Weihnachtsputz und andere Update Geschichten – Backstage sozusagen

WP Updates, Sicherheitscheck und andere Backstags Geschichten

WP Updates, Sicherheitscheck und andere Backstags Geschichten

Update Wahn hatte ich diese Woche, anders mag ich es nicht bezeichnen. Das obige Bild stimmt 100%, diese nette Administratorin bin ich, mein Kaffeekonsum erweiterte sich unerheblich oder so. In meinem Fundus an WordPress Installationen [oder auch bei anderen] befinden sich ja auch sehr alte WPs. zb Texto läuft seit 2004 auf WordPress, das ist keine geringe Zeit.

Die Updates via Dashboard sind unendlich praktisch, doch manches kann dabei durch den Rost der Aufmerksamkeit und somit locker in den Rücken fallen.

Doch selbst, wenn Dein WP funkelnagelneu ist, sind vielleicht Tipps darunter, die nützlich sind.

Erlebnisse, die ich diese Woche hatte fangen bei fehlenden SECRET_KEYs an und hören bei den StandardThemes „classic“ auf. Ich versuche hier nun meine Erfahrungen so aufzulisten, dass Du was davon hast, nämlich mehr Sicherheit und dann einfach ein leichteres Leben, so als WordPress Admin.

die Themen
»» vor jedem WP Update ein Datenbankupdate
»»Die wp-config.php mal durchforsten und auffrischen
»»Datenbank Passwörter und ich ging unter die Diebe
»»alte Plugins, unbenutzte Plugins löschen ok, doch wie ist es mit den Themes
»»Ist das gekaufte Theme aus dem Jahre 2007…
»»CSS Klassen bei Kommentaren und Sicherheit
»»… zu den WP Plugins war es dann ein kurzer Schritt

vor jedem WP Update ein Datenbankupdate

Tool MySQL Dumper erneuern, Ordner umbenennen, neue Passwörter

Tool MySQL Dumper erneuern, Ordner umbenennen, neue Passwörter

Ein fantastische Tool dazu ist MySQL Dumper. Hier oft schon erwähnt. Doch auch dieser Dumper hat unterschiedliche Versionen im Laufe seines bites&bytes Leben schon erlebt.

  • Wie alt ist deine Installation?
  • Wäre da mal ein Update fällig?
  • => dann gleich die Passwörter für den Zugang erneuern => ich hoff er hat Passwörter für den Zugang(!)
  • => dann gleich den Ordner umbenennen: mysqldumper als Ordner am Webspace ist wie eine Einladung.

Ich machte diese kreative Tätigkeit > 10mal diese Woche. Aber nun fühlts sich gleich besser an :-)

Die wp-config.php mal durchforsten und auffrischen

wp-config.php ansehen, vergleichen, erneuern etc

wp-config.php ansehen, vergleichen, erneuern etc

Seit WordPress 2.6.0 gibts Secret Keys, seit WP 3.0 glaub ich wurden es um vier mehr.
Diese Keys machen es ein bisschen schwerer dein WordPress zu hacken. Klar wer mag und kann findet immer einen Weg. Aber der Weg über diese Keys ist schwerer ==> wenn sie denn ausgefüllt sind.

==> „put your unique phrase here“ ist nicht unbedingt ein guter Schlüssel dazu… . :-)

Und weil ich dabei sowieso schon in der wp-config.php war, habe ich gleich etliches ergänzt wie:

define('WP_CACHE', true);
define('WP_POST_REVISIONS', false);
define('EMPTY_TRASH_DAYS', 20 ); 
define('WP_HOME','http:/dieheimatURLvonWP.tld');
define('WP_SITEURL','http://deindomainname.tld');


Datenbank Passwörter und ich ging unter die Diebe

Passwörter ändern, nie dasselbe woanders verwenden

Ich fand etwas unsicher Passwörter bei so manchem Blick in die wp-config.php. Und weil ich ja auch einen FTP Zugang von den betroffenen Personen erhalten hatte, bekam ich manchmal riesengroße Augen und bei manchen bin ich dann unter die Hacker gegangen.

Das Passwort der Datenbank war der Vorname des Kindes.
Damit konnte ich: auf den ftp,
in den Adminbereich von WP als Admin,
mich bei Twitter,
fb und G+
einloggen.

Ich veranlasste die Änderung diverser Passwörter diese Woche und fühl mich nun etwas glücklicher :-)

alte Plugins, unbenutzte Plugins löschen ok, doch wie ist es mit den Themes

dies Themes kann man ruhig löschen
dies Themes kann man ruhig löschen

Dashboard=>Designs=>Themes

Wieviele Themes liegen in diesem Ordner, die absolut ungenutzt rumliegen?

Zum Teil ein „bisschen“ alt und eventuell ein Sicherheitsrisiko. „Classic und default“ waren mal die Namen der Standardthemes, so wie heute TwentyTen, TwentyEleven oder Twentytwelve.
Allerdings sollte immer ein Standard Theme im Theme Ordner sein, weil WP bei Problemen mit dem aktiviertem Theme, dieses Theme aktiviert und man so zumindest mal was „sieht“.

zb aktivierst Du ein Plugin und es zeigt keine Wirkung oder die falsche, dann kannst du durch einfaches „umschalten“ auf ein StandardTheme kontrollieren, ob es an deinem Theme oder dem Plugin liegt. Dies grenzt die Fehlersuche ein.

Ist das gekaufte Theme aus dem Jahre 2007

WordPress Theme erneuern

Dann kann es sein, dass WP_DEBUG‘, TRUE einem soviele PHP Fehler um die Ohren schmeißt, dass man sie gar nicht mehr zählen kann. Der beste Programmierer konnte 2007 nicht wissen, dass 2012 manche Template Tags depricated sind oder es gar eine andere php Version gibt.

Auch gekaufte, hoch indiviuelle Themes müssen erneuert werden.

Nach der Befreiung des Themes von uralten Template Tags ist auch die Performance um etliches besser.


CSS Klassen bei Kommentaren und Sicherheit

Weil ich dann schon bei den Themes war, sah ich mir dort einiges an.
Die meisten Einbrüche in WordPress finden über den FTP Zugang statt las ich mal und ich glaube dies sofort. Sicherheit einer WP Installation ist ein sehr gr. Feld, viele Puzzlesteine dazu sind nötig. Dennoch finde ich den Autorennamen als CSS Klasse zumindest „befremdlich“ ;)

<li class="comment 
byuser 
comment-author-superstar
bypostauthor 
odd 
alt 
thread-odd 
thread-alt 
depth-1 
clearfix" 
id="comment-0815">


Die CSS Klasse clearfix wurde von mir hinzugefügt, sonst macht das alles WP alleine. Zumindest der AutorName soll weg. Was nützt es denn, wenn ich ein geheimes Login habe und es steht dann frank und frei im Quelltext drin (!)

Functions.php oder Plugin

wie du magst und diese kleine Function killt den Autorenname bei den CSS Klassen der Kommentare einfach raus.


//remove comment author class
function remove_comment_author_class( $classes ) {
   foreach( $classes as $key => $class ) {
    if(strstr($class, "comment-author-")) {
     unset( $classes[$key] );
	}
     }
  return $classes;
}
add_filter( 'comment_class' , 'remove_comment_author_class' );


… zu den WP Plugins war es dann ein kurzer Schritt

Plugins, die du nicht mehr brauchst einfach löschen. Alles besser als zig Plugins im Ordner zu liegen haben, die nicht aktiviert sind. Search &Replace und der ExploitScanner sind die einzigen Plugins, die bei mir nur bei Bedarf aktiviert werden, alles andere ist aktiviert oder nicht da.

Ganz wenige Ausnahmen, wenn ich ein Plugin mir holte, es aber noch nicht fertig eingerichtet ist=> zb Newsletter Plugin.

Auch Plugins sind ganz leicht über das Dashboard einem Update unterzogen. Manchesmal aber kann es passieren, dass das Plugin dann nicht mehr automatisch sich aktiviert.

Ein kurzer Blick auf die Pluginliste verhindert böse Überraschungen, die Du vielleicht nicht gleich siehst, weil da ein Cache Plugin aktiv ist (!)

Mein Blog wird mit Spam überschwemmt, obwohl ich AntiSpamBee habe => ja wenn es nicht aktiv ist, kann es nicht arbeiten => dies erlebte ich diese Woche auch zweimal. Nun ist das Blog wieder spamfrei und ich beruhigter :-)

Welche Update Erlebnisse hast Du oder hattest Du? Welche Tipps hast Du, damits wieder flüssig und rund läuft?

Und nach all dem gönnte ich mir einen Kaffee, weil ich vorher je keinen hatte ..
16

16 Beiträge zu “Weihnachtsputz und andere Update Geschichten – Backstage sozusagen

  1. Kommentar Autor
    Markus
    Kommentar

    Ich habe vorgestern Abend 4 Blogs auf 3.5 aktualisiert. Bei 3 Blogs lief das problemlos (via FTP) und ich konnte nach dem obligatorischen Datenbank-Update normal weiterarbeiten. Ausgerechnet bei meinem Hauptblog gab es aber wohl einen Übertragungsfehler. Alles, was im Backend irgendwie mit JS und AJAX zu tun hat, lief nicht mehr. Ich konnte keine Widgets verschieben und die auch nicht zur Bearbeitung öffnen, die Grafiken in WP-Piwik wurden nicht mehr angezeigt, und das Öffnen der Einstellungen für Frank Bültges Mainenance-Plugin klappte nicht, somit ließ sich das Plugin nicht abschalten und ich musste es komplett deaktivieren. Das zumindest ging.

    Auch mehrmaliges, erneutes hochladen der Dateien via FTP schaffte keine Abhilfe. Erst als ich am nächsten Tag die Verzeichnisse wp-include und wp-admin gelöscht und dann nochmal alles hochgeladen habe, funktioniert wieder alles wie gewohnt.

    Verstehen muss ich das nicht…

  2. Kommentar Autor
    Monika
    Kommentar

    Hi Markus,
    unabhängig von deinen Fragezeichen im Kopf find ich es fantastisch, dass ich mit manchen solchen Erlebnissen nicht alleine bin ;)

    Ich schließe dann oftmals das FTP Programm und logg mich dann neu dort ein, dann gehts auch mit dem neuerlichen Hochladen besser. So als ob das FTP PRogramm dann nicht mehr wollen tät, egal was ich tu dort „oben“ verändert sich nichts :-)

  3. Kommentar Autor
    Markus
    Kommentar

    FileZilla mal neu starten, das hätte mir wohl auch geholfen. Das hab ich ja letztlich am Folgetag auch gemacht… :-\

  4. Kommentar Autor
    Monika
    Kommentar

    ich nutz zwar nicht FileZilla, aber mein Programm hat auch solche Macken, so als ob es mir sagen möcht => du sollst aufhören, mach ne Pause oder so :-)

  5. Kommentar Autor
    Connie
    Kommentar

    ich hab nur ein unwichtiges Blog mal automatisch aktualisiert. Zum Test.

    Dann hagelte es Fehlermeldungen, das Plguin „Category Icons“ tat nicht mehr richtig.

    Da ich das aber bei einem wichtigen Blog einsetze, und das Theme „Suffusion“ auch gerade wieder mal das xte Update hat und ich dann wieder die Sprachdateien erweitern muss, lass ich das erstmal. Muss ja nicht alles immer das Allerallerneueste sein, auch wenn diese Update-Infos im Admin nerven, die nunmehr vorletzte Version ist auch nicht schlecht.

    Gruss, Connie

  6. Kommentar Autor
    Monika
    Kommentar

    grüß Dich Connie,
    mußt du da immer die Sprachdatei neu machen?
    „grad große Augen bekomm“
    das ist ja irre Arbeit, oder haben die immer neue „Worte“ drin?

  7. Kommentar Autor
    Anni Freiburgbärin von Huflattich
    Kommentar

    Das Update auf 3.5 war das erste, das richtig daneben ging, obwohl anfangs alles gut aussah.
    Trotz Hausputz wollte das aktuelle Theme nicht mehr glänzen.
    Aber nachdem ich ein anderes Theme gewählt und gespeichert habe, dann wieder das alte Theme auswählte, ging’s.
    Liebe Grüße
    Anni Freiburgbärin von Huflattich

  8. Kommentar Autor
    Monika
    Kommentar

    ah du musstest quasi „von hintersefiar“ rangehen ;) ich kann dieses Wort nicht auf deutsch Deutsch übersetzen (dreimal einen Umweg gehen ist auch nicht richtig , da fehlt noch was an Kompliziertheit )

    freut mich, wenns dann doch klappte => Hausputz und dann glänzt nichts! das ist gegen jede Hausfrauenehre und so..

  9. Kommentar Autor
    Chris
    Kommentar

    Ich habe heute auch meinen Blog auf die neue Version gebracht und dabei auch gleich mal aufgeräumt. Da ist mir aufgefallen, dass das verwendete Theme nun doch schon in die Jahre gekommen ist. Muss mich wohl mal nach einem Neuen umschauen. ;-)

  10. Kommentar Autor
    Monika
    Kommentar

    Chris ;) dein Winken mit den Zaunpfählen ist gigantisch,
    äjm&54§()/&%=> kam an, nutzt aber nichts :-)

  11. Kommentar Autor
    Chris
    Kommentar

    Pfffff….
    Das war einfach nur eine Feststellung, dass auch mein verwendetes Theme in die Jahre gekommen ist. So wie Du oben in Deinem Beitrag auch angemerkt hast, dass auch Themes aktualisiert werden müssen. :-p

  12. Kommentar Autor
    Monika
    Kommentar

    ;););) ich verstehe vollkommen absolut eh klar, in meinem Dasboard endet dein Kommentar bei den Worten

    „“Pfffff….
    Das war einfach nur eine Feststellung, dass auch mein verwendetes Theme in die Jahre gekommen ist. So wie Du …““
    habe grad Lachtränen in den Augen ;)

  13. Kommentar Autor
    Chris
    Kommentar

    Boh, das war jetzt aber frech, genau an dieser den Break zu setzten. Weiß WordPress denn nicht was sich gehört?

  14. Kommentar Autor
    Birgit
    Kommentar

    uff, das muss ich die Tage auch in Angriff nehmen. Danke, dass du das immer so ausführlich und anschaulich auch für Leute wie mich, die nicht die ausgefuchsten Profis sind, erklärst :-) Lese gern bei dir mit …