deine Frage, oder lass die Anderen von deinem Wissen profitieren – auf t3n.de/fragen

NEU: Lass dir diesen Artikel vorlesen
Ein Service von t3n, in Kooperation mit Narando.
]]>
Melanie Petersen
CSS-Architektur im Einsatz: So sehen Stylesheets bei Ghost aus http://t3n.de/news/ghost-cms-css-architektur-577957/ 2014-11-11T13:59:14Z
Wir zeigen euch, wie das Team der Blogging-Plattform Ghost in Bezug auf CSS mit Benennungsregeln, Ordnerstruktur, Datai-Layout und andere Details umgeht.

Wir zeigen euch, wie das Team der Blogging-Plattform in Bezug auf mit Benennungsregeln, Ordnerstruktur, Datai-Layout und andere Details umgeht.

CSS: So arbeitet Ghost mit Stylesheets

Bei einer umfangreichen Codebasis ist letztlich nicht nur die Qualität des eigentlichen Codes entscheidend, sondern auch die Lesbarkeit und wie schnell sich Entwickler darin zurechtfinden. Daher ist es auch immer wieder interessant, wie die Vorgaben bei verschiedenen Teams aussehen. Die Macher der Blogging-Plattform Ghost haben einen Artikel veröffentlicht, in dem sie genau darauf eingehen, wie CSS bei ihnen geschrieben wird, beziehungsweise wo sie noch hinwollen.

Generell versuchen sie, ihren CSS-Code so schlank und sauber wie möglich zu halten. Properties werden bis auf eine Ausnahme nicht mit einem Prefix versehen, auf tiefe Verschachtelungen wird verzichtet und mit Ausnahme von Normalize.css werden keine fertigen Libraries verwendet. Als Präprozessor wird SASS eingesetzt. Dazu setzen sie auf libsass über einen node-sass Grunt-Task. Darüber hinaus setzt das Ghost-Team auf den Autoprefixer. Der wird allerdings nur für Properties eingesetzt, die auf einen bestimmten Browser abzielen.

CSS bei Ghost: Das Dateilayout im Detail

Hier ist ein Beispiel dafür, wie der CSS-Code bei Ghost strukturiert werden sollte:


// ------------------------------------------------------------
// The Sass Example
//
// This is a brief example of how to structure a `.scss` file.
//
// * Define animations
// * Classed to use these animations
// ------------------------------------------------------------

//
// A wrapper for Element, extending %other-wrapper
// --------------------------------------------------

.element-wrapper {
@extend &other-wrapper;

padding: 15px 20px;
border: 1px solid $lightbrown;

@media (min-width: 801px) {
margin: 10px;
border-color: $midbrown;
}

// Variations
&.darker {
border-color: $midbrown;

&.variation {
padding-left: 10px;
padding-right: 10px;
}
}

.element-edit {
border: 1px solid $lightbrown;
border-radius: $rounded;

@include icon($i-edit, 2rem, $lightbrown){
transition: color linear 0.15s;
};

&:hover {
border-color: $midbrown;

&:before {
color: $midbrown;
}
}
}

}//.wide

//
// Another element
// --------------------------------------------------

.another-element {
font-size: 1.6rem;
line-height: 1.325;
color: $darkgrey;
}

Zur Erklärung ihrer Funktion beginnen alle CSS-Dateien mit einem aussagekräftigen Titel. Die CMS-Entwickler orientieren sich dabei an den Klassenbezeichnungen in objektorientierten Programmiersprachen. So soll für jeden schnell verständlich sein, wofür das jeweilige Stylesheet gut ist. IDs und Klassen die nur für JavaScript-Events gedacht sind, werden nicht mit CSS angesprochen. Wann immer möglich werden kurze Schreibweisen genutzt. Blöcke, die aus mehr als 25 Zeilen bestehen, werden mit einem abschließendem Kommentar versehen. Verschachtelungen werden auf ein Minimum reduziert und gehen nie tiefer als drei Ebenen. Zusammengehörige Properties werden gruppiert und Media-Queries kommen immer nach den Properties. Dabei werden sie nach Größe ihrer Werte aufsteigend sortiert.

Benennungsregeln bei Ghost: Von Variablen bis Dateinamen

CSS bei Ghost: So sieht die Ordnerstruktur bei den Machern der Bogging-Plattform aus. (Screenshot: dev.ghost.org)
CSS bei Ghost: So sieht die Ordnerstruktur bei den Machern der Bogging-Plattform aus. (Screenshot: dev.ghost.org)

Bei der Ordnerstruktur versucht das Ghost-Team es einfach zu halten und achtet auf eine möglichst einfache Wiederverwendbarkeit verschiedener Module. Die Dateinamen sollten selbsterklärend sein. Der Inhalt der Datei daher einem bestimmten Zweck dienen und nicht mehrere Aufgaben zusammenfassen.

Bei der Benennung von Variablen hat sich das Team gegen abstrakte Bezeichnungen entschieden. Daher nutzen sie beispielsweise $red statt $error. Im Bezug auf Klassen bevorzugen die Macher der Blogging-Plattform längere Namen gegenüber der Verschachtelung von Selektoren. Statt .navigation ul li a käme daher .navigation-link zum Einsatz.

CSS: Media-Queries und Kommentare

Nur in wenigen Fällen überprüft Ghost, ob es sich um ein Touch- oder Desktop-Gerät handelt. Alles andere wird über die Bildschirmbreite oder die Verfügbarkeit gewisser Funktionen geregelt. Bisher wurden keine Variablen in Media-Queries verwendet, um die Lesbarkeit zu erhöhen. Zukünftig soll das in einigen Fällen aber geändert werden. Wenn nicht direkt ersichtlich ist, wofür ein CSS-Code da ist, sollte er kommentiert werden. Die Entwickler sollen dann nicht erklären was der Code macht, sondern warum er überhaupt da ist.

Linting findet derzeit für CSS nicht statt. Das wollen die Entwickler mittelfristig aber ändern, da es die Qualität ihrer JavaScript-Codebasis geholfen hat. Auch an der Dokumentation wollen die Entwickler der quelloffenen Blogging-Plattform noch arbeiten.

Was haltet ihr von der Vorgehensweise bei Ghost?

NEU: Lass dir diesen Artikel vorlesen
Ein Service von t3n, in Kooperation mit Narando.
]]>
Kim Rixecker
WieWoWas? t3n-Leser fragten nach: Google-Kalender, Feed-Readern, paginierte Navigation, Typo 3 LTS http://t3n.de/news/wiewowas-t3n-leser-fragten-nach-2-576483/ 2014-11-04T15:44:43Z
Für alle Fragen rund um die digitale Welt findet ihr auf t3n.de den Fragen-Bereich. Dort könnt ihr nach Lust und Laune alles aufs Tapet bringen, was euch ein Rätsel ist. Jeden Dienstag erscheinen …

Für alle Fragen rund um die digitale Welt findet ihr auf t3n.de den Fragen-Bereich. Dort könnt ihr nach Lust und Laune alles aufs Tapet bringen, was euch ein Rätsel ist. Jeden Dienstag erscheinen dann die interessantesten und brisantesten Fragen und Antworten der t3n-Community zusammengefasst in einem Artikel.In den Fragen dieser Woche geht es um Kalender-Software, NetNewsWire-Alternativen, paginierte Navigation, Upgrade von Typo 3 LTS und CMS

1. Paginierte Navigation

In WordPress scheint es ja standardmäßig diese Navigation „Ältere Beiträge“ und „Neuere Beiträge“ zu geben. Gibt es eine einfache Möglichkeit, eine paginierte Navigation dafür einzufügen?

Zur Frage: Wie kann ich bei WordPress eine paginierte Navigation auf der Blogseite einfügen?

2. Feed-Reader

Habt ihr eine Empfehlung analog zu NetNewsWire für Windows und Suse (kde)? Am besten auf beidem kompatibel. Mit Feedreader war ich nicht so zufrieden, ich suche ein Tool, dass mir die Möglichkeit gibt, in mehreren Boards themenspezifisch zu arbeiten.

Zur Frage: Welcher Feed-Reader ist mit Windows und Suse kompatibel?

3. Google-Kalender

Ist es irgendwie möglich, Erinnerungen für Geburtstage von Google-Kontakten zu erstellen? Die werden zwar in den Kalender „Geburtstage“ bei der Kalender-Funktion von Google eingefügt, aber ich finde da keine Möglichkeit, mich eine Woche vorher daran erinnern zu lassen?

Zur Frage: Wie kann ich mich an Geburtstage von Google-Kontakten erinnern lassen?

außerdem:

Zur Frage: Wie ist es bei Google Kalender möglich, mehrere Kalender zu einem zusammenzuführen?

4. CMS/Template für eine klassische Website

Ich möchte eine Website erstellen, die ziemlich viel Inhaltsseiten haben wird. Hauptsächlich soll es wie eine klassische Website sein, also informierend. Daneben soll es einen News-Bereich geben. Auch Mehrsprachigkeit sollte möglich sein. Wichtig ist, dass das CMS einfach und relativ intuitiv zu bedienen sein soll. Kennt ihr da was?

Zur Frage: Welches intuitive CMS eignet sich für meine Zwecke? 

außerdem:

Ich will eine eigene Homepage erstellen, um meine Dienste als Fotobearbeiter und Texter anzubieten. Es soll eine moderne Fullscreen-Image Web-Visitenkarte mit 2 Unterseiten und Kontaktformular werden. Wo finde ich WordPress-Templates, die nicht so sehr auf Blogs ausgerichtet sind? Oder kommt ein anderes CMS eher in Frage?

Zur Frage: Welches intuitive CMS/Template eignet sich für eine statische Website am besten?

5. Upgrade von Typo 3 LTS 4.5 auf 6.2 LTS

Ich arbeite freiberuflich für eine gemeinnützige Redaktion und betreue unter anderem die Internetseite, die auf Typo3 4.5 basiert (Templa Voilà im Backend, nicht gerade nutzerfreundlich). Die Website ist jetzt an die drei Jahre alt. Die Agentur, die uns betreut, riet uns zum Upgrade auf 6.2. Ist das wirklich nötig? Was passiert, wenn wir kein Upgrade machen? Sind die dadurch entstehenden Sicherheitslücken tatsächlich so bedenklich?

Zur Frage: Ist ein Upgrade auf 6.2 LTS nötig?

Tausch dich mit der Community aus: Stell deine Frage, oder lass die Anderen von deinem Wissen profitieren – auf t3n.de/fragen

NEU: Lass dir diesen Artikel vorlesen
Ein Service von t3n, in Kooperation mit Narando.
]]>
Melanie Petersen
Die besten SEO-Plugins für WordPress http://t3n.de/news/seo-plugins-wordpress-370413/ 2014-11-04T10:40:23Z
Wie lässt sich eine WordPress-Installation für Suchmaschinen optimieren? Und: Worauf gilt es dabei zu achten? Wir haben das Netz gefilzt und die besten SEO-Plugins für WordPress gesammelt.

Wie lässt sich eine WordPress-Installation für optimieren? Und: Worauf gilt es dabei zu achten? Wir haben das Netz gefilzt und die besten SEO-Plugins für gesammelt.

SEO-Plugins für WordPress

Für viele Website-Betreiber ist mehr Sichtbarkeit in den Suchergebnissen ein großer Traffic-Hebel. Und obwohl WordPress von Haus aus relativ suchmaschinenfreundlich entwickelt wurde, lohnt der Einsatz guter Erweiterungen. Unzählige SEO-Plugins buhlen um die Gunst der WordPress-Nutzer und bieten manuelle oder halbautomatische – auch für unerfahrene Seitenbetreiber. Doch welche WordPress-Plugins taugen und worauf müssen Website-Betreiber achten? Wir verschaffen einen Überblick.

1. All-in-One: WordPress SEO von Yoast

Die All-in-One-Lösung unter den SEO-Plugins für WordPress: WordPress SEO von Yoast. (Quelle: wordpress.org)
Die All-in-One-Lösung unter den SEO-Plugins für WordPress: WordPress SEO von Yoast. (Quelle: wordpress.org)

Eine Reihe von WordPress-Erweiterungen bieten All-in-One-Lösungen: Zu den bekanntesten SEO-Plugins dieser Art gehören WordPress SEO von Yoast, das All in One SEO Pack und wpSEO von Sergej Müller. Als besonders nutzerfreundlich gilt das SEO-Plugin von Yoast. Es hilft Website-Betreibern bei nahezu allen OnPage-Optimierungen, darunter Grundlagen wie Titles und Meta Descriptions. Yoast liefert zudem eine umfangreiche Anleitung für SEO-Einsteiger sowie kostenpflichtige WordPress-Plugins für Video SEO, Local SEO und News SEO.

2. Bilderoptimierung: SEO Friendly Images

Automatische Alt- und  Title-Tags dank SEO Friendly Images. (Quelle: wordpress.org)
Automatische Alt- und Title-Tags dank SEO Friendly Images. (Quelle: wordpress.org)

Idealerweise zeichnen Website-Betreiber alle verwendeten Bilder händisch mit keyword-optimierten Alt- und Title-Tags aus. Diese Vorgehensweise ist allerdings nicht in allen Fällen praktikabel, insbesondere wenn die schreibenden Autoren einer Website regelmäßig wechseln. Hier hilft SEO Friendly Images. Das SEO-Plugin ergänzt alle verwendeten Fotos und Grafiken automatisch gemäß vorher festgelegter Optionen um Alt- und Title-Tags.

3. Bildverkleinerung: WP Smush.it

Ein wichtiges SEO-Plugin für WordPress, was die Bilderoptimierung anbelangt. (Quelle: smushit.com)
Ein wichtiges SEO-Plugin für WordPress, was die Bilderoptimierung anbelangt. (Quelle: wordpress.org)

Allzu große Fotos und Grafiken ziehen die Ladezeiten einer Website in die Länge. Dies schadet nicht nur den Rankings der Website sondern auch der Nutzererfahrung jedes Besuchers. Das WordPress-Plugin WP Smush.it reduziert die Größe aller hochgeladenen Bilder automatisch mittels Yahoo Smush.it Obwohl der Einsatz dieser Erweiterung die Upload-Zeiten verlängert, lohnt die Integration.

4. Caching: W3 Total Cache

Mit W3 Total Cache lädt die WordPress-Website auf Knopfdruck. (Quelle: wordpress.org)
Mit W3 Total Cache lädt die WordPress-Website auf Knopfdruck. (Quelle: wordpress.org)

Es lohnt sich, die statischen Elemente einer Website per Caching auf dem Server bereitzuhalten. Dies vermeidet unnötige Datenbankabfragen und reduziert Ladezeiten. Auf dem Markt der WordPress-Plugins stehen unzählige Anwärter zur Auswahl, darunter CachifyWP Super Cachehyper Cache und W3 Total Cache. Letzteres möchte ich vor allem erfahrenen Nutzern ans Herz legen. Es ermöglicht unter anderem die Integration eines Content Delivery Networks (CDN), dessen Einrichtung TutsPlus in dieser Anleitung erklärt.

5. XML-Sitemaps: Google XML Sitemaps

Einfache XML-Sitempas lassen sich mit „Google XML Sitemap“ erstellen. (Grafik: wordpress.org)
Einfache XML-Sitempas lassen sich mit „Google XML Sitemap“ erstellen. (Grafik: wordpress.org)

Mit einem Plugin wie Google XML Sitemaps stellen Seitenbetreiber sogenannte XML-Sitemaps für Suchmaschinen wie Google bereit. Sie lassen dessen Crawler wissen, wie die Website strukturiert ist und ermöglichen ein effizienteres Crawling. Ein solches Plugin ist vor allem bei größeren Seiten wichtig, kann laut Google aber auch bei kleineren Seiten helfen.

6. Related Posts: Yet Another Related Posts Plugin

Eines der besseren „Related Post Plugins“ für WordPress. (Quelle: wordpress.org)
Eines der besseren „Related Post Plugins“ für WordPress. (Quelle: wordpress.org)

Wer interne Links zur Suchmaschinenoptimierung nutzen möchte, kommt nicht um ein SEO-Plugin wie „Yet Another Related Posts Plugin (YARPP)“ herum. Es hilft bei der Integration ähnlicher Artikel gegen Ende einer Seite und führt somit Besucher sowie Suchmaschinen tiefer in die Struktur einer Website. Alternativen zu „YARPP“ – dem mit großem Abstand bekanntesten Vertreter dieser Kategorie – liefert Elmastudio.

7. Inhaltsverzeichnisse: Table of Contents Plus

Das SEO-Plugin „Table of Contents Plus“. (Grafik: wordpress.org)
Das SEO-Plugin „Table of Contents Plus“. (Grafik: wordpress.org)

Seit einiger Zeit erhält „Table of Contents Plus“ in der SEO-Szene viel Aufmerksamkeit. Das WordPress-Plugin hilft Seitenbetreibern längere Webseiten besser für Nutzer und Crawler zu strukturieren. Hierfür erstellt das Plugin aus den verwendeten Überschriften automatisch ein Inhaltsverzeichnis, das Nutzern das schnelle Navigieren zu bestimmten Abschnitten ermöglicht und Suchmaschinen zahlreiche Direktlinks auf Inhaltsabschnitte liefert. Diese Direktlinks werden bei passenden Suchanfragen sogar in den Snippets angezeigt.

8. Tote Links: Broken Link Checker

Ein nützliches SEO-Plugin: „Broken Link Checker“. (Grafik: alswart - Fotolia.com)
Ein nützliches SEO-Plugin: „Broken Link Checker“. (Grafik: alswart - Fotolia.com)

Der „Broken Link Checker“ prüft alle Inhalte einer Installation auf „tote Links“. Liefert ein Link, Bild oder Redirect einen 404-Fehler, informiert das Plugin den Seitenbetreiber über ein Dashboard sowie optional per E-Mail. Nutzer können die Links anschließend mithilfe des Plugins editieren und sicherstellen, dass interne und externe Links mit validen Zielen ausgestattet sind und Crawler nicht in die Irre führen.

9. 301-Redirects: Redirection

Automatische 301-Redirects dank „Redirection“. (Grafik: wordpress.org)
Automatische 301-Redirects dank „Redirection“. (Grafik: wordpress.org)

Sollten Nutzer die Permalinks ihrer Website ändern, treten in der Regel zahlreiche 404-Fehler auf. Bei größeren Seiten ist es nicht praktikabel die auftretenden Fehler händisch zu beseitigen, nachdem sie von SEO-Plugins wie dem „Broken Link Checker“ identifiziert wurden. Abhilfe schafft in diesem Fall ein Plugin wie „Redirection“, mit dem Nutzer manuell oder halbautomatisch 301-Weiterleitungen einrichten können.

10. Geschwindigkeit: Plugin Performance Profiler

Diese WordPress-Erweiterung misst, welches Plugin am meisten Ladezeit verursacht. (Quelle: wordpress.org)
Diese WordPress-Erweiterung misst, welches Plugin am meisten Ladezeit verursacht. (Quelle: wordpress.org)

Die Ladezeiten einer Website leiden unter dem Einsatz unzähliger Erweiterungen. Ob sich der Einsatz aller oben genannten SEO-Plugins lohnt, ist deshalb immer auch eine Geschwindigkeitsfrage. Wer wirklich wissen will, welches WordPress-Plugin die eigene Website ausbremst, sollte den Plugin Perfomace Profiler (P3) testen. Er hilft Website-Betreibern beim Aufspüren der „Bremsklötze in ihrer WordPress-Installation“, so Kollege Bonset.

Ebenfalls interessant: Unser Überblick über WordPress-Plugins für A/B-Tests sowie Bildergalerien.

Letztes Update des Artikels: 4. November 2014

NEU: Lass dir diesen Artikel vorlesen
Ein Service von t3n, in Kooperation mit Narando.
]]>
Lars Budde
TYPO3: 10 NEOS-Projekte im Einsatz http://t3n.de/news/typo3-neos-projekte-575940/ 2014-11-03T12:10:58Z
TYPO3 Neos legt als jüngste Schöpfung aus dem TYPO-Universum den Fokus auf den Content-Manager und die Usability. Trotz des noch jungen Alters des CMS finden sich bereits jetzt viele mit TYPO3 …

Neos legt als jüngste Schöpfung aus dem TYPO-Universum den Fokus auf den Content-Manager und die . Trotz des noch jungen Alters des finden sich bereits jetzt viele mit TYPO3 Neos umgesetzte Projekte, von denen wir euch zehn besonders sehenswerte zeigen.

TYPO3 Neos is the next-generation open source content management system made by the TYPO3 community.

TYPO3 Neos ist die neueste Generation von CMS, das von der TYPO3 Community entwickelt und neben dem ursprünglichen TYPO3 CMS vermarktet wird. Neos basiert auf dem PHP-Framework TYPO3 Flow und setzt den Fokus auf einfache Erweiterbarkeit und einen einfach zu bedienenden WYSIWYG-Editor. Darüber hinaus ist Neos so anpassungsfähig, dass es selbst schon als Ausgangsplattform für diverse Applikationen genutzt werden kann. In diesem Artikel stellen wir euch zehn Projekte auf Basis von TYPO3 Neos vor.

Typostrap: Prototyping-Tool auf Basis von TYPO3 Neos und dem Foundation-Framework

Typostrap Screenshot
Typostrap setzt auf TYPO3 NEOS. (Screenshot: t3n)

Typostrap basiert auf dem Content-Management-System TYPO3 Neos und dem Front-End-Framework Foundation. Das Prototyping-Tool soll Entwicklern die Umsetzung eines Prototypen zum fertig nutzbaren Produkt erleichtern. Designer sollen ohne Kontakt zum Code arbeiten und trotzdem alle angedachten Interaktionen direkt ausprobieren können. Außerdem sind Werkzeuge zum direkten Austausch über den Prototyp und einfache Wege zum Teilen des Entwurfs mit dem Kunden und anderen Beteiligten angedacht.

Optivo E-Mail Marketing

Optivo Screenshot
Optivo setzt auf TYPO3 NEOS. (Screenshot: t3n)

Optivo ist ein Unternehmen der deutschen Post und DHL, das sich auf das Thema E-Mail-Marketing spezialisiert hast. Die moderne Website im Onepage-Look setzt auf responsives Webdesign und einen aufgeräumten, cleanen Look. Zusätzlich aufgewertet wird die TYPO3-Neos-Website mit dezenten SVG-Animationen und Parallax-Effekten.

SCHILD: Online-Shop auf TYPO3 Neos Basis

SCHILD Screenshot
SCHILD setzt auf TYPO3 NEOS. (Screenshot: t3n)

Der Schweizer Modehändler SCHILD nutzt TYPO3 Neos für seinen Online-Auftritt.

Startkredi: Responsive TYPO3 Neos Webseite

Startkredi Screenshot
Startkredi setzt auf TYPO3 NEOS. (Screenshot: t3n)

Die Firma Startkredi  setzt bei der Umsetzung Ihrer Webseite ebenfall auf TYPO3 Neos. Die responsive Webseite informiert in einem übersichtlich gehaltenem und hellem Design über die Angebote des Unternehmens.

Lieferanten-Empfehlung

Lieferanten-Empfehlung Screenshot
Lieferanten-Empfehlung setzt auf TYPO3 NEOS. (Screenshot: t3n)

Lieferanten-Empfehlung bietet Informatioen zu Anbietern von Industrie-Produkten und Dienstleistungen, die von ihren Kunden empfohlen werden und will so das Auffinden vertrauenswürdiger Lieferanten vereinfachen. Die Webseite basiert auf TYPO3 Neos und ist voll-responsive.

Egg Nogg

Egg Nogg Webseite Screenshot
Egg Nogg Promo-Seite mit TYPO3 NEOS. (Screenshot: t3n)

Die Webseite zum „Kultgetränk“ Egg Nogg wurde zu Promotionzwecken zur kurzen Verfügbarkeit des Getränkes in ausgewählten Supermärkten Österreichs eingerichtet. Das TYPO3 Neos Projekt ist responsive und setzt auf Bildschirmfüllende Bilder.

1for2.nl

1for2.nl Screenshot
1fopr2.nl setzt auf TYPO3 NEOS. (Screenshot: t3n)

Die Webseite 1for2.nl setzt auf Inhalte, die mit Hilfe eines Sliders in den Viewport geladen werden. Hierfür setzt das responsive TYPO3-Neos-Projekt auf eine Kachel-Übersicht der verschiedenen Bereiche. Ein Klick auf den jeweiligen Bereich läss die Inhalte in den Viewport sliden. Außer der JavaScript basierten Navigation setzt das Projekt auch „klassische“ Unterseiten, die über eine Top-Navigation erreicht werden können, ein.

Feel Coasta Brava

Feel Costa Brava Screenshot
Feel Costa Brava setzt auf TYPO3 NEOS. (Screenshot: t3n)

Feel Costa Brava  ist ein TYPO3-Neos-Projekt, das auf große Bilder setzt und großzügig mit dem auf dem Bildschirm zur Verfügung stehendem Platz umgeht. Neben allgemeinen Informationen zur Costa Brava ist die responsive Webseite außerdem mit einem Buchungs-System ausgestattet.

SPF Special Piping + Flanges

SPF Screenshot
SPF setzt auf TYPO3 NEOS. (Screenshot: t3n)

Der Rohr-Hersteller SPF  setzt bei seiner Firmenwebseite ebenfalls aut TYPO3 Neos. Das Design ist an klassische Firmenwebseiten der Branche angelehnt, greift jedoch Stellenweise auf vollflächige Bilder zurück und ist voll responsive.

Wishbase

Wishbase Screenshot
Wishbase setzt auf TYPO3 NEOS. (Screenshot: t3n)

Wishbase hilft dir dabei deine Wünsche zu Anlässen wie Geburtstag oder Hochzeit in Erfüllung gehen zu lassen. Die responsive TYPO3 Neos Webseite im Full-Screen Onepager-Design setzt auf ein helles Design mit Illustrationen um den Online-Dienst einfach und verständlich zu erklären.

Auf der offiziellen Webseite von TYPO3 NEOS könnt ihr euch das System herunterladen und selbst testen.

Welche spannenden Neos-Projekte entwickelt oder kennt ihr?

NEU: Lass dir diesen Artikel vorlesen
Ein Service von t3n, in Kooperation mit Narando.
]]>
Ilja Zaglov
Open-Source-CMS Drupal: Kritische Lücke bringt Nutzer in Handlungsnot http://t3n.de/news/drupal-kritische-luecke-575379/ 2014-10-30T08:28:21Z
Das beliebte Open-Source-CMS Drupal kämpft mit einer hochkritischen Sicherheitslücke. Was Nutzer wissen müssen und wie sie ihre Website vor Angriffen absichern.

Das beliebte Open-Source-CMS Drupal kämpft mit einer hochkritischen Sicherheitslücke. Was Nutzer wissen müssen und wie sie ihre Website vor Angriffen absichern.

Drupal mit hochkritischer Sicherheitslücke

Die Warnung, die das Entwicklerteam um das Open-Source-CMS Drupal am Mittwoch Abend herausgibt, könnte nicht deutlicher sein: Alle Drupal-7-Installationen, die nicht innerhalb von sieben Stunden nach Veröffentlichung des letzten Patches abgesichert wurden, seien als „kompromittiert“ zu betrachten, schreibt das Drupal-Team auf seiner Website.

Drupal erklärt, wie Betroffene mit der hochkritischen Sicherheitslücke umgehen. (Logo: Drupal)
Drupal erklärt, wie Betroffene mit der hochkritischen Sicherheitslücke umgehen. (Logo: Drupal)

Vorausgegangen war dieser Meldung eine hochkritische Sicherheitslücke, die Drupal am 15. Oktober erst publik gemacht und dann mit einem Patch zu schließen versucht hatte. Die Sicherheitslücke, die unter dem Namen „Drupageddon“ firmiert, ermöglichte es, über eine SQL-Injection die betroffene Webseite direkt zu übernehmen.

Nachträgliches Aufspielen zwecklos – Sicherheitsupdate ist Zahnloser Tiger

Zwar forderte Drupal seine Nutzer damals umgehend dazu auf, das Sicherheitsupdate aufzuspielen. Allerdings hätten schon wenige Stunden nach Bereitstellung des Patch die ersten automatisierten Angriffe begonnen. Daher ist anzunehmen, das eine ganze Reihe von ungepatchten Servern bereits von Fremdbetreibern kompromittiert worden ist. Das nachträgliche Aufspielen des Sicherheitsupdates ist übrigens ein zahnloser Tiger. Wie das Drupal-Team erklärt, würden einige Eindringlinge das Sicherheitsupdate nach ihrer Infektion selbst installieren, um das Einfallstor hinter sich zu schließen. Wer Opfer eines Angriffs geworden ist, muss davon ausgehen, dass alle auf dem Server gespeicherten Daten kopiert und missbraucht wurden.

Was Drupal-Nutzer jetzt tun sollten

Was aber können betroffene Drupal-Nutzer jetzt tun? Zum einen soll nach Angaben des Teams das Sicherheitsupdate zurückgehalten und zunächst ein Backup aufgespielt werden, das vor dem 15. Oktober erstellt wurde. Anschließend ist die Sicherheitslücke wahlweise über das Update auf Version 7.32 oder den besagten Patch zu schließen. Außerdem seien die Passwörter zu ändern, ehe man mit seiner auf Drupal gestützten Website wieder online geht.

via www.heise.de

NEU: Lass dir diesen Artikel vorlesen
Ein Service von t3n, in Kooperation mit Narando.
]]>
Daniel Hüfner
5 Schritte gegen Angreifer: So erhöhst du die Security deiner WordPress-Seite http://t3n.de/magazin/fuenf-schritten-wordpress-security-erhoehen-sicheren-235764/ 2014-10-28T13:02:09Z
WordPress ist in der Standardinstallation – also ohne Plugins und Themes von Drittanbietern – ein recht sicheres System. Aber allein aufgrund seiner großen Verbreitung ist es ein lohnenswertes …

ist in der Standardinstallation – also ohne Plugins und von Drittanbietern – ein recht sicheres System. Aber allein aufgrund seiner großen Verbreitung ist es ein lohnenswertes Ziel für Angreifer. Daher sollte sich jeder Betreiber einer WordPress-Website mit Sicherheitsaspekten auseinandersetzen.

WordPress: Sicherheit von Anfang an

Die Absicherung von WordPress fängt bereits bei der Installation an. So müssen WordPress-Nutzer schon beim Anpassen der Konfigurationsdatei (wp-config.php) Sicherheitsschlüssel auf der dafür eingerichteten Website generieren. Dabei sollte man sich die Mühe machen, sichere Schlüssel (Secret Keys) zu erzeugen und in die wp-config.php einzutragen – sie spielen später eine wichtige Rolle bei der Verschlüsselung der Login-Daten in den Cookies.

Auch während des Installationsprozesses lässt sich das Präfix für die Datenbanktabellen ändern. Standardmäßig steht hier „wp_“. Daraus wird später in der Datenbank zum Beispiel „wp_posts“ oder „wp_comments“. Wer das „wp_“ zu etwas Individuellem ändert – etwa „projektname_“ oder „ihr_name_“ –, macht seine WordPress-Anwendung zu einem schwerer zu fassenden Ziel für Angreifer. Auch für den Benutzernamen und das Passwort, das man beim Installationsvorgang für den Admin-Account eingeben muss, sollten sich WordPress-Installation etwas Individuelles überlegen, etwa den Vor- oder Spitzname. Aber auf keinen Fall sollten sie „admin“, „demo“, „test“, „wordpress“, „webmaster“ oder Ähnliches verwenden. Denn Brute-Force-Attacken sind unter anderem auf genau solche Nutzernamen spezialisiert. Bei der Wahl eines sicheren Passworts unterstützt Sie WordPress. Das von Ihnen angegebene Passwort wird in vier Sicherheitsstufen eingeteilt: sehr schwach, schwach, mittel und stark.

tec wordpress sicherheit wordpress passwortstaerke
Ausgefallene Benutzernamen und Passworte sind ein wichtiger Schutz. WordPress zeigt daher mit vier Signalen an, wie sicher ein Passwort ist.

Falsche Anmeldeversuche begrenzen

Auch mit Hilfe von Erweiterungen, die die Anzahl ungültiger Anmeldeversuche innerhalb eines festgelegten Zeitraums verhindern, lässt sich die Sicherheit einer WordPress-Installation erhöhen. Ein Beispiel eines solchen Plugins ist „Limit Login Attempts“.

Brute-Force-Angriffe probieren mit Hilfe purer Rechnerkraft so lange alle möglichen Kombinationen aus, bis sie die richtigen Nutzernamen und Passworte erraten haben. Eine Beschränkung der möglichen Login-Versuche pro Zeiteinheit in Verbindung mit einer Zwangspause für Anmeldungen macht es diesen Angreifern wesentlich schwerer.

Mit Sicherheit unterwegs bloggen

Wer oft von unterwegs aus schreibt, vielleicht sogar von wechselnden Rechnern aus, sollte dies nicht über den Administrator-Account tun. Sicherer ist es, einen Account mit Redakteur- oder Autoren-Rechten zu erstellen und mit diesem die Inhalte einzustellen.

Angreifer, die unterwegs genutzte Accounts hacken, erlangen somit keine administrativen Rechte, die zum Beispiel für die De- und Installation von Plugins und Themes notwendig sind. Sie können lediglich auf die Inhalte zugreifen. Bei regelmäßigen Backups kommt es so schlimmstenfalls zu einem minimalen Verlust. Viel ärgerlicher wäre es, wenn der Angreifer über die Admin-Rechte die WordPress-Installation in eine Viren- und Spam-Schleuder verwandeln würde.

tec wordpress sicherheit sicherheitsschluessel
Sicherheit beginnt bei der WordPress-Installation, etwa bei den Sicherheitsschlüsseln für das Anpassen der Konfigurationsdatei, die hier zu sehen sind.

WordPress: Plugins und Themes sicher einsetzen

WordPress-Plugins sollten generell nur mit Bedacht zum Einsatz kommen und nicht nach dem Motto „viel hilft viel“. Das hat zwei Gründe:

  1. Je größer die Anzahl der Plugins, desto wahrscheinlicher kommen sich diese untereinander in die Quere und/oder verlangsamen das System.
  2. Die allermeisten Plugins stammen von Drittanbietern. Viele dieser Autoren sind erfahrene Programmierer. Aber da es vergleichsweise einfach ist, ein zu entwickeln, erstellen auch viele ambitionierte Feierabend-Programmierer die Erweiterungen. Dabei kann ein Sicherheitsrisiko entstehen, denn nicht alle verstehen es, ihre Plugins auch tatsächlich sicher zu machen.

Alle eingesetzten Plugins sollten deshalb auch aus dem offiziellen Verzeichnis von WordPress stammen. Hier muss sich jeder Autor registrieren, der ein Plugin zur Verfügung stellen möchte. Ist irgendetwas an der Erweiterung nicht in Ordnung, wird das früher oder später jemandem in der großen Community auffallen und entsprechend auf der WordPress-Website kommentiert.

Auch die Anzahl der Downloads, die Zahl und Qualität der Bewertungen sowie die letzten zehn Foren-Beiträge auf der Übersichtsseite eines Plugins geben Anhaltspunkte für die Qualität eines Plugins und machen auf eventuelle Fehler oder Sicherheitslücken aufmerksam. Analog verhält es sich übrigens mit den Themes. Wer kostenlose Themes testen möchte, sollte sich diese ebenfalls aus dem offiziellen Verzeichnis holen.

tec wordpress sicherheit limit login attempts
Plugins wie „Limit Login Attempts” schützen vor Brute-Force-Attacken, indem sie nach einer bestimmten Anzahl von falschen Anmeldungen innerhalb einer bestimmten Zeit eine Zwangspause für einen Nutzernamen verordnen.

Auf dem Laufenden bleiben

Neue Updates für WordPress, Plugins und Themes sollte man der Sicherheit zuliebe immer möglichst zeitnah einspielen. Und natürlich sollten Betreiber einer WordPress-Website sicherheitsrelevante Nachrichten verfolgen. Hierfür eignen sich vor allem der deutsche oder der englische WordPress-News-Aggregator, um jederzeit gut gerüstet zu sein und notfalls schnell reagieren zu können.

Weitere Sicherheitsmaßnahme: Admin-Bereich absichern

Die fünf genannten Maßnahmen sind mehr als ausreichend und bieten einen guten Schutz gegen diverse Angriffe. Doch gibt es noch weitere Möglichkeiten. Zum Beispiel lässt sich die Login-Datei (wp-login.php) serverseitig absichern. Beim Apache-Webserver erstellt man dazu eine .htaccess- und .htpasswd-Datei, etwa mit dem Generator von All-Inkl. Komfortabler ist ein Plugin, das die WordPress-Installation mit einer so genannten Zwei-Wege-Authentifizierung nachrüstet.

Hier gibt es beispielsweise Clef oder auch Google Authenticator. Das Prinzip dahinter dürfte vielen bekannt sein: Neben den üblichen Zugangsdaten gibt man beim Einloggen auch noch einen Code ein, den ein Dienst oder eine App erzeugt. Angreifer müssen somit nicht nur die Zugangsdaten der WordPress-Installation kennen, sondern auch die des externen Dienstes. Logischerweise hilft ein solcher Dienst nur, wenn man verschiedene Passwörter verwendet.

Fazit

WordPress-Anwendungen lassen sich schon mit wenigen, schnellen Schritten viel sicherer machen. Das Fundament ist die sichere Installation: der Einbau der Sicherheitsschlüssel, die Wahl eines individuellen Nutzernamens und eines sicheren Passworts sowie ein individuelles Präfix für die Datenbank-Tabellen.

Mit einer Erweiterung wie „Limit Login Attempts“ begrenzt man zudem die ungültigen Anmeldeversuche und hält so automatische Angreifer auf Abstand. Blogger, die viel unterwegs sind, sollten sich einen separaten Redakteurs- oder Autoren-Account zulegen. Wer sich dann auch noch zu neuen Sicherheitsaspekten auf dem Laufenden hält, sorgt dafür, dass die Sicherheit seiner WordPress-Installation auch künftig gewährleistet bleibt.

Zudem gibt es noch viele weitere Maßnahmen, um die Sicherheit bei WordPress zu erhöhen. Dazu gehören zum Beispiel der serverseitige Passwortschutz für die Login-Datei oder Plugins, die die WordPress-Installation um eine Zwei-Wege-Authentifizierung erweitern.

NEU: Lass dir diesen Artikel vorlesen
Ein Service von t3n, in Kooperation mit Narando.
]]>
Vladimir Simovic