Heise hat hier eine Lösung erarbeitet, bei der die Social-Media-Buttons zunächst “deaktiviert” dargestellt werden. Erst durch die Entscheidung des Nutzers werden Daten an die Netzwerkplattformen gesendet. Die sogenannte 2-klick-Methode bietet somit mehr Sicherheit für den Datenschutz.

H.-Peter Pfeufer hat diese Lösung in einem WordPress-Plugin umgesetzt. Das Plugin bietet zahlreiche Einstellungsmöglichkeiten, so kann z.b. eingestellt werden ob die Social-Button-Leiste auf Artikelseiten und CMS-Seiten dargestellt werden soll. Auch die gezielte Darstellung per Shortcode ist möglich.

Die Einstellungsmöglichkeiten des Plugins

Das Plugin im Einsatz

Hat man das Plugin erfolgreich installiert und aktiviert, erscheint auf der Artikelseite (oder CMS-Seite) im Frontend nun die kleine Social-Media-Buttonleiste. Diese ist standardmässig deaktiviert, der Nutzer bestimmt nun selbst ob er die Buttons aktiviert. Möchte man jetzt den Beitrag auf einer Plattform, z.b. Facebook, teilen wird mit dem ersten Klick der entsprechende Button zunächst aktiviert, mit dem zweiten Klick wird der Beitrag auf der Social-Media-Plattform veröffentlicht.

Durch einen Klick auf den Info bzw. Einstellungsbutton kann man auch die dauerhafte Aktivierung für alle oder nur einzelne Dienste freischalten.

Probleme mit veralteten Themes

Das 2-Klick-Button-Plugin nutzt die WordPress interne “Post Thumbnails” Funktion, die seit Version 2.9 Bestandteil von WordPress ist. Ältere Themes unterstützen diese Funktion meist nicht und es wird ein “Call to undefined function“-Fehler erzeugt. Damit das nicht passiert, muss in dem verwendeten Theme, welches Post Thumbnails nicht unterstützt, die Funktion aktiviert werden. Dies geschieht mit folgendem Eintrag in der Functions.php des Themes:

 add_theme_support('post-thumbnails');

Dieser Eintrag sollte den Fehler bei älteren Themes grundsätzlich beheben. Bei neueren Themes dürfte die Funktion generell integriert sein.

Dateistruktur sichern

Um die Dateien einer WordPress-Installation zu sichern reicht es in der Regel aus, wenn man das Unterverzeichnis /wp-content sichert. Dort befinden sich die installierten Plugins, die verwendeten Themes und die hochgeladenen Dateien des Contents. Am besten macht man das mit einem FTP-Client wie FileZilla.

Datenbank sichern

Im zweiten Schritt sollte man sich der Datenbank widmen. In der Regel bietet der Provider einen MYSQL-Adminbereich an, in dem man direkten Zugriff auf die Datenbank bekommt und dort auch ein Backup anlegen kann. Allerdings sollte man in diesem Fall etwas Erfahrung in SQL mitbringen. Ein bessere Lösung ist der Einsatz eines Sicherungsprogrammes wie z.b. MySQLDumper.

Ich habe mal anhand einer Previewseite ein kleines Videotutorial erstellt, das zeigt wie das alles im einzelnen funktioniert.

Optimierung der .htaccess

Im Hinblick auf Suchmaschinenfreundliche URL’s sollte der erste Schritt bei jeder WordPress Installation die Einstellung der Permalink-Struktur sein. Bei der Standardeinstellung wird in WordPress eine Seite oder ein Artikel generell mit der Seiten/Artikel-ID ausgegeben. Das sieht dann ungefähr so aus:

www.3d-mediadesign.de/page_id123

Damit kann eine Suchmaschine natürlich nicht viel anfangen. Optimal wäre natürlich die Darstellung mit dem richtigen Seitennamen, bzw. bei einem Artikel, die Artikelbenennung, hier am besten noch mit dem Veröffentlichungsdatum.

www.3d-mediadesign.de/beispielseite/
www.3d-mediadesign.de/2011/06/ein-artikel/

Um dies nun umzusetzen müssen in der .htaccess folgende Zeilen ergänzt werden:

Im Backend von WordPress muss jetzt nur noch unter Einstellungen >>Permalinks folgende Option mit dem Eintrag /%year%/%monthnum%/%postname%/ aktiviert werden:

Ein weiterer Aspekt, der für die Suchmaschinenoptimierung von Vorteil sein kann, ist die Ladezeit Deiner WordPress-Installation. Auch hier kann ein Eintrag in der .htaccess schon einiges bewirken. In der Regel unterstützen fast alle Apache-Server die Komprimierung einzelner Dateitypen von Haus aus. Die Komprimierungstypen sind hier entweder mod_gzip oder mod_deflate. Welche Variante auf Deinem Webserver zum Einsatz kommt, solltest Du bei Deinem Provider in Erfahrung bringen können. In meinem Fall kommt mod_deflate zum Einsatz. Der Eintrag in der .htaccess sieht demnach folgendermaßen aus:

Mit diesem Eintrag werden sämtliche HTML, CSS, PHP und Javascript-Dateien komprimiert.

Eine weitere Möglichkeit die Performance zu verbessern betrifft den Browsercache. Hier gibt es die Möglichkeit unnötige Browseranfragen an den Server zu verhindern. Das betrifft insbesondere Bilddateien.

Der Eintrag ExpiresDefault “access plus 35 days” gibt demnach an, das alle Dateien im Browsercache noch 35 Tage gültig sind.

Was die Sicherheit angeht, kann man mit folgendem Eintrag seine wp-config.php vor ungewolltem Zugriff und evtl. Manipulation schützen.

Was die Sicherheit Deiner WordPress Seiten angeht, kann ich ebenfalls die Plugins Secure WordPress und Login Lockdown empfehlen. Hierzu mehr unter WordPress Plugins.

Optimierung der wp-config.php

Auch in der wp-config.php kann man einiges Ergänzen, das sowohl der Performance als auch der Sicherheit zu gute kommt. Was die Sicherheit betrifft, sollte man den sogenannten Einsatz des Sicherheitsschlüssels einsetzen. Ursprünglich bestand dieser Schlüssel aus 4 Phrasen. Mit der Einführung der Multi-User-Funktionalität in WordPress 3.0 sind zusätzlich 4 Phrasen hinzugekommen. Der Eintrag in der wp-config.php sieht dann beispielsweise so aus:

define('AUTH_KEY',         '%Pi|AeG+z}~7=C986kRvtc6dL17-Dtz8< >8-6mL&_jo+C? +r2Er3HEcPlsvzu1');
define('SECURE_AUTH_KEY',  'dKZ%M.gIaQcdIk${.j;7n=PhK9:rb~./Wr<;+(R3I4F*-XGu[,nXM%]hP5fU~QWl');
define('LOGGED_IN_KEY',    'tCiwwpWf`}}[v6]IZ#Q=VW72dCWSEf~&e?!CaKz|5CwdmIT-$d++x4((qnFO+y~b');
define('NONCE_KEY',        'S/v>0Pr/k[A7bp8M^ghvOtme$M0rF_NL)~*A^8>|BP1}VedqVG!YXt>$GS)/X+%3');
define('AUTH_SALT',        '*5^)qN$ljR&Q_}nxG^Ue{{.V{{|B9*K1P%bQ#%x?k$+BJ|Tx8EPVQc@]$gnB*Cy#');
define('SECURE_AUTH_SALT', 'RC;!}MK=3Bc!4&kSn$9dY22:1M~LzKPq{J6YrG0h$g)<[hbI`@)%.|Y+Vb+1cl>{');
define('LOGGED_IN_SALT',   'V2*9zUiqt,Z7X}ZT3{A^H*46ea y+40<4}3-|uHtVg;Y~wl;bMd-UeHb4D>T|?iW');
define('NONCE_SALT',       'Q$BLFwz)~>E~>aLs3CfuiNC!wg`E:OU=A$$r+/X/q<`PJZ):?z++}6PJqTn+u53?');

Den Sicherheitsschlüssel kann man sich auch automatisch über die WordPress API generieren lassen. Hierzu einfach folgenden Link anklicken: https://api.wordpress.org/secret-key/1.1/salt/

Seit der WordPress-Version 2.6 gibt es die Versionsverwaltung, dies bedeutet nichts anderes, das WordPress z.b. beim schreiben eines Artikels alle 60 Sekunden eine automatische Speicherung durchführt. Arbeitet man also 5 Minuten an einem Artikel, legt WordPress insgesamt 5 Sicherungen an. Das kann bei längeren Sitzungen recht schnell zu vielen abgelegten Versionen eines Artikels, und damit zum unnötigen Aufblähen der Datenbank führen. WordPress bietet uns allerdings einige Parameter, mit denen man in der wp-config.php das ganze eingrenzen kann.

Mit folgendem Eintrag wird die Anzahl der Versionen auf 3 begrenzt:

// Anzahl der Revisionen limitieren
define('WP_POST_REVISIONS', 3);

Auch den Zeitraum nach wieviel Sekunden eine automatische Sicherung angelegt werden soll, kann man einstellen. In folgendem Beispiel wird der Intervall auf 10 Minuten gesetzt:

// Speicherintervall
define('AUTOSAVE_INTERVAL', 600);

Will man die automatische Speicherung ganz deaktivieren, wird mit folgendem Code die Versionsverwaltung ganz abgeschaltet:

// Versionsverwaltung ausschalten
define('WP_POST_REVISIONS', false);

Möchte man seine Datenbank der alten Revisionen entledigen, geht das bequem mit dem Plugin “Delete Revision“. Das Plugin entfernt alle vorhandenen Revisionen aus der Datenbank.

Wie bei allen Änderungen, die man an Dateien einer WordPress-Installation durchführt, sollte man in jedem Fall eine Kopie der Originaldateien anlegen bevor man diverse Änderungen vornimmt.

Einsatz des Twitterbuttons in WordPress

Für WordPress bietet sich das einbetten via iFrame an. Diese Methode bietet die Twitter Button Seite leider nicht an. Der Quellcode hierfür sieht folgendermassen aus:

<iframe allowtransparency="true" frameborder="0" scrolling="no" src="http://platform.twitter.com/widgets/follow_button.html?screen_name=3dmediadesign&show_count=true" style="width:300px; height:20px;"></iframe>

Bei Screen_name= setzt Du einfach Deinen Twitternamen ein. Um Deine Followerzahl anzeigen zu lassen, den Wert show_count auf true setzen.

Das einbinden des Codes bietet sich in der Single.php an. Am besten platziert man den Code vor der Commentarea. Das ganze funktioniert natürlich auch als Widget in der Sidebar. Einfach ein normales Textwidget mit dem Codeinhalt in der Sidebar platzieren.

Bist Du bereits bei Twitter angemeldet folgst Du nach einem Klick automatisch der entsprechenden Person, ohne das umständliche Suchen nach dem Twitteraccount oder den Besuch des Profiles auf Twitter. Bist Du bei Twitter nicht aktiv angemeldet, bekommt Du folgendes Popupfenster angezeigt:

Hast Du bereits einen Twitteraccount meldest Du Dich einfach mit Deinen Zugangsdaten an. Wenn Twitter Neuland für Dich ist, hast Du oben rechts unter “Anmelden” die Möglichkeit, einen Twitteraccount anzulegen.

Gerade bei der letzten Anfrage, bei der es um das Einfügen einer Tabelle ging, ist der Basis-Editor nicht gerade das NonPlusUltra. Dem kann abgeholfen werden. Für WordPress gibt es einige WYSIWYG-Editoren, die im Backend den visuellen Editor aufpimpen. Ich empfehle generell das Plugin “TinyMCE Advanced“. Das Plugin unterstützt bislang als einziges die mit WordPress 3.1 eingeführte “interne Verlinkung“. Wie man das Plugin installiert und konfiguriert habe ich mal in einem kleinen Videotutorial zusammengefasst.

WordPress Tutorial: Erweiterter Editor TinyMCE Installation und Handhabung from 3D Mediadesign on Vimeo.

Die Einbindung der Hovercard erfolgt durch folgenden Codeschnippsel in der Funktions.php des eingesetzten Themes

wp_enqueue_script( 'gprofiles', 'http://s.gravatar.com/js/gprofiles.js', array( 'jquery' ), 'e', true );

Im Frontend des Blogs sieht das dann in etwa so aus:

Gravatarprofil anlegen

Damit auch alle Daten richtig angezeigt werden, sollte man sein Profil auf Gravatar.com entsprechend ergänzen. Hier ein kurzer Überblick über die sinnvollsten Angaben. Das wichtigste zuerst: Deine Profildaten. Hier werden in die Hovercard die Punkte “Display Name” und “About me” übernommen.

Natürlich dürfen die Links zu Deinem Blog und den von Dir favorisierten Seiten nicht fehlen. Dies stellt man unter dem Punkt “My Links” ein:

Mit dem Punkt “Verified Services” lassen sich Social-Dienste wie Twitter, Facebook, Vimeo etc. einbinden. Vorausgesetzt, man hat dort entsprechende Accounts:

Custom Background bestimmt die Randfarbe der Hovercard, und mit “Contact Information” lassen sich noch Telefonnummern, Skype, email, AIM, ICQ oder Live Messenger ergänzen. Alles in allem finde ich die Hovercard als eine gelungene Ergänzung zu jedem WordPress Blog. So sind schnell alle notwendigen Daten eines Posters verfügbar. Soweit er diese natürlich für die Leser eines Blogs bereitstellt.

Der WordPress Tabellen Präfix

Um SQL-Injections (Einschleusen von Datenbankbefehlen) zu verhindert, empfiehlt es sich, den Tabellen Präfix von WordPress ‘wp_’ zu ändern. Bei einer Neuinstallation ist dies kein grosses Thema. Ändern Sie einfach in der wp-config.php folgende Zeile nach Ihren wünschen ab:

Standardeinstellung: $table_prefix = ‘wp_’;
Beispiel für eine Änderung: $table_prefix = ‘12db9_’;

Wenn Sie jetzt mit der Installation von WordPress beginnen, werden alle Präfixe mit ‘12db9_’ angelegt.
Bei einer bestehenden Installation sieht das allerdings etwas komplizierter aus. Basis hierbei ist ebenfalls die Änderung der wp-config.php. Legen Sie dort wie zuvor beschrieben, Ihren neuen Präfix an. Das alleine ist natürlich noch nicht alles, denn die Datenbanktabellen haben ja immer noch Ihren alten Präfix ‘wp_’. Diese müssen ebenfalls auf den neuen Präfix umgestellt werden. Dies kann man direkt über phpMyAdmin mit dem Befehl RENAME TABLE wp_comments to 12db9_comments; erledigen (dabei müssen alle entsprechenden Tabellen berücksichtigt werden). Man sollte aber unbedingt vor der Durchführung ein Backup seiner Datenbank anlegen.

Die WP-CONFIG.PHP schützen

Um einen Zugriff von aussen auf die Konfigurationsdatei zu verhindern, ergänzt man in der .htaccess folgende Angaben:

# Schützt die wp-config.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

Nicht benötigte Dateien löschen

Nach einer Neuinstallation bzw. nach einem Update von WordPress werden die Installationsdateien nicht automatisch gelöscht. Dies sollte man von Hand nachholen. Wechseln Sie per FTP-Programm in das Unterverzeichnis /wp-admin Ihrer WordPress-Installation. Löschen Sie dort nun die Dateien install.php und upgrade.php.

Adminbereich über .htaccess schützen

Ein zusätzlicher Schutz für den Adminbereich in WordPress bietet eine Passwortabfrage über .htaccess. Man muss dann zwar zweimal ein Login ausführen, es erhöht aber ungemein die Sicherheit des Adminbereiches. Zuerst ergänzen wir die .htaccess um folgende Einträge:

AuthName “Adminschutz”
AuthType Basic
AuthUserFile /pfad_zur_passwortdatei/.htpasswd
require valid-user

Jetzt legen wir uns eine weitere Datei mit dem Namen .htpasswd an, und geben dort unsere Zugangsdaten ein. Hierzu empfiehlt es sich, das Passwort gleich verschlüsselt einzugeben. Einen .htpasswd-Generator findet man hier. Der Eintrag in der .htpasswd sollte dann in etwa so aussehen:

username:$apr1$oaVNZ/..$JMB0/oZLnvCFJM5fIsV3C/

Beide Dateien, .htaccess und .htpasswd, kopieren wir in das Verzeichnis /wp-admin unserer WordPress-Installation. (mod_rewrite muss auf Ihrem Server aktiviert sein)

Mehr Sicherheit durch Plugins

Auch auf Plugin-Basis gibt es Möglichkeiten, WordPress noch sicherer zu machen. Zwei Plugins die durchaus Sinn machen sind:

Login Lockdown

Gerade Brut-Force-Attacken können schnell Ihre Zugangsdaten hacken. Das Prinzip ist einfach: Ein spezielles Hackerprogramm versucht über mögliche Zahlen- und Buchstabenkombinationen Ihren Adminzugang herauszufinden. Solch eine Software versucht, mit immer wieder neuen Kombinationen, in Ihren Adminbereich zu gelangen. Da dies nunmal in den allerwenigsten Fällen sofort gelingt, wird Ihre Seite praktisch ständig mit neuen Logindaten bombadiert. Das Plugin Login Lockdown von Michael Van De Mar verhindert solche Angriffe, indem es fehlgeschlagene Login-Versuche nach einer gewissen Anzahl blockiert. Wenn z.b. von einer IP-Adresse 3 fehlgeschlagene Login-Versuche innerhalb eines bestimmten Zeitfensters stattgefunden haben, wird für diese IP die Login-Funktion deaktiviert. Maximale Login-Versuche und sämtliche Zeitfenster (Logins innerhalb einer bestimmten Zeit, Dauer der Deaktivierung) können frei festgelegt werden.

Secure WordPress

Das Plugin Secure WordPress von Frank Bültge bietet einige Optionen, um Ihre WordPress-Installation sicherer zu machen. Im Detail sieht das folgendermassen aus:

• Deaktivierung der Hinweis- und Fehlermeldungen beim Login in WordPress.
• Entfernt den Versionshinweis von WordPress in allen Bereichen, inkl. dem Feed.
• Anlage einer virtuellen index.php in den Verzeichnissen /plugins/ und /themes/. Dies soll ein Auslesen der Verzeichnisse verhindern.
• Entfernt den link für Really Simple Discovery und Windows Live Writer im Headbereich des Frontends
• Deaktiviert das Core-Update für Nicht-Admin’s. Die Benachrichtigung über eine neue Version von WordPress wird ausschließlich Nutzern gezeigt, die die Rechte zum Editieren von Plugins haben.
• Aktiviert den WordPress-Scanner, mit dem Sie die Sicherheit Ihres Blogs unter http://blogsecurity.net/wpscan prüfen können.
• Unterbindung von negativen Abfragen (bösartige URL-Anforderungen)
• Ebenfalls wird das Plugin- und Theme Update deaktiviert.

Desweiteren besteht die Möglichkeit seine Seiten über sitesecuritymonitor auf Malware und gefundene Schwachstellen überprüfen zu lassen.

Sicher gibt es noch einige Möglichkeiten mehr, um Ihre Webseiten gegen ungewollte Angriffe zu schützen. Mit den hier vorgestellten Lösungsansätzen sollte Ihr Blog aber ausreichend gegen Fremdeinflüsse gewappnet sein.
Weitere nützliche Tipps zu WordPress und empfehlenswerten Plugins.