Wordpress

In frühen Zeiten von WordPress war es üblich den Zugang zum Backend mittels einem Link im Footer oder in der Seitenleiste zu generieren. Viele Bloginhaber haben tatsächlich derzeit noch den Link anmelden sichtbar auf ihrer Seite stehen. Ich gebe zu – ich vor kurzem auch. Natürlich ist das praktisch und bequem, für potenzielle Angreifer allerdings auch. Man dokumentierte sozusagen bereits auf der ersten Seite wo die Haustür ist. Wer dann noch den vorgegebenen Benutzernamen admin verwendete, der machte es einem ungebetenen Gast nur allzu leicht, mittels einer Brute-Force-Attacke den Zugang zum WordPress Backend zu knacken.

Um die Sicherheit von WordPress zu erhöhen gibt es inzwischen einige Möglichkeiten. Ich gebe zu, sie bis dato nicht genutzt zu haben – solange bis mir der Provider mitteilte, dass man mehrere hundert Logversuche in kürzester Zeit auf meiner Seite registriert hätte und ich doch schnellstens meine Seite absichern sollte.

Das Plugin WPS Hide Login verschleiert zumindest schon mal den Eingang; der Aufruf meine-seite.de/admin oder meine-seite.de/wp-login.php führt zu einer Fehlermeldung statt wie üblich zur Einlogmaske von WordPress.

Den Pfad zu Backend kann man unter Einstellungen im Plugin selbst festlegen. Also z.b. meine-seite.de/HgzBvWp20213dr. Der Login funktioniert danach nur noch mit diesem Link. Sollte der vergessen werden, hilft es das Plugin via FTP abzuschalten, dann funktioniert auch wieder wp-login.php.

Das WP-Plugin Rocket ist zeifelsohne eines der besten Plugins, wenn es darum geht, die Performance der eigenen Webseite zu optimieren. Es übernimmt mit einem Mauklick das Caching der Seite, die Optimierung von CSS und Javascript, das Vorladen von Bilddateien usw. Alles Dinge die natürlich auch händisch funktionieren, aber doch eines großen Aufwands bedürfen. Das Plugin ist nicht umsonst. Das Unternehmen verkauft eine Lizenz für ca. 50 Dollar, was soweit auch in Ordnung ist. Nicht in Ordnung ist aus meiner Sicht die Werbung als Kommentar im Quelltext unten auf der Seite:

This website is like a Rocket, isn't it? Performance optimized by WP Rocket. Learn more: https://wp-rocket.me

Wenn ich bereit bin für etwas zu bezahlen, brauche ich dafür keine Werbung machen, oder? Jedenfalls ist es nicht so einfach die Kommentierung zu entfernen. Das Suchen danach in den php-Dateien des Plugins erweist sich als Suche nach der Nadel im Heuhaufen. Es gibt aber noch eine andere Lösung, nämlich die der Anweisung in der config-php. Mit der Funktion

define(‚WP_ROCKET_WHITE_LABEL_FOOTPRINT‘, true);

in der wp-config ändert sich die Werbebotschaft im Footerbereich des Quelltextes in den Text:
Cached for great performance

Damit kann ich leben.

Ein Problem mit dem man bei WordPress häufig zu tun hat, ist das Login Redirect Phänomen. WordPress lässt einen trotz richtiger Eingabe des Benutzernamens und Kennwort nicht mehr ins Backend. Es wird einfach immer die Login-Seite neu präsentiert und das ohne Fehlermeldung. Oft ist ein Plugin schuld oder die Browsereinstellungen lassen keine Cookies zu.

Bei mir war es eine Weiterleitung auf eine andere Domain, die logischerweise dazu führte, dass WP zwar in der richtigen Konfiguration aber unter anderer Domain dazu veranlasste, den Zugang zu sperren.

Abhilfe schafft ein kleiner Eintrag in die WP-Config. Hier einfach die Seiten URL mit nachfolgendem Code ergänzen:

define(‚WP_HOME‘,’http://xyz.de‘);
define(‚WP_SITEURL‘,’http://xyz.de‘);

xyz.de ist natürlich mit der aktuellen URL zu ersetzten. WP-Config wieder auf den Server laden und schon müsste WordPress den Zugang freigeben.

Falls es nicht eine neue Domain sein sollte, mit der WordPress nichts anzufangen weiß, ist meist ein fehlerhaftes Plugin Schuld. In dem Fall per ftp alle Plugins löschen, anschließend einloggen und ein Plugin nach dem anderen wieder installieren. Bei jedem Plugin neu einloggen. Irgendwann sollte so der Übeltäter ausfindig gemacht werden können.

In WordPress gibt es die Export/ Importfunktion für Beiträge aus einem anderen Blog, möglich ist damit natürlich auch eine Sicherung, die beim Crah neu eingespielt werden kann. Auch gibt es zahlreiche Plugins für die Datensicherung der Artikel, Bilder und Kommentare. Die einfachste Methode scheint mir das Exportieren und Importieren der gesamten Datenbank über phpMyAdmin.

Dazu die Zieldatenbank beim Hoster über phpMyAdmin aufrufen, in der Menüzeile auf exportieren klicken und die Backup-Datei als .sql auf dem PC speichern. Im Anschluss kann dann die Backup-Datei in die neue Datenbank eingepflegt werden.

Die heruntergeladene Datei mit einem Texteditor öffnen und unter der Zeichenfolge CREATE DATABASE %Datenbankname% oder USE %Datenbankname den Namen der neuen Datenbank eintragen und abspeichern

Dann die neue Datenbank unter phpMyAdmin aufrufen, im Menü auf Importieren klicken und die geänderte .sql Datei auswählen. Der Vorteil ist, dass in der Regel tatsächlich alle Beiträge, Bilder und Kommentare übernommen werden.

Wenn alles funktioniert, kann die alte Datenbank gelöscht werden. Diese Vorgehensweise empfiehlt sich übrigens auch bei einem Update der MySQL-Version.

Kleine Ursache, große Wirkung. Einige Browser (Chrome, IE, Opera) zeigen die über die Stylesheets eingebundenen Schriften nicht an, wenn nicht sichergestellt ist, dass der Importbefehl, also beispielsweise:
@import url('https://fonts.googleapis.com/css?family=Work+Sans:200,300&subset=latin-ext');

als erste Anweisung in der style.css des child-themes steht.