Sicherung Archive

WordPress Update 3.1.3 ist draussen

Es gibt ein Update für deine WordPress Installation, in Version 3.1.3 werden etliche Sicherheitslöcher gestopft:

Various security hardening by Alexander Concha.
Taxonomy query hardening by John Lamansky.
Prevent sniffing out user names of non-authors by using canonical redirects. Props Verónica Valeros.
Media security fixes by Richard Lundeen of Microsoft, Jesse Ou of Microsoft, and Microsoft Vulnerability Research.
Improves file upload security on hosts with dangerous security settings.
Cleans up old WordPress import files if the import does not finish.
Introduce “clickjacking” protection in modern browsers on admin and login pages.

Komplette Changelog findet ihr hier.
Ihr solltet, wenn möglich, das Update schnell einspielen, habe läuten gehört, dass einige der Lücken ausgenutzt werden.

Update geht am einfachsten über das Dashboard – aber auf keinen Fall vergessen vorher ein Backup zu machen, siehe auch mein Post:

Datensicherungen ja nein wie und warum

Zum automatischen Backup deiner Installation empfehle ich das Plugin BackWPup – natürlich vor dem Update installieren und dann manuell eine Sicherung fahren!

WP 3.1.3 Changelog | Datensicherungspost | BackWPup

Top 11 der Must have WordPress Plug-Ins

WordPress ist eine feine Sache, super Software zum Verwalten eines oder mehrerer Blogs. Ein besonderes Merkmal ist die Erweiterbarkeit mit Plug-Ins. Davon gibt es etliche bei WordPress.org (derzeit 14156 Stück) – einige davon sind echte Must Haves für jedes Blog.

Ich liste hier meine Top Liste der nützlichsten WordPress Plug-Ins die in keinem Blog fehlen sollten und die ich in allen meinen Blogs installiert habe.

Ich würde mich freuen, wenn ihr mir in den Kommentaren hinterlassen würdet welche Plug-Ins ihr für wichtig und ‘Must have’ haltet. Es gibt so viele Plug-Ins, dass man die ein oder andere Perle sehr schnell übersieht.

Hier meine Top 11 Liste:

1. Antispam Bee – Das WordPress Plug-In gegen SPAM Kommentare

wordpress-plugins-antispambee

Dieses Plug-In verhindert zuverlässig den lästigen Spam in deinem Blog. Es ist eine Entwicklung von Sergej Müller der auch für einige andere Interessanten Plug-Ins verantwortlich zeichnet. Antispam Bee hat viele Vorteile gegenüber anderen Antispam Plug-Ins, exemplarisch ist hier der Platzhirsch Akismet genannt, hier eine Übersicht zwischen den Plug-Ins (Quelle: Antispambee Webseite):

Akismet Antispam Bee
Kostenlose Nutzung Nein Ja
Keine Speicherung der Daten im Ausland Nein Ja
Anonyme Nutzung ohne externe Listen Nein Ja
Keine Registrierung notwendig Nein Ja
Prüfung von Trackbacks Nein Ja
Benachrichtigung bei neuem Spam Nein Ja

 

Obwohl das Hersteller Angaben sind muss ich sagen, dass es noch wesentlich mehr Vorteile gibt. Kurz gesagt, Antispam Bee funktioniert einfach einfach. Punkt.

2. BackWPup – Datensicherung von WordPress Installationen

wordpress-plugins-backwpup

Datensicherung ist das a und o deiner WordPress Installation. Besonders wichtig ist, dass die Sicherung auf ein anderes System erfolgen kann, so sollte man sichern wenn man wirklich im Notfall noch etwas zur Hand haben möchte. BackWPup erstellt Backups der Installation, man kann anfangen bei Datenbank Backups – aber man kann auch Dateien, Themes und Plug-Ins sichern, hier hat man die Wahl was alles gesichert werden soll.

Sicherungen können lokal angelegt werden, aber auch auf entfernte System geschrieben werden – hier stehen etliche Systeme zur Auswahl, darunter FTP Server, Amazon S3, Microsoft Azure, Rackspacecloud oder Dropbox.

Das ist sehr praktisch besonders weil sich mehrere Jobs anlegen lassen. So lasse ich meine Datenbank auf Amazon S3 schreiben, die Files (ohne Themes und Plugins) auf einen anderen FTP Server.

3. German Slugs

Sehr schmales Plug-In, macht auch nicht viel, ist aber für ein Deutsches Blog sehr wichtig. Wenn man im Titel Umlaute verwendet, dann ersetzt dieses Plug-In im Slug (PostURL) die Umlaute – aus ä wird dann ae, aus ß wird ss etc.

4. Google (XML) Sitemap Generator

Mit diesem Plugin erstellt man eine XML Sitemap seiner WordPress Installation. Diese kann man dann für Google, ask.com, Yahoo und Bing nutzen. Der Vorteil ist, dass die Suchmaschinen eine Sitemap erhalten welche sie direkt verwenden können. Schnell Indizierung der neuen Posts und Seiten ist damit kein Problem mehr.

5. No Self Pings

Ein weiteres ziemlich kleine Plug-In was dennoch sehr nützlich ist. Es verhindert, dass man seine eigenen Posts pingt, das sieht doch irgendwie ziemlich dämlich aus wenn man in den Posts dann Trackbacks zu seinem eigenen Blog findet. Angeblich mag Google das auch nicht wirklich.

6. Simple Tags

wordpress-plugins-simpletags

Dieses Plug-In liefert nicht nur einfach Tags, es kann noch viel mehr, zum Beispiel Related Posts, Tag Cloud fürs Blog, Tags für den aktuellen Beitrag und und. Man kann auch per verschiedener APIs bei Tag Diensten suchen, nutze ich persönlich allerdings nicht. Aber mit Simple Tags kann man schnell und einfach mehrere Zwecke erschlagen.

7. Smart 404

Smart 404 kann Fehleingaben der User in URLs korrigieren und die Besucher auf das richtige Post schicken. Funktioniert nicht immer, aber in den meisten Fällen landet man auf dem korrekten Post selbst wenn man sich vertippt hat. Das ist schicker als die schönste 404 Seite, keine Frage

8. Tiny MCE Advanced

Mit diesem Plug-In wird der WYSIWYG Editor in WordPress erweitert, man kann Font Größe und Familie wählen, Tabellen anlegen und editieren, Suchen und Ersetzen bei der Eingabe und und und.

9. WP-Slimbox 2

Zu Lightboxen kann man geteilter Meinung sein, einige halten sie für überflüssig, ich finde sie immer noch sehr schick, wenn sie denn gut funktionieren. Auch sehr wichtig ist, dass so eine Lightbox klein ist und nicht 400kb Javascript mitbringen (einie Lightbox Plug-Ins machen genau das). Slimbox 2 ist eine sehr schlanke Lightbox, bringt kaum Javascript mit uns nutzt jQuery Framework was bei eurer WP-Installation höchst vermutlich eh enthalten ist. Ich hatte vorher andere Lightboxen genutzt, aber Slimbox 2 ist eindeutig meine derzeitige Empfehlung.

10. WP-SEO (paid)

wpSEO optimiert Blogs für Suchmaschinen - automatisch und effizient.

WP-Seo ist das einzige hier vorgestellte Plug-In welches kostenpflichtig ist. Programmiert wurde es von Sergej Müller, der auch oben für Antispam Bee Entwickler ist. Ab 19,99 EUR erhält man ein Deutsches Plug-In welches sich um die SEO Belange des Blogs kümmert – und zwar sehr gut und effizient. Es gibt auch kostenfreie Plug-Ins welche das Gleiche leisten, aber ich habe mich dann doch entschieden wp-seo zu kaufen, es funktioniert einfach und ist selbst für nicht SEO Profis leicht zu verstehen und zu konfigurieren. Letzen Endes sind 20.- EUR wesentlich weniger als einen SEO Profi zu beauftragen.

11. W3 Total Cache

Last but not least: w3 Total Cache – das Plug-In zum Beschleunigen deines Blogs. Ich habe ausführlich darüber geschrieben, daher hier nur die Empfehlung und der Link zu meinem Post

Datensicherungen–ja–nein–wie und warum?

data_backupDatensicherheit und Backup ist ein wichtiges Thema, wer möchte schon plötzlich ohne seine ganzen Daten, Informationen und Fotos da stehen.

Die Menge an Digitalen Daten, welche wir meinen zu benötigen, steigt stetig an. Ich behaupte jetzt mal, dass da viel Bit Müll dabei ist, aber eben auch etliche Dinge welche man nicht verlieren möchte.

Daher ist eins wirklich wichtig – die Datensicherung. Das ist beileibe kein neues Thema, Datensicherung ist aktuell seit es Computer gibt, aber viele Nutzer verkennen die Lage und stehen plötzlich vor einem Desaster.

Ich möchte einmal aufzeigen was man beachten und bedenken sollte, und in der Folge werde ich dann verschiedene Wege präsentieren wie man seine Sicherung erledigen kann.

Warum benötigt man eine Datensicherung?

Man möchte wie gesagt seine Daten vor Verlust schützen, dieser Verlust kann durch verschiedene Umstände eintreten:

  • Datenkorruption (logische Zerstörung der Daten)
  • Hardwaredefekt (physikalische Zerstörung der Daten)
  • Umwelteinflüsse (Feuer, Hochwasser, Erdbeben)
  • Hardwareverlust (Diebstahl, Verlieren eines Notebooks)
  • Menschlicher Fehler (versehentliches Löschen)

All dieses kann dazu führen, dass wichtige Daten nicht mehr vorhanden sind, Daten von denen vielleicht viel abhängt oder Daten die sich nicht wieder neu erstellen lassen – ich nenne hier mal die digitalen Fotos, wer möchte schon seine Kinderbilder verlieren.

Welche Arten der Datensicherung gibt es?

Man kann seine Daten auch ganz verschiedene Arten sichern, ich fange meine Einteilung mit 2 verschiedene Arten an, der Sicherungen im gleichen Brandabschnitt und der Sicherungen in einem anderen Brandabschnitt. Das Wort Brandabschnitt findet man üblicherweise nur im gewerblichen Umfeld, aber ich finde, das Prinzip lässt sich heutzutage sehr einfach auf das private Umfeld übertragen:

  • Datensicherung zu Hause
  • Datensicherung in der Cloud

Wenn man sich hier für einen Weg entschieden hat, dann folgen weiter Entscheidungskriterien die bei beiden Wegen dann wieder gleich sind:

  • wo sichere ich
  • wie sichere ich
  • was sichere ich

Wir müssen also den Ort der Sicherung festlegen, dann die Methode mit der wir sichern wollen und dann noch auswählen was genau wir sichern möchten (oder eben nicht sichern möchten).

Datensicherung zu Hause

Der erste Weg führt uns zur Sicherung zu Hause, das ist schon mal bedeutend sicherer als gar keine Sicherung zu verwenden, aber ich habe immer noch das Problem, dass z.B. bei einem Feuer in der Regel die Sicherung mit vernichtet ist.

Wenn du deine Daten zu Hause sicherst, dann gibt es die verschiedensten Möglichkeiten dieses zu tun:

  • Backup auf eine andere Platte
  • Backup auf CDs/DVDs
  • Backup auf Band
  • Backup auf einen anderen PC/Server oder NAS

Jede Art hat Ihre Vor und Nachteile, die Sicherung auf ein Band bietet in der Regel den Vorteil, dass man die Bänder auch in einen anderen Brandabschnitt verbringen kann, was die Sicherheit erhöht. Bandsicherungen sind aber langsamer als Sicherungen auf andere Festplatten, das merkt man spätestens beim Rückspielen einer inkrementellen Sicherung.
Sicherungen über Festplatte sind relativ günstig, Platten kosten ja nix mehr, und auch hier kann man die Platte per USB oder eSATA anschließen und ebenfalls in regelmäßigen Abständen in einen anderen Brandabschnitt bringen.
Die Sicherung auf ein NAS ist schick, schnell und praktisch, aber teurer als die anderen Möglichkeiten. Dafür kann ein NAS dann auch die Sicherungen von mehreren Clients enthalten. Wenn Ihr ein NAS nutzen möchtet, dann investiert auf jeden Fall in ein vernünftiges System mit mindestens Raid 5.

Datensicherung in der Cloud

Ein großes Thema seit einigen Monaten sind die Cloud Dienste welche Speicherplatz bieten. Manche Anbieter bieten explizit Platz für Datensicherung an, andere bieten einfach Platz satt an, welcher sich auch für Sicherungen nutzen lässt.

Die Vorteile von Cloud Diensten liegen auf der Hand, sollte deine Hütte abbrennen, dann ist eben dein Backup nicht verloren.
Der Nachteil von solchen Cloud Diensten ist ebenso offensichtlich. Man überträgt jemandem seine privaten Daten, meistens weiß man nicht einmal wo seine Daten landen. Es gibt etliche Anbieter die nicht in Deutschland sitzen, auch die Daten liegen womöglich in einem anderen Land (das kann ein Vorteil oder ein Nachteil sein).

In jedem Fall muss man sich Gedanken darüber machen welchem Anbieter man vertraut und wie man seine Daten vor unberechtigte Nutzung schützen kann (Verschlüsselung).
Anbieter vergleichen, Testberichte lesen, Preise vergleichen und vorher festlegen was man für sich selbst von einem Dienst erwartet – das sind quasi die Grundvoraussetzungen zur Cloud Nutzung.

Ich persönlich finde Cloud Sicherungen von der Idee her sehr gut, daher werde ich in den nächsten Wochen hier einige solche Dienste vorstellen und testen was die Anbieter tatsächlich leisten.

Wie sichere ich – was sicher ich und wann sichere ich?

Egal wo ich sichere, ich muss die Daten auch irgendwie dazu überreden in meine Sicherung zu hüpfen, das nennt sich dann Sicherungssoftware :)

Auch hier wieder gibt es etliche Anbieter, kleine und große, gute und schlechte, billige und teure. Leider gibt es keine Eierlegende Wollmilchsau, aber ich werde auch hier in den nächsten Wochen einige Softwarelösungen vorstellen.

Bei den Cloud Anbietern erhält man oftmals einen Client mit geliefert,der sich dann um die Sicherung kümmert. Diese lassen sich in der Regel auch einfach einrichten und dann nach dem Motto ‘set and forget’ behandeln.

Bei der Frage nach dem ‘was soll ich sichern’ wird man oft durch die Software unterstützt. Hier werden dann Vorauswahlen getroffen. Diese sind sehr häufig in Gruppen organisiert (Dokumente, Fotos, Systemdaten….) und bieten für einen schnellen Einstieg eine gute Grundlage. Generell sollte man darauf achten, dass man unnütze Datenmengen von der Sicherung ausschließt.

Bei den Sicherungen muss man dann auch noch auswählen ob man Vollsicherungen oder inkrementelle Sicherungen durchführen möchte.
Das sind die klassischen Sicherungsmethoden – diese werden mit den aktuellen Techniken sehr häufig durch CDP (Continous Data Protection) ähnliche Methoden ersetzt. Hier wird im Prinzip jede Änderung an zu sichernden Daten direkt übermittelt. Man macht dann nicht mehr nachts eine Sicherung sondern ein Sicherungsclient läuft permanent und sichert direkt nach Änderung einer Datei.
Das kann dann noch mit unterschiedlichen Techniken kombiniert werden (Reverse Delta, Deduplizierung etc.) – ein Beispiel ist die Apple Time Machine.

Oftmals liefern die Cloud Anbieter noch weitere interessante Features mit Ihren Diensten wie Sync oder Share – damit lassen sich dann z.B. Ordner zwischen verschiedenen Computern synchronisieren oder Dateien mit Freunden teilen.

 

Stay tuned:
Datensicherung ist ein wichtiges Thema – Schaut also in den kommenden Tagen auf jeden Fall hier wieder rein und holt euch Tips ab!

Slowloris Attacken abwehren mit CSF Firewall auf Linux Servern

Wenn ihr einen Linux Server betreibt und dort ein Apache installiert habt, dann könnte es euch passieren, dass jemand eine DOS Attacke auf euren Server fährt und dazu das Slowloris Skript nutzt.

Das ist weder nett noch legal – aber einige Leute interessiert das ja nicht. Das Skript macht nichts anderes als viele parallele Anfragen an deinen Server zu senden, diese werden sehr langsam und in Teilen gesendet und die Anfrage wird nicht beendet. Somit werden die Apache Slots belegt und dein (Web)Server ist nicht mehr zu erreichen.
Ihr könnte euch gegen diese Attacke wehren indem ihr eine gepatchte Apache Version einsetzt oder ein entsprechendes Mod einsetzt (Debian Beispiel). Ihr könnt diese Anfragen aber auch per IPTABLES blocken. Dazu benötigt ihr logischerweise einen Server der IP Tables unterstützt.

Wenn ihr nicht die absoluten Cracks seid, dann empfehle ich euch ein Firewall Skript, das Beste was ihr finden könnt ist ConfigServer Security & Firewall – das Skript ist kostenlos, funktioniert tadellos und ist relativ einfach zu installieren und konfigurieren.
Logischerweise könnt ihr damit auch etwas gegen Slowloris unternehmen, sonst würde ich das ja nicht schreiben :)

Dazu setzt ihr folgenden Eintrag unter dem Punkt ‚Portflood‘ in der csf.conf:

PORTFLOOD = „80;tcp;20;5″

Das bedeutet, dass auf Port 80 eingehende TCP Verbindungen geloggt werden. Wenn mehr als 20 Verbindungen (per Quell IP) innerhalb von 5 Sekunden eingehen, dann wird die Quell IP für 5 Sekunden geblockt.

Diese Einstellung sollte den ‚normalen‘ Webtraffik nicht beeinflussen, schützt aber sehr effektiv gegen Slowloris Angriffe.

Wenn du csf bereits vorher installiert hast und keine Portflood Einstellungen vorgenommen hast, dann kannst du das folgende Skript nutzen um auf der Shell die Einstellungen vornehmen zu können. Ist besonders hilfreich, wenn du mehr als einen Server updaten musst :)

cp -r /etc/csf/csf.conf /etc/csf/csf.conf.org
sed -i ‚s/PORTFLOOD = „“/PORTFLOOD = „80;tcp;20;5″/g‘ /etc/csf/csf.conf/
etc/init.d/csf restart

dabei wird eine Sicherungskopie (csf.conf.org) erstellt und die Einstellung angepasst.

Dein WordPresstheme unterstützt keine Shortcodes? Hier sind einige!

Wer kennt nicht diese schicken Boxen in einigen Blogs:

Ich bin eine Information

Ich bin eine Warnung

Ich bin ein Download

Ich bin eine Notiz

Möchstes du sowas auch in deinem WordPress Blog nutzen, aber dein Theme bietet dir keine solchen Stylesheets?