Rappelsnut

Wandern, Punkrock und der ganze Rest

Das Weblog

  • Zwei-Faktor-Authentifizierung für WordPress

    Keine Drittanbieter, keine weiteren Apps, keine dubiosen SMS- oder Messenger-Nachrichten.

    Ein neues Plugin von Sergej Müller ermöglicht auf simple und unkomplizierte Weise die doppelte Authentifizierung für den eigenen WordPress-Login. 2-Step Verification setzt dabei auf Mail – der Sicherheitscode wird per Email gesendet und erst wenn dieser Code (verfällt nach fünf Minuten!) korrekt eingegeben wurde erfolgt der Zugang zum Admin-Bereich.

    Das taufrische Tool verwendet aktuell die im Backend hinterlegte Email-Adresse, wird zukünftig aber wohl auch eine davon abweichende akzeptieren. Bei Problemen braucht es einen FTP-Zugang – um den Plugin-Ordner umzubenennen oder zu löschen.

    Voilà! (via)

  • Kommentieren nicht möglich

    Der 14 Tage andauernde Monolog in diesem kleinen Weblog kam mir nun doch etwas merkwürdig vor …

    Ein kurzer Check und die Erkenntnis: die Kommentarfunktion arbeitet schlicht und einfach nicht mehr. Im Fazit der Fehlersuche (ein Plugin-Konflikt liegt auf der Hand) meine ich den Übeltäter klar benennen zu können: AntiSpam Bee. Nach der Deaktivierung des Plugins lässt sich wie gehabt wunderbar diskutieren. Ich hoffe also auf ein baldiges Update – so sich denn diese, meine erste Vermutung bestätigen sollte.

    Ganz ohne Spam-Blocker geht es bis dahin allerdings auch nicht. Akismet kommt aus Datenschutzgründen nicht in Betracht – somit schien mir ein Wechsel auf NoSpamNX sinnvoll. Nach dessen Installation trat das Problem jedoch erneut auf – es ließen sich keine Kommentare abgeben. HIMMELARSCHUNDZWIRN!

    Um es kurz zu machen: im Fazit kommt hier nun Anti-spam zum Einsatz. Für den Moment funktioniert alles wie gewohnt und ich hoffe auf eine sorgfältige Filterung der Kommentare. Wer zur Problematik etwas Konstruktives beitragen möchte darf dies natürlich gerne tun.

  • Rename wp-login

    Thema WordPress, Thema Sicherheit …

    Jeder, der auf WordPress setzt und halbwegs am Thema interessiert ist, weiß um die im Verlauf dieses Jahres extrem forcierten Angriffe auf das System. Es handelt sich hier zumeist um sogenannte BruteForce-Attacken gegen das Administrations-Panel – wobei die Angreifer versuchen, sich mit dem Standard-Benutzer „admin“ einzuloggen. Bei Erfolg wird im Backend eine Backdoor eingerichtet, über die weitere WordPress Blogs attackiert werden. Ziel ist der Aufbau eines Botnetzes – schon klar.

    Was kann ich tun?

    Die erste, notwendige Maßnahme zum Zwecke der Sicherheit sollte neben einem sicheren Passwort die Anlage eines neuen Benutzers mit anderem Namen sein, um alsdann den Standard „admin“ zu löschen.

    Zum Zweiten empfehle ich die Installation des populären Plugins Limit Login Attempts, über welches die Zahl der Anmeldeversuche festgelegt werden kann. Zudem dokumentiert es in einem Protokoll die durchgeführten Anmeldeversuche und erfolgten Sperrungen. Über diese auch für dieses kleine Weblog beeindruckend lange Liste lässt sich schnell erkennen, dass in der Vielzahl der Fälle tatsächlich versucht wird, über den oben erwähnten „admin“ Zugang zu erhalten (es folgen der Seiten-Titel und „administrator“).

    Und damit komme ich zur dritten Empfehlung – um endlich auf den Punkt zu kommen und etwas Neues zu sagen. Das noch relativ neue, kongeniale Plugin Rename wp-login.php erlaubt euch die Umbenennung der Login-Seite eurer Installation. Von Hause aus ist diese unter … /wp-login.php zu erreichen – nach der Aktivierung des Plugins erreicht ihr sie über den Pfad eurer Wahl. Der neuerliche Aufruf der Standard-Login Seite wird nun mit dem Fehler 404 Not Found belohnt. So simpel wie effektiv!*

    In Summe halte ich diese drei Maßnahmen für ausreichend. Bei weitergehendem Interesse empfehle ich einen Blick auf Wordfence Security – ein opulentes Tool mit zusätzlichen Funktionen.

    (* schöner Tipp via)

  • Lazy Load WordPress-Plugin

    WordPress-Guru Sergej Müller beglückte uns dieser Tage mit einem neuen und für mich durchaus bemerkenswerten Plugin.

    Unveil für WordPress dürfte die Performance eures Weblogs deutlich optimieren, so ihr dieses in steter Regelmäßigigkeit mit allerlei Bildern füttert (Vorraussetzung ist der Upload über die Mediathek, via Flickr oder anderswo abgelegte und eingebundene Bilder werden nicht berücksichtigt).

    Nach der Aktivierung des Plugins werden mit dem Aufruf eines Eintrags nicht dessen sämtliche Bilder zugleich geladen, sondern nur die für die erste Ansicht benötigten. Scrollt der Betrachter dann nach unten, werden die folgenden Bilder dynamisch nachgeladen. Der Vorteil liegt damit klar auf der Hand – Blogseiten laden deutlich schneller, da viele Grafiken erst bei Bedarf geladen werden – ein Performance-Gewinn par Excellence!

    Mit Wissen um die Sachkenntnis und Zuverlässigkeit des Entwicklers sollte einem dauerhaften Einsatz also nichts im Wege stehen …

    Siehe auch: Lazy Loading – Begriffserklärung.

  • Kommentar-Blacklist für WordPress

    Kommentar-Spam nervt endlos. Antispam Bee arbeitet hier zwar vorzüglich – trotzdem rutschen ab und an einige Spammer durch das Raster. Warum also nicht auch mit hauseigenen Mitteln zuarbeiten und die eingehenden Kommentare über eine Kommentar-Blacklist zusätzlich filtern?

    Bei GitHub ist eine umfangreiche Liste zu finden. Diese einfach kopieren und in den Einstellungen unter Diskussion: Kommentar-Blacklist einfügen. So einfach ist das, und schaden kann das nimmer …

    Schöner Tipp von misu.

  • WordPress sendet keine Benachrichtigungen

    Seit dem Umzug auf den neuen Server und der damit verbundenen Neuinstallation klappt das mit den Benachrichtigungen im Falle eines neuen Kommentars nicht mehr, sprich: es kommt einfach nichts an.

    Das Häkchen im Backend ist korrekt gesetzt und ja, ich habe es auch schon mit unterschiedlichen Email-Adressen probiert. Bis dato war es mir dieser Umstand relativ egal, da ich ohnehin und beinahe täglich einen Blick in das Dashboard werfe. Doch nun ist es genug, es sollte doch bitte schön alles im Sinne der Erfinder funktionieren.

    Wer also einen diesbezüglichen Tipp hat – ich bin ganz Ohr.

  • Webspace am Limit

    Vielleicht ist es jemandem aufgefallen: in der vergangenen Woche gab es auf dieser Webseite arge Performance-Probleme. Vorhandene Bilder im Browser laden, im WP-Editor bearbeiten und/ oder ersetzen, neue Fotos hochladen – nichts ging mehr. Text-Passagen ließen sich noch editieren, das war es dann aber auch schon. Jeder neue Upload endete mit einer für mich irritierenden Fehlermeldung à la

    “Bassmusikant.jpg” konnte wegen eines Fehlers nicht hochgeladen werden Die Datei ist leer. Dieser Fehler kann daher rühren, das Uploads in deiner php.ini deaktiviert wurden, oder das in deiner php.ini „post_max_size“ einen kleineren Wert hat als „upload_max_filesize“.

    Hallo?! Nachdem ich mich einen weiteren Tag in aller Ausführlichkeit mit den installierten Plugins beschäftigt habe (ohne Problemlösung, versteht sich) nahm ich Kontakt zum Hoster auf – mit der Bitte um Hilfe. Und siehe da – des Rätsels Lösung war so einfach wie banal: der Webspeicherplatz war einfach voll.

    Aha. … Hm.

    Im Zuge der Problemlösung ließen sich dann vor allem zwei Ordner als Übeltäter benennen: das vorhandene Backup nebst dem WordPress eigenen Upload-Verzeichnis (ca. 600 MB), in welchem sich teilweise bis zu 40 (!) Kopien der einmal hochgeladenen Bilder fanden.

    Fazit: veraltete Backups sollten ab und an dann doch gelöscht werden. Zudem macht es für mich nach wie vor Sinn, Fotos von externen Diensten (hier: Flickr) einzubinden. Und last, but not least: Webspace-Anbieter vergleichen und über einen Umzug oder einen anderen Tarif beim aktuellen Hoster (klick) nachdenken.

    Und ihr so?

  • WordPress: Beitragsbild im RSS Feed

    Es ist für mich nicht nachvollziehbar, weshalb diese simple Funktion nicht von Hause aus in WordPress integriert ist …

    Mag sein, dass es inzwischen auch andere Lösungen gibt, aber das Plugin Add featured image to RSS feed macht genau das, was der Name besagt: es fügt das gewählte Beitragsbild dem blogeigenen RSS Feed hinzu. Ich bin begeistert …

    Vorausgesetzt ist natürlich, dass dein Theme die “Featured Image” Funktion überhaupt unterstützt.

  • WordPress: Slim Jetpack

    Mit Slim Jetpack ist unlängst eine bemerkenswerte Alternative zur bekannten Jetpack-Erweiterung von Automattic erschienen.

    Wie bekannt, hat diese diverse Tools zu bieten, welche die Funktionalität der WordPress.com-Community auf selbstgehostete Blogs überträgt. Voraussetzung für die Nutzung ist allerdings ein WordPress.com Account. Viele User lehnen diese externe Registrierung jedoch ab, prinzipiell und aus anderen, gewichtigen Gründen. Beispielsweise verfüge ich über mehrere WP.com Konten, deren leider notwendige Anmeldung mich jedes Mal aufs Neue zur Weißglut bringt (was jetzt das Account-Name-Passwort-Chaos meint).

    Mit Slim Jetpack hat sich das Prozedere nun erledigt, es ist keine Registrierung mehr notwendig und alle Accounts werden gelöscht. Die eigenständige Sammlung enthält bereits 13 der bekannten Module und wird stetig erweitert. Wer zur Zeit auf die wordpress.com Statistik, Abonnements oder Push Benachrichtigungen nicht verzichten kann muss jedoch weiterhin das Original nutzen. (Schöner Tipp via)

  • WordPress: Weiterlesen auf den Anfang

    Ich mag es nicht, wenn die Artikel eines Blogs schon auf der Startseite in aller Länge und Ausführlichkeit zu sehen sind, und greife daher gerne auf den more-Tag zurück. Mittels weiterlesen-Link gelangt der interessierte mensch somit nach dem Anriss zum eigentlichen Artikel – allerdings nur zum Punkt der zuvor definierten Trennung, nicht zum Anfang des Eintrags – was meines Erachtens wiederum unschön wirkt.

    Das Plugin Weiterlesen auf den Anfang bietet hier Abhilfe: es setzt den weiterlesen-Verweis konsequent auf den Beginn eines jeden Eintrags – und das ist gut so. (Danke!)