Schlagwort-Archive: WordPress

WordPress ist das freies Content-Management-System, welches ursprünglich zum Aufbau und zur Pflege eines Weblogs entwickelt wurde.

WordPress vor Brute-Force Attacken schützen

WordPress Server vor Brute-Force Login versuche durch fail2ban schützen.

WordPress Schutz bietet sich durch mehrere Methoden an, neben LockDown Plugins, die IP-Adressen und Zeitstempel jedes fehlgeschlagenen Anmeldeversuchs aufzeichnen und blockieren, wird mit fail2ban die Kernel Firewall gesteuert, und damit der host für eine vorgegebene Zeit gesperrt.

  Zur Installation von fail2ban auf CentOS 7 muss das EPEL Repository hinzugefügt werden:

Die Installation hier wie folgt als root, es wird eine Standard Konfiguration bereitgestellt, und erfordert keine weiteren Anpassungen:

Nachdem fail2ban auf dem Server ist, sollen die Apache access_log Dateien nach Anmeldeversuche untersucht werden.

Damit fail2ban weiss nach welchen parser in der Logdatei gesucht werden soll, wird ein Filter erzeugt, durch editieren mit vim oder anderen bevorzugten Editor, erstellen wir die Filter Datei mit vi /etc/fail2ban/filter.d/wp-auth.conf:

Die Hauptkonfiguration von fail2ban befindet sich in der Datei /etc/fail2ban/jail.conf, diese kann kopiert werden als jail.local, oder es genügt nur die zusätzliche Filter Einstellung einzutragen, die Konfiguration hinzufügen mit vi /etc/fail2ban/jail.local

Nach 6 Anmeldeversuche (maxretry) wird für 30 min. blockiert.

Bevor fail2ban genutzt wird, ist ein blick in /etc/fail2ban/jail.conf gegeben, unter der Sektion [INCLUDES] sind die Pfade der eingesetzten Linux Distribution definiert, bei before = paths-distro.conf, wir verwenden bei CentOS7 die Datei /etc/fail2ban/paths-fedora.conf :

Die Datei paths-fedora.conf   kopieren zu paths-centos.conf. Es werden alle Logs unter /home/web/*/logs ausgelesen, die Pfade zu den Apache Logs ggf. anpassen:

Nun fail2ban neu starten um den Filter zu aktivieren.

fail2ban Status überprüfen wie folgt.

Der iptables Status des Filters in der Kette ausgeben.

Die iptables Ausgabe des Filter AuthFailures in etwa viel folgt.

Hat man sich selber durch zu viel Fehlversuche und Tests ausgesperrt, kann man sich mit folgendem Command wieder entsperren.

  Der vorteil dieser Methode ist es, durch fail2ban wird der host und alle Dienste blockiert, der Bot wird in der regel zur nächsten Webseite gehen, um die Attacken fortzusetzen, auch ssh und ftp anfragen gehen ins leere, und ICMP anfragen bleiben für die IP-Adresse unbeantwortet.

The SEO Framework vs Yoast SEO WP Plugin

Die SEO Alternative The SEO Framework

SEO Plugins für WordPress werden in vielfältigen Ausführungen angeboten, dabei stellt sich The SEO Framework als die wahrscheinlich praktikablere alternative zu dem viel verwendeten Yoast SEO Plugin heraus.

Wenn gleich The SEO Framework den etwas anspruchsvolleren Webmaster anspricht, ist das SEO Plugin dennoch auch für Einsteiger beherrschbar, die Settings findet man übersichtlich auf einer einzigen Seite in mehrere Abschnitte aufgeteilt, neben den einzelnen Optionen öffnet sich ein PopUp bei MouseOver mit einem Quick Help Ballon, einzig diejenigen die sich der Technik generell verweigern, werden mit Yoast SEO besser bedient sein.

  TSF ist vorkonfiguriert – in 10 Minuten ist das Plugin eingerichtet. Von mehr als hundert Optionsfeldern benötigten nur fünf bis zehn eine Eingabe. No ads. No distractions. No nonsense. The fast | free | fair | easy | best WordPress SEO plugin. Das verspricht der Entwickler – Sybre Waaijer.

Wenn das Plugin zum ersten Mal aktiviert wird, werden die Einstellungen automatisch so konfiguriert, wie sie für die meisten Websites am besten geeignet sind. Alle Websiten werden automatisch für SEO und soziale Netzwerke optimiert. TSF ist sich seiner Umgebung genau bewusst und füllt automatisch alle Metadaten aus, je nachdem, wie die Website und die Beiträge, Seiten und Archive konfiguriert sind.

Abbildung: TSF Bewertung: Metatitel und Beschreibung

  Bei TSF können die Metadaten Pixelgenau eingestellt werden, was bei professionellen Webmaster auf Interesse stößt. Die intelligente SEO Bar erkennt die WordPress-, Sprach- und Grafikumgebung und fördert mehr Details. Der Pixelzähler ist die genaueste Richtlinie in diesem Bereich. Bei MouseOver über den Metatitel sind weitere Informationen zu erfahren. Der saubere Code auf aktuellem PHP ist voll kompatibel zum neuesten WordPress 5.0.2, die Meta-Box im neuen SEO Block Editor zeigt die perfekte Integration dieses Plugins.


The SEO Framework: WordPress SEO Plugin Alternative zu Yoast SEO

Ungebrandet und Kostenlos für Profis

Das TSF Plugin ist nicht gebrandet! Das heißt, dass nirgendswo im Backend „The SEO Framework“ als Erwähnung vorkommt, abgesehen von der Plugin Installationsseite. Das Plugin nutzt die Standard WordPress Interface-Elemente, als sei es Teil von WordPress. Keine Werbung, keine PopUps. Die versteckten HTML-Kommentare können via Filter oder Erweiterung ausgeblendet werden.

Quellen Link: theseoframework.com

Social Media Button DSGVO konform für WordPress

Datenschutzkonforme Social Media Button in WordPress Einbinden

WordPress Plugins für Social-Media Einbindung mit Follow-Me, Like und Share Buttons, darüber erfreuen sich Blogger mit derer reichhaltigen Auswahl. Die beliebten Share Buttons um Inhalte zu Teilen und Benutzer zu folgen sind aber oft nicht Datenschutzkonform, nach der EU-Datenschutz-Grundverordnung (DSGVO), welche am 25. Mai 2018 in kraft getreten ist.

Das einbetten von Plugins mit Social-Media-Buttons ist ein beliebtes Mittel, um eine zusätzliche Reichweite zu erreichen. Dabei gilt es, einige Aspekte – vor allem den Datenschutz – nicht aus den Augen zu verlieren.

Chrome Entwicklertools Sources

Die offiziellen Buttons zum Teilen von Inhalten auf Facebook, Google+ und Twitter sind auf vielen Websites als iframe eingebettet. Darunter leiden Datenschutz und Privatsphäre.

Die verbreiteten Share-Buttons stellen ein erhebliches Datenschutz-Problem dar, weil sie unbemerkt Kontakt zu den Servern der sozialen Netzwerke herstellen.

Der Code auf den WordPress-Seiten stammt direkt von Facebook, Google und Twitter. Bereits beim Laden der Share-Buttons sendet der Browser persönliche Daten wie die IP-Adresse oder lokal abgelegte Cookies an die sozialen Dienste. Das passiert auch dann, wenn ein Webseitenbesucher gar kein Konto bei Facebook, Google und Twitter hat oder die Teilen-Funktion nicht nutzen möchte.

Noch gläserner sind eingeloggte Nutzer: Facebook etwa identifiziert sie eindeutig und erfährt so, auf welchen Seiten sie unterwegs waren. Die US-Unternehmen werten URL der besuchten Seiten sowie den Zeitpunkt des Besuchs aus.

Social-Media-Buttons in WordPress datenschutzkonform nutzen

Das deutsche Computermagazin c’t entwickelte „Shariff“, mit dem sich datenschutzkonforme Teilen-Buttons einbinden lassen, die die Anforderungen der Datenschutzgrundverordnung (DSGVO erfüllen. Dieses Plugin setzt das Shariff-Konzept in einer einfach einzusetzenden Form für WordPress um. Der „Shariff“ benötigt nur einen Klick. Webmaster können das kostenlose Plugin mit wenig Aufwand in ihr WordPress integrieren.

Das Shariff Wrapper Plugin von Jan-Peter und 3UU welches auf dem von c’t entwickelten Shariff basiert, tritt hier als Zwischeninstanz auf. An Stelle des Browsers fragt der Server des Webseiten-Betreibers die Zahl der Likes ab – und dies auch nur einmal pro Minute, um den Traffic in Grenzen zu halten. Der Besucher bleibt hierbei anonym.

  Dieser Blog nutzt Shariff für das teilen auf Social Media.

Quellen Links:

Github heiseonline/shariff
Heise Computermagazin c’t