Schlagwort-Archive: WordPress

WordPress ist das freies Content-Management-System, welches ursprünglich zum Aufbau und zur Pflege eines Weblogs entwickelt wurde.

WordPress zurück von https auf http umstellen

WP-Admin ist nach Umstellung auf HTTPS gesperrt, Abbruch beim laden der Webseite.

 

Geht bei der Umstellung mit WordPress von HTTP auf HTTPS etwas schief, weil etwa das SSL-Zertifikat und die Webserver Konfiguration nicht konsistent ist, muss möglicherweise zum weiteren vorgehen wieder zurück auf HTTP gewechselt werden, der Zugang zum WP-Admin ist nun versperrt.

Lösung

Abhilfe schaft das ändern über phpMyAdmin in der SQL Tabelle wp_options und dem Feld siteurl und home, mit Bearbeiten wird bei option_value die gewünschte URL eingetragen.

Die hier geänderte URL entspricht dieser unter Einstellungen › Allgemein bei WordPress-Adresse (URL) und Website-Adresse (URL) zu stehen kommt.

Möglicherweise muss die Konfigurationsdatei wp-config.php editiert werden, und SSL deaktiviert werden.

Den Wert auf false setzen, oder die Zeile mit einem hash (#) auskommentieren.

Auch muss möglicherweise beachtet werden, das wenn die Apache RewriteRule HTTPS aktiviert wurde, diese wieder zurückgesetzt werden kann.

Dies könnte sich in der .htaccess-Datei befinden, oder in der Webserver Konfiguration unter VirtualHost der entsprechenden Domain.

 

Twitter Follow Me Button

Follow Me Button in WordPress einbinden

Twitter Follow Me Button gibt es reichlich genügend, auf der suche nach einem probaten und simplen Twitter, Inc. 35,02 -0,42 -1,19% Follow Me Button, stieß ich schließlich auf der Twitter Developer Plattform auf den adäquaten Button, der einsetzbare Code kommt wie folgt zu stehen.

    Dieser Orginal Twitter Button ist allerdins nicht datenschutzkonform und erfüllt die die DSGVO vom 25.Mail 2018 nicht. Eine datenschutzkonforme Lösung zeigt unser Beitrag hier.

Twitter Button Code:

Der fertig eingebettete Button 

  Der Javascript braucht es bei weiteren Buttons nicht mehr. Beim kopieren anstelle @donkeyshark dein Twitter Account einsetzen.

Der Mention Button kommt wie folgt zum Einsatz.

Der fertig eingebettete Button 

Bei WordPress kann der Button an beliebiger stelle in Beiträge oder Seiten als Code eingefügt werden, auch können Widgets verwendet werden, beispielsweise unter Design ein HTML Widget per Drag & Drop in der Inhalts-Seitenleiste platzieren und den Code einfügen und speichern.

Follow Me Button Parameter Referenz

Ein Follow Me Button kann von den Standardeinstellungen geändert werden, in dem die Parameter class=“twitter-follow-button“ angepasst werden.

Parameter Beschreibung Beispiel
screen_name The Twitter username to be followed. Automatically extracted from the anchor element’s href attribute when using JavaScript-enhanced button markup. TwitterDev
show_screen_name Set to false to hide the username of the specified account. false
show_count Set to false to hide the number of accounts following the specified account. false
size Set to large to display a larger button. large
lang A supported Twitter language code. de
dnt When set to true, the button and its embedded page on your site are not used for purposes that include personalized suggestions and personalized ads. true

Schütze dein WordPress vor unerwünschten Login Versuche

Botnet greifen derzeit WordPress-Blogs weltweit an

Der Angriff selbst ist dabei denkbar einfach, es wird versucht, sich mit „admin“ einzuloggen. Um das Passwort herauszufinden, wird schlichtweg eine entsprechende Vorlage aus tausenden Einträgen sehr schnell abgearbeitet. Es kommt deshalb bei den betroffenen Blogs in der Folge zu einer massiv erhöhten Anzahl von Login-Versuchen – „Brute Force Attack“. Was die Angriffswelle in diesem Fall so problematisch macht, ist die riesen Menge an infizierten PCs, die zum Einsatz kommt.

Gemäss Experten geht es am Ende darum, aus den Servern ein neues Botnet aufzubauen. Das wäre dann um ein Vielfaches mächtiger als das jetzige, weil die Server beispielsweise eine wesentlich bessere Internetanbindung haben als infizierte PCs.

Die wichtigsten Massnahmen um ein WordPress-Blog zu schützen.

Den Account „admin“ nach Möglichkeit ganz vermeiden. Er ist bei WordPress-Blogs so verbreitet, dass er – so wie auch in diesem Fall – als Hebel für den Angriff genutzt wird. In diesem Blog wird ebenfalls aufgezeigt, wie man den „admin“-Loginname ändert.

Eine weitere Möglichkeit ist es, den Admin-Bereich von WordPress selbst mit einem Passwort zu schützen. Ohne dieses „Master-Passwort“ kommt man gar nicht erst auf die Login-Seite fürs back-end. Das kann gerade bei Brute-Force-Attacken sehr sinnvoll sein, da der automatische Angriff sehr früh abgefangen wird und den Server dadurch weniger belastet. Auch sollte das MySQL front-end nicht über „phpMyAdmin“ oder „MyAdmin“ in der URL abrufbar sein, hier sollte ein Apache Alias oder ein Symlink, z.B. „db_manager“ angelegt werden, damit ist man aus der Schusslinie von Brute-Force-Attacken, zusätzlich schützt auch ein htaccess-Passwort.

Noch effizienter und den Server nicht belastend, wirkt sich das abfangen der Angriffe durch den Einsatz von fail2ban aus.

Dazu wird fail2ban installiert, hier bei CentOS 5.x.

Nach der Installation wird die Filter Definition für WordPress-„wp-login.php“ erstellt.

vi /etc/fail2ban/filter.d/wp-auth.conf

Und nun die jail-Konfiguration hinzufügen.

vi /etc/fail2ban/jail.conf

Die Änderungen aktivieren mit service fail2ban restart

Es wird nun die Brute Force Attacke nach 6 fehlerhaften Login-Versuche, den Zugang für eine Stunde von der Firewall blockiert, geht die Attacke nach einer Stunde weiter, beginnt die Blockierung erneut.