bueltge.de [by:ltge.de] » Sicherheit

Überdenke die Verwendung von Code Snippets!

Frank Bültge — Wed, 27 Apr 2011 11:29:55 +0000

Mein Blog ist sicher eines der vielen Sites im Netz, das in einer gewissen Form Code-Snippets veröffentlicht – davon gibt es zu Hauf, egal ob eigene Ideen oder Copy/Paste Version. Aber darüber möchte ich hier keine Worte verlieren - ich möchte zum Nachdenken oder einer Diskussion anregen: die Kultur der Snippets und ihre Verwendung. Mein Standpunkt soll als Start in die Überlegung dienen und hat keine Bestrebung in Richtung Vollständigkeit und zu Ende gedacht.
Mit ist klar, dass meine Meinung eben nur meine Sicht ist und aktuell habe ich dazu keine Diskussion im engeren Kreis geführt; kenne aber die Arbeit im Alltag mit den Freunden, Kollegen und nahe stehenden Entwicklern im WordPress Umfeld.

Mein Standpunkt wird sicher sehr WordPress getrieben sein, da ich mich sehr stark in diesem Umfeld bewege und man verzeihe mir die Einschränkung. Aber so spreche ich sicher einen Großteil der Leser meines Blogs an und kann eventuell ein Nachdenke oder gar Umdenken erreichen. Insbesondere ziele ich auf die Anwender ab, die meinen, dass wenn Sie sämtliche Funktionen irgendwo unüberlegt kopieren und in die functions.php des WordPress Themes ziehen, dass Sie eine besonderes tolle Lösung haben. Ein Schnipsel, ein Snippet ist mehr als die Lösung zum Verwenden, es ist die Basis um eine Ziel schneller zu erreichen – es ist nicht die fertige Lösung für die jeweilige Anforderung.

Jeder der viel zeit mit Code verbringt und Lösungen erstellt, insbesondere wenn er dass mehr oder weniger allein tun, schmort im eigenen Saft, eignet sich Eigenarten an und wiederholt Fehler und Denkweisen. Die alltägliche Arbeit kann durch die Nutzung von Schnipseln erleichtern werden - führen sie doch oft zu der gesuchten Lösung und können entweder das Endergebnis sein oder ein Teil eines entstehenden Etwas. Dabei geht vermutlich jeder Entwickler etwas anders vor. Während dem einen die Variante des Schnipsels genügt und er via Copy/Paste die Lösung übernimmt, überdenkt der Andere die Lösung, lernt daraus, verbessert sie oder kommt damit zu einer Lösung im Sinne seiner Anforderung.

Gerade letzteres ist meine Grundidee beim Bereitstellen von Snippets - ich löse diverse Probleme wöchentlich und mehr, trotz der bisher noch immer nebenberuflichen Tätigkeit im Webumfeld. Die Freunde müssen dabei fast täglich ran und eine Lösung finden. Die bereitgestellten Lösungen sollen zum Nachdenken anregen und zur Lösungsfindung beitragen. Je besser man das eigene System kennt, je besser kann man die Anforderungen im Hinblick auf eine gesamtheitliche Lösung für das Basissystem und das Ziel umsetzen. Das pure Copy/Paste-Verhalten sorgt meines Erachtens für Stillstand und unüberlegtes Handeln. Ohne eine Überlegung dazu wird die vorgestellte Lösung implementiert. Insofern versuche ich auch jedes Snippet mit etwas Erläuterung anzureichern und für Verständnis zu sorgen: Warum habe ich so gehandelt? Warum diese Lösung? Man soll sich selbst zum Lernen und dem Verständnis zwingen und so den eigenen Horizont erweitern.

Dabei ist mir ein Austausch sehr wichtig, darum auch öffentlich. Mir ist klar, dass meine Lösung nur im Rahmen meiner Möglichkeiten entstehen kann. Ich bin im Hinblick auf das Web, WordPress und das Programmieren ein Autodidakt, habe nie eine Unterrichtsstunde zu diesen Themen besucht, es sei denn als Unterrichtender. Das Lernen kam immer aus eigenem Antrieb und der Kritik und dem Austausch mit Freunden und Lesern. Das Blog ist sicher eine wunderbare Quelle für den nachweis meines Lernens und gerade meine Plugins für WordPress spiegeln dies wieder; würde ich viele Sachen heute nicht mehr so schreiben, wie noch in den ersten Plugins. Die Lernkurve ist hoffentlich ersichtlich und gerade die vielen Eindrücke, Erfahrungen und Diskussionen machen meine Idee, so glaube ich, im Kundenumfeld so gefragt. Die Erfahrung macht am Ende einen Großteil der Lösung aus.

Code-Schnipsel sind in vielen Blogs zu diversen Themen abgelegt, immer im Hinblick auf den aktuellen Wissenstand und die Zielsetzung des Autors. Darum gehören sie überdacht und auf Gültigkeit geprüft. Sei es um dem eigenen Codingstandard recht zu werden, das explizite Ziel der Anforderung zu erreichen oder eine bessere Lösung zu erstellen.
Ich will Snippets nicht verteufeln, ganz im Gegenteil - teilt eure Ideen und Lösungen, diskutiert sie und seit offen für Verbesserungen! Nur so kann man aus meiner Sicht und Erfahrung zu besseren Lösungen kommen. Fehler sind menschlich - sie sind Teil von uns und wer keine Fehler macht, dem sind einfach die Aufgaben zu gering und die Herausforderung fehlt.

Ich möchte die Leser anregen über das pure Copy/Paste-Verhalten nachzudenken, eventuell umzudenken und beim Veröffentlichen von Schnipseln hier und da einige Worte dazu hinterlegen, so dass der Leser eine Möglichkeit hat, die Lösung zu verstehen und aktiv zu nutzen. Die ständige Verwendung von Schnipseln ohne den geist zerstören die Qualität der Lösung, sorgen für Unsicherheit -, stören die Stabilität im System und machen das Finden von Fehlern schwer.

Im Hinblick auf WordPress und dessen Plugin-API gibt es hier weit mehr auszuholen, aber dann wird es viel und liest das noch jemand? Überdenke gerade im Hinblick auf WordPress die Copy/Paste-Kultur von Snippets, trenne sauber zwischen den Funktionen für das Theme und als Erweiterung für das Gesamtsystem mittels eines Plugins. Thomas hat dazu gerade ein wenig ausgeholt und die Zahl der Plugins in einer WordPress Installation ist keine Aussage zur Qualität! Die Performance des Blogs hängt nicht von der Anzahl der Plugins ab, da gehört weit mehr dazu. Insbesondere die Fehlersuche kann mit Plugins vereinfacht werden, da man über die Oberfläche oder via FTP recht einfach deaktivieren kann - insofern man die einzelnen Funktionen sauber trennt.

Also - auf eine neues im Denken zu Snippets und dessen Verwendung im täglichen Arbeiten im Web oder auch nur im Hobby. Gerade die Applikation und die Arbeit damit wird es danken, der Kunde ebenso.
Bildquelle: Puzzle im Kopf

Hinweis Session zum WordCamp Schweiz

Philip Hetjens wird zu diesem Thema die Session Ein Rant über Snippets auf dem WordCamp am 7. Mai 2011 in der Schweiz halten. Sicher ein schönes Thema zum Diskutieren und Einsichten gewinnen.

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

WordPress Login unterbinden

Frank Bültge — Tue, 12 Oct 2010 23:57:12 +0000

Nicht immer ist ein Login in WordPress gewollt - so habe ich für meine lokale Entwicklungsumgebung das Login deaktiviert, insofern ich es nicht brauche. Bisher sind mir zwei Möglichkeiten dieser Anforderung begegnet und diese möchte ich euch kurz vorstellen.
Entscheidet selbst, welche für euch der richtige Weg ist, wenn ihr das Login nicht bzw. nicht in dem Standard-Zeitrahmen benötigt.

Auf die harte Tour

Im ersten Codeschnippsel möchte ich meine eigene Lösung vorstellen, auf die man als erstes trifft, wenn man nach einer Lösung für diese Anforderung im Core sucht. WordPress gibt die Möglichkeit, einige Funktion direkt zu ersetzen, also ohne Plugin-Schnittstelle via Hooks. Alle Funktionen in diesem Zusammenhang findet man in wp-includes/pluggable.php. Dort findet man seit Version 2.5 von WordPress die Funktion wp_validate_auth_cookie(). Diese kümmert sich um die Prüfung des Login und diese ersetze ich in meiner lokalen Entwicklungsumgebung, die von Außen aus dem Netz nicht erreichbar ist! Die Funktion gibt bei korrektem Login die ID des Users zurück und genau das tue ich - die ID 1 für den Admin, sollte es geben, wenn dieser nach der Installation nicht verändert wurde.
Diese folgende kleine Funktion habe ich in der wp-config.php abgelegt.


/**
 * Set authentication cookie.
 *
 * @param string $cookie Optional. If used, will validate contents instead of cookie's
 * @param string $scheme Optional. The cookie scheme to use: auth, secure_auth, or logged_in
 * @return bool|int False if invalid cookie, User ID if valid.
 */
//*
function wp_validate_auth_cookie( $cookie = '', $scheme = '' ) {
	$user_ID = (int) 1; // admin user id
	return $user_ID;
}
//*/

Der Block-Kommentar-Trick

Nun braucht man unter bestimmten Bedingungen das Login für verschieden Tests oder Anforderungen und dann muss die Funktion auskommentiert werden. In diesem Zusammenhang erkläre ich kurz die Kommentar-Zeichen in diesem Code, die vielleicht dem einen oder anderen auffallen und nichts sagen.

Es geht um folgende Zeichen:


//*
function ...
//*/

Dabei muss ich lediglich die führenden Slashs ändern in /* und der Inhalt ist auskommentiert, mehr nicht. Dieser Tipp stammt von Aleem Bawany; in seinem Artikel erklärt er es genau.

Alternativ kann man sicher auch eine Option erstellen und viele andere Wege gehen - dies ist mein Weg und der ist einfach und kontrollierbar.

Die Zeit des Cookie erweitern

Nun ist mir auf StackExchange eine weitere Lösung aufgefallen, die wesentlich sicherer ist und eventuell auch in Live-Sites einsetzbar ist. Dazu wird die Zeit des Cookie angesprochen und via Hook verändert. Im Standard von WordPress ist die „Erinnere dich an mich“-Checkbox auf 14 Tage gesetzt und die folgende Funktion ändert diesen Zeitrahmen auf ein Jahr. Der eigentliche Login bleibt also, nur die Zeit, wie lange das Login gültig ist, ändert sich.


function keep_me_logged_in_for_1_year( $expirein ) {
    return 31556926; // 1 year in seconds
}
add_filter( 'auth_cookie_expiration', 'keep_me_logged_in_for_1_year' );

Diese Lösung wurde von Alex (Viper007Bond) veröffentlicht und es lohnt die Kommentare im Thread zu lesen, insbesondere zu create_function innerhalb des Filter-Hook.
Diese Funktion gehört in ein Plugin oder die functions.php des Themes als Not-Alternativ.

Zwei Lösungen mit sehr unterschiedlichen Ansätzen und Einsetzungsscenarios. Hier ist Verantwortung wichtig beim Einsatz. Vielleicht gibt es andere Lösungen, Hinweise wie immer gern in den Kommentaren.

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

WordPress gehackt - was tun, eine Schnellhilfe

Frank Bültge — Fri, 16 Apr 2010 19:10:48 +0000

... die keinen Anspruch auf Vollständigkeit erhebt und mal eben dem einen oder anderen Leser dienen soll und getrieben aus gegebene Anlass. Das Hacken von Blogs ist keine Eigenart von WordPress Blogs - dies kann jedem CMS passieren. Ebenso kannst du dir nicht sicher sein, dass du nicht betroffen bist, nur weil du irgendein Plugin aktiv hast und weil du die aktuellste Version von WordPress fährst.

Wobei es hier keine Diskussion werden soll, ob WordPress mehr als andere Applikation betroffen ist oder anfälliger ist. Die Unterschiede sind weitreichend - Schwachstellen gehören zur Software und die meisten Standard-Tools sind nur für das Gewissen oder den Geldbeutel.

Es gibt verschiedene Erkennungsmerkmale, einige sollen helfen:

Ein Problem nennt man Code Injection, Base 64 codierte Inhalte, meist PHP, in deine Dateien.
Popups, Bilder, Frames, Links im Frontend
Unbekannte Links im Source des Frontend
HTML Code in den Tabelle options von WordPress
Rechte größer 644 sind ein Risiko und meist wollen viele Plugins 755

Folgende Links können helfen:

Folgende Schritte sind anzuwenden, wenn das Blog gehackt wurde und man nur rudimentäre Kenntnisse in WordPress, PHP und mySQL hat. Alle mit dem nötigen Wissen werden gezielter vorgehen.

Nutze die Export-Funktion von WordPress und sichere deine Inhalte damit
Export der Datenbank-Inhalte und sichern
Sichere die wp-config.php
Sicherung des Ordners wp-content mit allen Inhalten
Prüfe die wp-config.php auf korrekten Inhalt und die Rechte auf dem Webspace, 644 reicht aus
Prüfe die Inhalte des Ordners wp-content - plugins, themes, uploads - auf richtige Inhalte
Ändere alle Passwörter: WP Backend (besser neuen User anlegen und Inhalte übernehmen, so ändert sich die ID), FTP Zugang (Achte auf starke Passwörter)
Ist die Datenbank das Problem, dann gilt es jede Tabelle zu überprüfen, insbesondere die Tabelle options, beschränke dich vorerst auf die WP Standard-Tabellen
Installiere WordPress neu, mit einer neuen Datenbank
Kopiere die Sicherung des gesäuberten Ordners wp-content auf die Neuinstallation
Importiere die Inhalte des bereinigten, falls nötig, WordPress Export-Files und hole so die Inhalte wieder rein (macht das Probleme, dann muss dies via dem SQL Export geschehen, welches du aber ohne die Tabelle options importieren solltest und bereinige auch dieses File

Überprüfe das Blog mit diversen Tools, nutze die Möglichkeiten, die die obige Artikel aufzeigen und nutze die Macht der .htaccess und der Rechtevergabe

Beispiele der Sicherung in der .htaccess


# PROTECT wp-config.php

 Order deny,allow
 deny from all


# PROTECT wp-login.php with password on .htpasswd

 AuthName "Admin-Bereich"
 AuthType Basic
 AuthUserFile /www/htdocs/w0123123/.htpasswd
 require valid-user


# PROTECT readme.html

 Order Allow,Deny
 Deny from all
 Satisfy all


# PROTECT liesmich.html für DE Edition

 Order Allow,Deny
 Deny from all
 Satisfy all


# PROTECT install.php

 Order Allow,Deny
 Deny from all
 Satisfy all

Beispiel .htaccess in WP Basis

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

Private WordPress Beiträge für geloggte User zeigen

Frank Bültge — Tue, 08 Dec 2009 08:06:24 +0000

Mitunter nutzt man die Funktion der privaten Beiträge in WordPress. Diese Beiträge kann nur der User sehen, der sie erstellt hat, bzw. die Rolle des Administrators. Um alle Usern diese Artikel zu zeigen, die im System angemeldet sind, kann man verschiedene Wege gehen. Ich möchte mal zwei unterschiedliche Wege kurz aufzeigen.

Mit Benutzerdefinierten Feldern

Mit Hilfe der Benutzerdefinierten Feldern wird ein neues Feld private gepflegt; wenn man den Post sehen darf, dann ist dieses Feld mit dem Wert true zu pflegen. Dieses Feld fragen wir dann in der Loop bei der Ausgabe im Frontend ab.


if ( have_posts() ) :
	while ( have_posts() ) : the_post();
	// the loop
	$private = get_post_custom_values('private'); // read custom field
	if ( isset($private[0]) && $private == 'true' ) {
		if ( is_user_logged_in() ) {
			// display private post, only logged users
		}
	} else {
		// display public post, for every visitors
	}

	endwhile;
endif;

Mit Berechtigungsobjekt

Eine andere Methode ist es via Funktion das Berechtigungsobjekt der entsprechenden Rolle zu geben. Dies kann man mit Hilfe eines Plugins tun, zum Beispiel Members, oder einfach mit einem kleinen Codeschnipsel in functions.php des Themes. Der jeweilige Schnipsel muss nur einmal aufgerufen werden, danach kann er entfernt bwz. auskommentiert werden, da das Berechtigungsobjekt in der Datenbank abgespeichert wird.

Das Hinzufügen des Berechtigungsobjektes zum Lesen privater Beiträge read_private_posts zur Role des Autors author.


function fb_add_cap2role() {
	global $wp_roles;

	$wp_roles->add_cap('author', 'read_private_posts');
}
add_action( 'init', 'fb_add_cap2role' );

Ebenso können die Rechte natürlich wieder entfernt werden, dies geht beispielsweise mit der folgenden kleinen Lösung.


function fb_remove_cap2role() {
	global $wp_roles;

	$wp_roles->remove_cap('author', 'read_private_posts');
}
add_action( 'init', 'fb_remove_cap2role' );

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

Die WordPress Datenbank Möglichkeiten

Frank Bültge — Sun, 11 Oct 2009 23:02:39 +0000

Die WordPress Datenbank Klasse ist recht umfangreich und liefert eine ganze Reihe von Methoden um effektiv mit der Datenbank zu arbeiten und dabei auf den WordPress-Standard zuzugreifen.

Zu finden ist die Klasse in /wp-includes/wp-db.php, wo auch die einzelnen Methoden dokumentiert sind. Dort sind weitere Methoden zu finden, allerdings sind die wichtigsten oft in Gebrauch und daher sind diese nur ein Teil der Klasse.

Ich zeige mal die wichtigsten und lege kleine Beispiele ab, zum Teil in unterschiedlichen Schreibweisen, um die Möglichkeiten aufzuzeigen. Es ist von größer Bedeutung mit diesen Möglichkeiten zu arbeiten und so die Sicherheit von Plugins zu gewährleisten. Sie geben ausreichend Möglichkeiten in die Hand, schaffen Sicherheit und man nutzt die Standards von WordPress, muss sich also nicht um Abhängigkeiten kümmern.

Zu folgenden vier Methoden sind im Anschluss Syntaxbeispiele hinterlegt.

insert($table, $data, $format) — insert a row into a table via arrays.
update($table, $data, $where, $format, $where_format) — update a row in a table via arrays.
get_var($query, $x, $y) — retrieve a single variable from the database.
query($query) — perform a MySQL database query with current connection
get_results($query, $output) — retrieve SQL result set from database… one or more rows.
escape($data) — Escapes content for insertion into the database using addslashes(), for security

Ebenso sind die kommenden Methoden interessant.

set_prefix($prefix) — used to set table prefix for WordPress tables, can be used to override prefix at any time
prepare($query) — safely prepares an SQL query for execution with sprintf()-like syntax.
get_row($query, $output, $y) — retrieve a single row from the database.
get_col($query, $x) — retrieve a single column from the database in array format.


/**
 * insert
 */
$wpdb->insert( $wpdb->posts, array( 'post_title' => $mytitle ) );

$wpdb->insert( $wpdb->options, array(
			'option_name',
			'new_option_key',
			'option_value' => 'New Option Value',
			'autoload' => 'yes' )
			);

/**
 * update
 */
$wpdb->update( $wpdb->posts, array( 'post_title' => $mytitle ),
			array( 'ID' => $myid )
			);

$wpdb->update( $wpdb->options,
			array( 'option_value' => 'New Option Value' ),
			array( 'option_name' => 'new_option_value' )
			);

/**
 * get_var
 */
$post_id = $wpdb->get_var(
			$wpdb->prepare( "SELECT post_id FROM
					$wpdb->postmeta WHERE
					post_id = %d AND
					meta_key = 'enclosure' AND
					meta_value LIKE (%s)", $post_ID, $url . '&' )
			);

$content = $wpdb->get_var(
			$wpdb->prepare("SELECT post_content FROM " .
					"$wpdb->posts WHERE " .
					"post_title = %s AND " .
					"ID = %d", $title, $id )
		);

/**
 * query
 */
$wpdb->query( "DELETE FROM $wpdb->options WHERE option_name = '$name'" );

$wpdb->query( "UPDATE $wpdb->posts SET post_title = '$mytitle' WHERE ID = $myid" );

/**
 * query and escape
 */
$mytitle = $wpdb->escape( $mytitle );
$myid    = absint( $myid );
$wpdb->query( "UPDATE $wpdb->posts SET post_title = '$mytitle' WHERE ID = $myid" );

/**
 * get_results
 */
$type = $wpdb->get_results( "SELECT post_type FROM " .
				"$wpdb->posts WHERE ID=$id" );

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

SSEQ-LIB im Einsatz

Frank Bültge — Tue, 08 Sep 2009 09:29:41 +0000

Ich habe hier live im Blog die SSEQ-LIB im Einsatz; nur so kann ich eine ausreichend frequentierte Plattform nutzen um die Library zu testen. Wenn jemanden meiner Leser Fehler, Ungereimtheiten oder einfach Unstimmigkeiten auffallen, dann wäre ich sehr dankbar für eine Mail oder einen Kommentar hier.

Zum Hintergrund: sseq-lib ist eine mächtige PHP-Security Bibliothek
Security-Themen, die sseq-lib behandelt:

XSS (Cross Site Scripting)
SQL-Injection
CSRF (Cross Site Request Forgery)
Session-Fixation
Mail-Header-Injection
File-Injection
HTTP-Header-Manipulation
Response-Splitting
Informative error messages

Viele Informationen stehen im Projektverzeichnis bereit und ebenfalls auf das Blog von Erich Kachel.

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

Dateitypen für die Mediathek freigeben

Frank Bültge — Wed, 02 Sep 2009 04:52:08 +0000

Mit WordPress 2.8.5 wird die Whitelist der erlaubten Mime-Typen für Downloads erstmalig auch für Administratoren gültig. Dies ist ein Schritt in Richtung Sicherheit und wird im Artikel von Robert hinreichend erklärt.
Robert zeigt auch, dass man mit Hilfe einer Konstanten die Möglichkeit alle Datentypen zu uploaden eröffnen kann.
define ('ALLOW_UNFILTERED_UPLOADS', true);

Wer aber im Vorfeld schon diverse Projekte mit WordPress umgesetzt hat und das Problem hatte, dass User nicht über die Rechte zum Upload eines bestimmten Formates besaßen, der musste sich auch da was einfallen lassen.

In vielen Fällen wurde dazu via Plugin Role Manager der Upload aller Mime Typen erlaubt. Aus meiner Sicht nicht der richtige Weg und daher im folgenden ein kleiner Code-Schnipsel, der das Anpassen an die jeweilige Anforderung übernimmt.

Alle erlaubten Typen findet man in der Whitelist-Funktion wp_check_filetype(), in wp-includes/functions.php.
Diese Funktion besitzt einen Filter upload_mimes, den man erweitern kann. Und dort setzen wir an und geben die Mime Typen mit, die wir benötigen. Im folgenden Beispiel erlaube ich dabei php-, xhtml- und htaccess-Files. Die Möglichkeiten werden in einem Array übergeben und die Zuordnung ist wichtig, damit WordPress auch ein Icon zuordnen kann, siehe Screenshot.


function my_upload_mimes() {
	$mime_types = array(
		'php|phps'   => 'text/php',
		'xhtm|xhtml' => 'text/html',
		'htaccess'    => 'text/plain'
	);

	return $mime_types;
}

add_filter( 'upload_mimes', 'my_upload_mimes' );

Mime Typen

Um eine Übersicht aller Mime-Typen zu erhalten, kann gern die folgenden Liste genutzt werden. Die Übergabe an WordPress sollte aber nur die enthalten, die man auch explizit braucht, ansonsten kann die obige Konstante genutzt geben.


$mime_types = array(
'323'     => 'text/h323',
'acx'     => 'application/internet-property-stream',
'ai'      => 'application/postscript',
'aif'     => 'audio/x-aiff',
'aifc'    => 'audio/x-aiff',
'aiff'    => 'audio/x-aiff',
'asf'     => 'video/x-ms-asf',
'asr'     => 'video/x-ms-asf',
'asx'     => 'video/x-ms-asf',
'au'      => 'audio/basic',
'avi'     => 'video/x-msvideo',
'axs'     => 'application/olescript',
'bas'     => 'text/plain',
'bcpio'   => 'application/x-bcpio',
'bin'     => 'application/octet-stream',
'bmp'     => 'image/bmp',
'c'       => 'text/plain',
'cat'     => 'application/vnd.ms-pkiseccat',
'cdf'     => 'application/x-cdf',
'cer'     => 'application/x-x509-ca-cert',
'class'   => 'application/octet-stream',
'clp'     => 'application/x-msclip',
'cmx'     => 'image/x-cmx',
'cod'     => 'image/cis-cod',
'cpio'    => 'application/x-cpio',
'crd'     => 'application/x-mscardfile',
'crl'     => 'application/pkix-crl',
'crt'     => 'application/x-x509-ca-cert',
'csh'     => 'application/x-csh',
'css'     => 'text/css',
'dcr'     => 'application/x-director',
'der'     => 'application/x-x509-ca-cert',
'dir'     => 'application/x-director',
'dll'     => 'application/x-msdownload',
'dms'     => 'application/octet-stream',
'doc'     => 'application/msword',
'dot'     => 'application/msword',
'dvi'     => 'application/x-dvi',
'dxr'     => 'application/x-director',
'eps'     => 'application/postscript',
'etx'     => 'text/x-setext',
'evy'     => 'application/envoy',
'exe'     => 'application/octet-stream',
'fif'     => 'application/fractals',
'flr'     => 'x-world/x-vrml',
'gif'     => 'image/gif',
'gtar'    => 'application/x-gtar',
'gz'      => 'application/x-gzip',
'h'       => 'text/plain',
'hdf'     => 'application/x-hdf',
'hlp'     => 'application/winhlp',
'hqx'     => 'application/mac-binhex40',
'hta'     => 'application/hta',
'htc'     => 'text/x-component',
'htm'     => 'text/html',
'html'    => 'text/html',
'htt'     => 'text/webviewhtml',
'ico'     => 'image/x-icon',
'ief'     => 'image/ief',
'iii'     => 'application/x-iphone',
'ins'     => 'application/x-internet-signup',
'isp'     => 'application/x-internet-signup',
'jfif'    => 'image/pipeg',
'jpe'     => 'image/jpeg',
'jpeg'    => 'image/jpeg',
'jpg'     => 'image/jpeg',
'js'      => 'application/x-javascript',
'latex'   => 'application/x-latex',
'lha'     => 'application/octet-stream',
'lsf'     => 'video/x-la-asf',
'lsx'     => 'video/x-la-asf',
'lzh'     => 'application/octet-stream',
'm13'     => 'application/x-msmediaview',
'm14'     => 'application/x-msmediaview',
'm3u'     => 'audio/x-mpegurl',
'man'     => 'application/x-troff-man',
'mdb'     => 'application/x-msaccess',
'me'      => 'application/x-troff-me',
'mht'     => 'message/rfc822',
'mhtml'   => 'message/rfc822',
'mid'     => 'audio/mid',
'mny'     => 'application/x-msmoney',
'mov'     => 'video/quicktime',
'movie'   => 'video/x-sgi-movie',
'mp2'     => 'video/mpeg',
'mp3'     => 'audio/mpeg',
'mpa'     => 'video/mpeg',
'mpe'     => 'video/mpeg',
'mpeg'    => 'video/mpeg',
'mpg'     => 'video/mpeg',
'mpp'     => 'application/vnd.ms-project',
'mpv2'    => 'video/mpeg',
'ms'      => 'application/x-troff-ms',
'mvb'     => 'application/x-msmediaview',
'nws'     => 'message/rfc822',
'oda'     => 'application/oda',
'p10'     => 'application/pkcs10',
'p12'     => 'application/x-pkcs12',
'p7b'     => 'application/x-pkcs7-certificates',
'p7c'     => 'application/x-pkcs7-mime',
'p7m'     => 'application/x-pkcs7-mime',
'p7r'     => 'application/x-pkcs7-certreqresp',
'p7s'     => 'application/x-pkcs7-signature',
'pbm'     => 'image/x-portable-bitmap',
'pdf'     => 'application/pdf',
'pfx'     => 'application/x-pkcs12',
'pgm'     => 'image/x-portable-graymap',
'pko'     => 'application/ynd.ms-pkipko',
'pma'     => 'application/x-perfmon',
'pmc'     => 'application/x-perfmon',
'pml'     => 'application/x-perfmon',
'pmr'     => 'application/x-perfmon',
'pmw'     => 'application/x-perfmon',
'pnm'     => 'image/x-portable-anymap',
'pot'     => 'application/vnd.ms-powerpoint',
'ppm'     => 'image/x-portable-pixmap',
'pps'     => 'application/vnd.ms-powerpoint',
'ppt'     => 'application/vnd.ms-powerpoint',
'prf'     => 'application/pics-rules',
'ps'      => 'application/postscript',
'pub'     => 'application/x-mspublisher',
'qt'      => 'video/quicktime',
'ra'      => 'audio/x-pn-realaudio',
'ram'     => 'audio/x-pn-realaudio',
'ras'     => 'image/x-cmu-raster',
'rgb'     => 'image/x-rgb',
'rmi'     => 'audio/mid',
'roff'    => 'application/x-troff',
'rtf'     => 'application/rtf',
'rtx'     => 'text/richtext',
'scd'     => 'application/x-msschedule',
'sct'     => 'text/scriptlet',
'setpay'  => 'application/set-payment-initiation',
'setreg'  => 'application/set-registration-initiation',
'sh'      => 'application/x-sh',
'shar'    => 'application/x-shar',
'sit'     => 'application/x-stuffit',
'snd'     => 'audio/basic',
'spc'     => 'application/x-pkcs7-certificates',
'spl'     => 'application/futuresplash',
'src'     => 'application/x-wais-source',
'sst'     => 'application/vnd.ms-pkicertstore',
'stl'     => 'application/vnd.ms-pkistl',
'stm'     => 'text/html',
'svg'     => 'image/svg+xml',
'sv4cpio' => 'application/x-sv4cpio',
'sv4crc'  => 'application/x-sv4crc',
't'       => 'application/x-troff',
'tar'     => 'application/x-tar',
'tcl'     => 'application/x-tcl',
'tex'     => 'application/x-tex',
'texi'    => 'application/x-texinfo',
'texinfo' => 'application/x-texinfo',
'tgz'     => 'application/x-compressed',
'tif'     => 'image/tiff',
'tiff'    => 'image/tiff',
'tr'      => 'application/x-troff',
'trm'     => 'application/x-msterminal',
'tsv'     => 'text/tab-separated-values',
'txt'     => 'text/plain',
'uls'     => 'text/iuls',
'ustar'   => 'application/x-ustar',
'vcf'     => 'text/x-vcard',
'vrml'    => 'x-world/x-vrml',
'wav'     => 'audio/x-wav',
'wcm'     => 'application/vnd.ms-works',
'wdb'     => 'application/vnd.ms-works',
'wks'     => 'application/vnd.ms-works',
'wmf'     => 'application/x-msmetafile',
'wps'     => 'application/vnd.ms-works',
'wri'     => 'application/x-mswrite',
'wrl'     => 'x-world/x-vrml',
'wrz'     => 'x-world/x-vrml',
'xaf'     => 'x-world/x-vrml',
'xbm'     => 'image/x-xbitmap',
'xla'     => 'application/vnd.ms-excel',
'xlc'     => 'application/vnd.ms-excel',
'xlm'     => 'application/vnd.ms-excel',
'xls'     => 'application/vnd.ms-excel',
'xlt'     => 'application/vnd.ms-excel',
'xlw'     => 'application/vnd.ms-excel',
'xof'     => 'x-world/x-vrml',
'xpm'     => 'image/x-xpixmap',
'xwd'     => 'image/x-xwindowdump',
'z'       => 'application/x-compress',
'zip'     => 'application/zip'
);

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

XSS Scanner leicht gemacht

Frank Bültge — Thu, 26 Mar 2009 13:00:47 +0000

Ein XSS Scanner, der einfach als Bookmark genutzt werden kann – genau das ist XSS Rays.
Das Tool ist ein Open-Source-Werkzeug, wurde in JavaScipt geschrieben und kann browserübergreifend XSS-Anfälligkeiten finden.

Zum Thema XSS habe ich bereits einiges an Infos veröffentlicht, was mir im Lernprozess geholfen hat, siehe Beitrag Cross Site Scripting (XSS). Bisher habe ich andere Tools eingesetzt, die mir ein wenig Sicherheit nach dem Coden geben. Mit diesem Tool bin ich daher sofort infiziert, infiziert von einer Idee, die es wirklich einfach macht, eine kleine weitere Prüfung beim Entwickeln aufzunehmen.

Im Entwicklungsprozess kann so schnell, einfach und unkompliziert die Sicherheit erhöht werden. Das Tool ist schnell als Lesezeichen im Browser abgelegt und scannt Links und Pfade. Alternativ kann man neue Angriffsvektoren hinzufügen. Definitiv ein Bookmark wert. Download und Anwendung finden sich auf der Webseite zum Tool XSS Rays.

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

WordPress Update Info nur für Admins

Frank Bültge — Fri, 23 Jan 2009 08:03:18 +0000

Nicht selten setzt man WordPress für Nicht-Administratoren ein, sei es als CMS oder Weblog, - darum sollten auch nicht alle Nutzerrollen eine Informationen über Plugin- und Core-Updates bekommen.
Um dies einfach und schnell zu realisieren, nutze ich eine kleine Abfrage in der functions.php des Themes. Mit Hilfe des Objektes edit_plugins (Rechte für Userlevel und Objekte lassen sich im Codex nachlesen) prüfe ich, ob es sich um einen User handelt, der diese Möglichkeit besitzt und die im Standard nur Administratoren zu Teil wird. Damit stelle ich sicher, dass auch nur diese Nutzer die Information über Aktualisierungen von Plugins und dem Core bekommen.

Nicht jeder will die Form der Funktionalitäten in ein Theme integrieren, wo sie sicher auch nicht unbedingt perfekt aufgehoben sind. Alternativ werde ich diese Lösung im Plugin „Secure WordPress“ integriert, so dass man sie dort über eine Auswahlseite aktivieren kann.


/**
 * remove core-Update-Information
 * @rights: http://codex.wordpress.org/Roles_and_Capabilities
 */
if ( !current_user_can( 'edit_plugins' ) ) {
	// core update
	add_action( 'init', create_function( '$a', "remove_action( 'init', 'wp_version_check' );" ) );
	add_filter( 'pre_option_update_core', create_function( '$a', "return null;" ) );
	// plugin update
	add_action( 'admin_menu', create_function( '$a', "remove_action( 'load-plugins.php', 'wp_update_plugins' );" ) );
	add_action( 'admin_init', create_function( '$a', "remove_action( 'admin_init', 'wp_update_plugins' );" ), 2 );
	add_action( 'init', create_function( '$a', "remove_action( 'init', 'wp_update_plugins' );" ), 2 );
	add_filter( 'pre_option_update_plugins', create_function( '$a', "return null;" ) );
}

Wer also den obigen Codeschnippsel nicht nutzen möchte und eine komfortable Verwaltung sucht, ~~der wartet bitte ein wenig - die aktuelle Version kommt sicher in den nächsten Tagen~~ der nutzt das Plugin Secure WordPress, in dem ich die Erweiterung nun drin habe.

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

Angst vor dem IE 8?

Frank Bültge — Thu, 11 Sep 2008 07:34:15 +0000

Der Internet Explorer der Version 8 steht in den Startlöchern und es wurde schon viel darüber berichtet. Für Microsoft ist es aus meiner Sicht eine sehr starke Veränderung, für Webentwickler ist es ein Fortschritt in jeder Hinsicht. Der IE war in der Vergangenheit nicht gerade der Liebling der Webentwickler. Allerdings sollte man auch nicht verschweigen, dass Microsoft eine ganze Reihe von Möglichkeiten im Web geschaffen hat, die den Internet Explorer zumindest im Bereich von Administration und Business-Anwendungen schon vor AJAX und Web 2.0 zu Möglichkeiten verhalf, die mit anderen Browsern damals nicht denkbar waren.

Und auch beim Internet Explorer 8 führt Microsoft wieder Neuerungen ein, die der Webwelt vorerst in zwei Lager spalten. In diesem Artikel will ich mich daher nicht über Webstandards und Microsoft auslassen, sondern über die neuen Funktionen gegen das Ausspähen von Nutzern.

Den Schwenk von proprietärem Standard, hin zu offenen Webstandards und Vorgaben des W3C sorgen bei einigen Unternehmen schon jetzt für Unbehagen. Noch können Sie sich eine Weile gegen den neuen Browsers wehren, aber ewig werden sie das Lager des IE 6 doch nicht halten können und müssen auch dem Druck der Anwender im Unternehmen nachgeben. Der eingeführte Meta-Tag, der den IE 8 mit der Darstellungsfunktion des IE 7 fahren lässt, wird uns wohl noch geraume Zeit begleiten.

Seit der Beta 2 des IE 8 ist nun aber ein zweiter Punkt im Browser, der nicht nur die Unternehmen für die Verwendung des Browsers intern verärgert, sondern auch für die Funktion vieler Webservices und Websiten kann mit der neuen Funktion InPrivate viel Unbehagen gestreut werden.

InPrivat

In einigen Medien auch als Porno-Modus bekannt, soll die InPrivate-Funktion dem Nutzer mehr Sicherheit geben. Die Privatsphäre des Nutzers wird gewahrt. Wissbegierige Anbieter werden ausgesperrt. Die neue Funktion sammelt eine ganze Reihe von Funktionen, die man auch aus anderen Browsern kennt, die aber im IE 8 gebündelt werden und der Unternehmensführung das Leben sehr erschweren können. Eine einfache Funktion ist dabei beispielsweise, dass man via Klick die Spuren des Surfverhaltens löschen kann. Dies ist aber so nicht immer erwünscht, denn dabei können auch für den Nutzer wichtige Informationen verloren gehen. Im IE 8 öffnet der InPrivate Modus ein neues Fenster und wendet in diesem Browser alle Mechanismen an, die die Privatsphäre schützen. Alle Informationen, die im Vorfeld im „normalen“ Modus gespeichert wurden, bleiben dabei aber erhalten. Alle Daten werden also nur temporär bis zum Ende dieser Sitzung gespeichert. Cookies und Cache-Dateien, Suchanfragen, Formulare und Passwörter werden damit nicht gespeichert, ebenso die Historie der URLs.

Auswirkungen

Um das Surfverhalten eines Nutzers zu erhalten, nutzen eine ganze Reihe von Firmen die Cookies; bekanntestes Beispiel ist wohl Google, die mit einer vielen Services unter diesem Modus leiden werden. Die Werbung, die Google finanziert und auf den Nutzer abstimmt, wäre dann nicht mehr so lukrativ und Google hat mit Sicherheit einen geringeren Interessenkreis von Werbenden, wenn sie diese Funktion nicht umgehen können.
Wie bei so vielen Sicherheitsthemen sind die Lösungen/Alternativen nicht weit und auch in diesem Bereich gibt es Möglichkeiten, die schon jetzt Anwendung finden - die Adobe Flash Cookies. Diese Form der Cookies lassen sich nicht über die Konfiguration des Browsers auslesen oder löschen. Eine anderen Lösung ist die Zuordnung eines „Fingerprint“, der ebenfalls schon jetzt von diversen Anwendungen genutzt wird. Mit der Veröffentlichung des IE 8 wird dieser Trend sicher enorm an Potenzial gewinnen.

Eine weitere Funktion des IE 8 wird aber sicher viele Anbieter im Web vor eine Veränderung stellen bzw. zum Umdenken bewegen, die Funktion „Blocking“. Auch diese Funktion wird mit dem InPrivate-Modus aktiviert. Sie richtet sich in erster Linie gegen die Angebote Dritter in Websites. Dem Anwender ist aktuell nicht bewusst, wo die Daten herkommen. Im einfachsten Fall geht der Nutzer davon aus, dass die alle Inhalte von der Website kommen, dessen URL in der Adresszeile steht. Vielen Websiten und Services nutzen aber die Möglichkeit Inhalte von anderen Seiten bereit zu stellen, ohne die angesurfte Website zu verlassen. Auf dem Blog von Microsoft zum IE wird dieser Modus diskutiert und im Sinne des Web ist die Zusammenführung von Inhalten legitim. Für die Privatsphäre des Nutzers ist das aber eine Verletzung, so Dean Hachamovitch, Gerneral Manager des IE. Denken wir an Analysetools und Anzeigenvermarktung, dann ist diese Technik nicht weg zu denken. Im Zeitalter des Web 2.0 ist diese Technologie richtig populär geworden. Websites sind keine abgeschlossenen Container, viele Schnittstellen wie z.B. XML machen die Integration externer Services einfach. Auch hier trifft es den Riesen Google besonders, denke ich nur an Google Maps. Viel genutzt um Informationen auf der Website zu bereichern, ist es doch ein Dienst außerhalb der eigentlichen Website. Ebenfalls trifft dieser Modus viele Services des Web 2.0 und Unternehmen, die ihre Website mit externen Daten füttern, um die Inhalte attraktiver zu gestalten.
Diese Funktion erhält seitens Microsoft sogar noch einen Bonus, denn die Suchmuster des Browsers können gesammelt und importiert werden. Damit kann jeder Nutzer des IE seine eigene Liste erstellen und diese zum Download anbieten. Ähnlich kennt man das vom Add on Adblock Plus im Firefox. Dabei handelt es sich aber um eine Erweiterung, was die Nutzerzahl reduziert; der Laie nutzt den Browser in seiner reinsten Form und kennt oft diverse und Möglichkeiten nicht.

Fazit

Microsoft bringt einen neuen Browser und zum ersten mal macht man den Webentwicklern wohl eine Freude damit, dass man offene Standards unterstützt. Im gleichen Atemzug werden aber diverse Entwicklungen erschwert, da Microsoft dem Nutzer mit InPrivate einen neuen Service bietet. Die berechtigte Sorge vieler Nutzer, dass ihre Gewohnheiten und Interessen durch kommerzielle Websites ausgespäht werden, kann damit genommen werden und jeder Nutzer kann selbst entscheiden, was er frei geben will. Ein zweischneidiges Schwert - einerseits genießen Nutzer die zugeschnittenen Angebote oder bessere Suchergebnisse, andererseits wollen sie ihre Privatsphäre behalten. Mit diesem neuen Modus im IE 8 bündelt Microsoft viele bisher verstreute Funktionen und macht die Nutzung einfach, auch für wenige versierte Anwender. In Private sorgt nicht nur dafür, dass Inhalte aus dem WWW lokal gespeichert werden, sondern hält Drittinhalte außen vor. Mit der letzteren Funktion werden sicher viele Anbieter im Web ein Problem haben und Auswirkungen lassen sich heute noch nicht absehen. Wird also der IE 8 nur annähernd so viele Nutzer wie der viel verhasste IE 6 haben, dann setzt Microsoft die Webanbieter unter Zugzwang. Google muss also mehr als eine Alternative im Browsermarkt bieten, denn nur sehr wenige Unternehmen werden von der Hauptstraße Microsoft abbiegen und einen alternativen Browser nutzen. Alternativ können die Anbieter hoffen, dass die Nutzung Angebote Dritter schon so weit fortgeschritten ist, dass die Nutzer diesen Service nicht mehr wissen wollen und diesen Modus im IE 8 keine Chance geben.

Mal wieder zeigt Microsoft, dass sie ein berechtigtes Mitspracherecht auch über und im Web haben. Mit der Veröffentlichung der Beta 2 des IE 8 ist das Interesse nicht nur seitens der Webentwickler da, denn InPrivate betrifft viel größere Kreise und könnte den aktuellen Trend zu Integration immer mehr Mashups ändern.

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

WordPress 2.6, ohne XML-RPC & Atom

Frank Bültge — Fri, 20 Jun 2008 16:43:07 +0000

Einige Neuerungen wurden schon in hier im Blog, bei WP Deutschland und bei TalkPress vorgestellt, unter anderem gibt es Veränderungen in Richtung Sicherheit der Installation. In diese Richtung geht auch die neuste Änderung des Core. Die Standard-Installation ist geliebtes Kind von WordPress und die Einfachheit soll erhalten bleiben.
Trotzdem geht man dazu über, dass im zukünftigen Standard die XMLRPC-Schnittstelle und das Atom-Protokoll nicht aktiv sind. Aber keine Angst vor großen Eingriffen, zwei Felder in den Optionen genügen und schon ist man wieder aktiv in der Welt der Blogs unterwegs. Zu finden sind die Einstellungen im Bereich Einstellungen > Schreiben.

Aktiv oder nicht, dass wird im übrigen ab 2.6 schon in der Installation abgefragt, so dass Neuinstallationen direkt darauf gestoßen werden.

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

WordPress Login Sicherheit - Secure WP (Plugin)

Frank Bültge — Mon, 19 May 2008 03:47:20 +0000

Für dieses Plugin gibt es keinen Support mehr von mir, die Version wurde komplett übernommen und wird von Site Security Monitor betreut. Bitte nutzt diese Version und meldet euch über die Plugin-Seite mit Fehlern, Wünschen und Hinweisen.

I don't provide support anymore for this plugin. This version has been completely taken over and will be maintained by Site Security Monitor. Please use this version and send emails via the plugin page about errors, wishes and tips.

WordPress gibt dem Anwender Information in die Hand, wenn er/sie sich falsch versucht hat einzuloggen. Die Ausgabe der Informationen sind recht vielschichtig und stellen ein Sicherheitsrisiko dar, denn mit diesen Informationen kann ein potenzieller Eindringling seinen Algorithmus beeinflussen.

Im Bereich Usability ist das auch ein feiner Zug und viele „normale Anwender“ sind für diese Information sicher dankbar. Im Bereich eines Privatblogs oder mit Nutzern die mit der Umgebung vertraut sind sind diese Informationen nicht sonderlich relevant. Darum deaktiviere ich sie und mache so ein weiteres Hilfsmittel für potentielle Eindringlinge dicht. Das geht recht einfach, denn WordPress benutzt auch hier einen Filter-Hook und somit kann man diesen Filter recht einfach deaktivieren.

Je nach Kenntnisstand kann man das auf zwei verschiedene Varianten tun. Entweder der folgende Code kommt in die functions.php des Themes oder man aktiviert einfach das nachstehend angebotene Plugin.

Das Plugin werde ich nach und nach mit weiteren Lösungen ausbauen, je nach Zeit und Kenntnisstand. Aktuell habe ich viele Lösungen auf unterschiedlichem Wege realisiert und will diese in diesem Plugin ablegen. Mit wenig Aufwand soll man so die gängigen Probleme lösen können. Ich werde aber sicher keinen Optionsbereich einbauen, denn zusätzliche Daten in der Datenbank für derartige Lösungen halte ich für überflüssig. Alles weitere dokumentiere ich dann hier im Beitrag und im Quellcode.


/**
 * remove Error-information
 */
add_filter( 'login_errors', create_function( '$a', "return null;" ) );

Was macht das Plugin ?

Error Informationen aus dem Login-Bereich entfernen
WordPress Version aus allen Bereich, außer Backend, entfernen; auch im Feed (weitere Info's)
Versionsinformation für Nicht-Admins auch im Backend nicht ersichtlich.
erstellt eine virtuelle index.html im Plugin-Verzeichnis und eventuell das Listen des Inhaltes zu verhindern.
Entfernt Link für Windows Live Writer
Entfernt Link zum Really Simple Discovery Service
Entfernt die Update-Info zur WordPress Version für Nicht-Admins
Entfernt die Update-Info zu Plugin Updates für Nicht-Admins
Ergänzt um den String um den WP Scanner zu nutzen
WordPress gegen bösartige URL-Anforderungen schützen

Anforderungen

Secure WordPress arbeitet ab WP 2.6 und wurde getestet bis Version 2.9-rare.

Installation

Die gepackte Datei downloaden und lokal entpacken
Die Datei in dein Plugin-Verzeichnis kopieren (/wp-content/plugins/)
Aktivieren des Plugins im Adminbereich deines WP

Download:

Der Download ist auf der zugehörigen Plugin-Seite zu finden; dort steht die jeweils letzte Version zur Verfügung.

Historie

0.1 - Idee und Umsetzung
0.2 - Hinzugekommen: Entfernt WP-Version in allen Bereichen, außer Admin; fügt die index.html zum Plugin-Verzeichnis hinzu (damit kann das Plugin Replace WP-Version entfallen)
0.3 - WP 2.7 ready, alle Funktionen optional, Optionsbereich, ital. Sprachfile, etc.
0.3.1/2 - fix für WP <2.7; neue Funktion RSD und WLW
0.3.3 - Bugfix für WLW
0.3.4 - Erweiterung um zwei neue Option, Code verfeinert, mehr Möglichkeiten aus dem Core genutzt; optimiert für >=2.7; CSS ergänzt um auch das Markup der Error-Meldung zu entfernen
0.3.5 - Korrigieren Rechtschreibung in der dt. Sprachdatei; eine Abfrage hinzugefügt, die sicher stellt, dass diverse Hooks nur genutzt werden, wenn die Seite auch aktiv ist
0.3.6 - Erweiterung um WP Scanner, Bugfix für Mehrsprachigkeit (08/05/2009)
0.3.7 - Erweiterung für WP 2.8; Meta Links der Plugin-Seite (10/06/2009)
0.3.8 - add function to remove theme-update information for non-admins, rescan language file; edit de_DE (22/06/2009)
Bitte nutzt das Changelog zum Plugin, welches aktuell immer gepflegt wird.

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

WordPress Plugins für mehr Sicherheit

Frank Bültge — Mon, 14 Apr 2008 10:41:30 +0000

In den letzten Tagen und Wochen wurden vermehrt Weblogs gehackt, die mit WordPress betrieben werden. Die Ursachen können sehr unterschiedlich sein, einer der letzten Punkte waren angreifbare freie Themes.

Ich wünsche, dass die Nutzer durch solche Themen sensibler werden und nicht blind jedes Plugin oder Theme in ihr Live-System kopieren und nutzen.

Ein ganz anderer Punkt ist die Sicherheit zu erhöhen, dass kann man mit einigen Punkte in der Installation, die ich hinreichend in den Artikeln „WordPress sicherer machen“ und „WordPress Templates sicherer machen“ erläutere.

Im weiteren haben sich aber auch eine ganze Reihe an Plugin-Autoren um die Sicherheit bemüht und entsprechende Plugins veröffentlicht.

Eine ausführliche Liste mit Hintergründen zu den Plugins hat speckyboy.com veröffentlicht. In jeden Fall eine Lese-Empfehlung.

Update: Weitere Plugins

WP-Adminprotection
Login LockDown
DigoWatchWP
Hash Checker
Postlogger
Secure WordPress - im laufe dieser Aktionen entstanden und erschwert es unerlaubten Personen Informationen zu erhalten
WordPress Exploit Scanner Scannt die Datenbank oder die Dateien nach klassischen Hack-Eingriffen, zum Beispiel Spamlinks im Theme.

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

WordPress Plugin Sicherheitsmöglichkeiten

Frank Bültge — Thu, 31 Jan 2008 12:51:04 +0000

In der Nachbearbeitung meines Eindrucks und Aufenthaltes des WordCamp08 habe ich es schon anklingen lassen - es gibt ein paar Hinweise für das Erstellen sicherer Plugins für WordPress, wobei ich in kurzer und knapper Form vorgehe.
Ich denke, dass jeder, der sich mit der Entwicklung eigener Plugins beschäftigt, die kurze und einfache Form geniest, ohne viel Drumherum. Außerdem fehlt mir aktuell die Zeit für lange und tiefe Texte, ich hoffe, dass man das versteht.

In der Präsentation sind eine ganze Reihe von Möglichkeiten hinterlegt, vor allem zum Thema Verantwortung und Bewusstsein im Bezug auf den PHP- und WordPress-Coding-Standard, die man immer beherzigen sollte.

Die einzelnen Punkte der Präsentation spreche ich hier nicht mehr an, gebe aber nochmal Infos zu Möglichkeiten und Referenzen.

PHP Möglichkeiten

PHP bietet eine ganze Reihe von Funktionen, die das Validieren und Filtern von Daten erlaubt. Einige Beispiele die im täglichen Umfeld sehr nützlich sind.

htmlspecialchars()
strip_tags()
urlencode()
intval()
addslashes()
mysql_escape_string()

Als Lektüre dient der PHP.net Security Guide und PHP Security Guide (PDF, 311kByte) mit 12 wichtigen Punkten.

WordPress Möglichkeiten, Konstanten

Aber auch WordPress bringt einige Möglichkeiten mit, dabei sind zwei Funktionen besonders nützlich und hilfreich: attribute_escape() und wp_nonce().

Unerwähnt sollen aber nicht die Konstanten bleiben, die es bereits in den Core-Files von WP gibt und die gerade zur Anwendung prädestiniert sind.

TEMPLATEPATH
STYLESHEETPATH
ABSPATH
WPINC
PLUGINDIR
COOKIEPATH, COOKIEHASH, USER_COOKIE, PASS_COOKIE, AUTH_COOKIE und weitere Cookie-Konstanten

Einer Konstante kommt dabei eine Sonderrolle zu: WP_DEBUG.
Diese Konstante muss in der wp-config.php auf TRUE gesetzt werden und schon ist WordPress im Debug-Modus (error_reporting(E_ALL)) und gibt alle Informationen nach außen.

define('WP_DEBUG', true);


attribute_escape
Die erste der beiden Funktionen dient dem Filtern von Daten und sollte vorrangig Verwendung bei der Ausgabe von Daten (echo's) finden, vor allem wenn sie per _POST oder _GET übertragen werden.
wp_nonce
Die zweite Funktion bringt eine ganze Reihe weiterer Funktionen mit, die das Übergeben einer Signatur beim Absenden von Formularen ermöglicht. Nähers im folgenden Syntax.

/*
Plugin Name: Security Example
Plugin URI: http://bueltge.de/
Description: fbSecurity Example
Author: Frank Bueltge
Version: 0.1
Author URI: http://bueltge.de/
*/

/**
  * Function definieren
  * fbexample_ ersetzen
  *
  */
if ( !function_exists('wp_nonce_field') ) {
	function fbexample_nonce_field($action = -1) {
		return;
	}
	$fbexample_nonce = -1;
} else {
	function fbexample_nonce_field($action = -1) {
		return wp_nonce_field($action);
	}
	$fbexample_nonce = 'fbexample_update_key';
}

/**
  * POST Uebergabe, Admin-Page
  * fbexample_ ersetzen
  *
  */
function fbexample_page() {
	global $fbexample_nonce, $fbexample_key;

	if ($_POST['action'] == 'submit') {

		if ( function_exists('current_user_can') && current_user_can('edit_plugins') ) {
			check_admin_referer($fbexample_nonce);

			$fbexample1 = $_POST['fbexample1'];
			. . .

		} else {
			wp_die('

'.__('You do not have sufficient permissions to edit plugins for this blog.').'

');
		}
	}
?>



		

		. . .


	




WordPress Plugin Framework
Als letzten Punkt noch der Hinweis zu einer Idee, die ich für sehr gelungen halte - in Punkte Entwicklung und Umsetzung, das WordPress Plugin Framework.
Dieses Framework bringt die gängigen Möglichkeiten mit, die im Bereich Plugin erforderlich sind und hat die typischen Sicherheitspunkte, wie oben angesprochen, im Syntax. Das Framework steht als Klasse bereit und kann einfach eingesetzt werden.

Eine Dokumentation steht bereit und die deutsche Übersetzung ist in Vorbereitung.
Referenzen und weitere Links

PHP Security Guide (PDF, 311kByte)
PHP.net Security Guide
Writing Secure WordPress Plugins
WordPress 2.0.3: Nonces
PHP Blogger mit weiteren Tipps zu PHP-Sicherheit


 © Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)
Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren



WordPress Version verschleiern (Plugin)
Frank Bültge — Wed, 23 Jan 2008 09:04:20 +0000


Bild: Noticiastech

Wie man WordPress in 11 Punkten sicherer macht, dass habe ich im Artikel „WordPress sicherer machen“ auf dem Blog zu meinen Buch „WordPress - Weblogs einrichten und administrieren“ in kurzer und knapper Form erläutert.
Dabei erläutere ich in Punkt 4 des Artikels, dass man dem Außenstehenden nicht unbedingt die Version seiner Installation verraten sollte. Dies ist vor allem relevant, wenn man das Blog nicht immer auf dem neusten Stand hält/ halten kann.

Dafür kann es eine ganze Reihe von Gründen geben. Nehmen wir beispielsweise ein Kundenprojekt, aufgesetzt mit WordPress. Nach besten Wissen und Gewissen eingerichtet und administriert. Allerdings möchte der Kunde keinen weiteren Pflegevertrag und so liegt das Blog in der Regel mit der einmalig installieren Version auf dem Webspace.
Allerdings ist es nicht für jeden Anwender einfach, die Versionsnummer zu entfernen bzw. zu ändern, deshalb habe ich mir eine Lösung via Plugin überlegt.
Im WWW werden in der Regel Sicherheitslücken mitgeteilt und auch potenziell böswillige Interessenten nutzen diese Information und suchen nach den entsprechenden Versionen mit ihren Schwachstellen.
Eine Webapplikation wirklich sicher zu bekommen, so dass auch die Arbeit damit nicht zur Last fällt, ist sicher immer schwierig, aber die Verschleierung der Version ist sicher ein weiterer Schritt zu mehr Sicherheit.
Nun aber wieder zur Ausgabe der WP-Verison, die in der Regel im Feed und im Theme zu finden ist. Das Entfernen im Theme stellt keine großen Probleme dar, dazu genügt das entfernen der folgenden Zeile.

Aber auch das kann für den einen oder anderen schon zum Problem werden.
Um nun aber die Version der WP-Installation auch noch aus dem Feed zu bekommen, muss man in die Core-Dateien von WordPress eingreifen. Dies erschwert Updates und ist aus den unterschiedlichsten Gründen nicht zu empfehlen, zumindest für den Laien.
Ab Version 2.5 von WordPress wird der Generator-Tag mit Hilfe einer neuen Funktion (the_generator()) in die jeweiligen Funktionen, wie RSS, ATOM oder RDF, eingebracht, was es ein wenig einfacher macht, die Ausgabe der Installations-Versions-Nummer zu unterbinden.

Derzeit wird es in der Datei zum Erstellen des RSS und Atom-Feeds via bloginfo_rss() eingefügt und ansonsten wird direkt die Variable ausgelesen.
Ich habe nun ein Plugin erstellt, dass alle drei Möglichkeiten beachtet und die Versionsnummer im Backend auch weiterhin ausgibt, denn sie ist für das eine oder andere Plugin relevant.
Update
Im weiteren Verlauf ist ein Plugin entstanden, welches weitere Sicherheitsprobleme schließt - Secure WordPress. Dieses Plugin hat diese Lösung im Kern und kann es damit ersetzen.
Replace WP-Version (Plugin)
Das Plugin ersetzt die WordPress-Versionsnummer mit einer Zufallszahl zwischen 0 und 9999 bei  einer WordPress-Installation kleiner Version 2.4.
Ab WordPress Version 2.4 wird der Tag komplett entfernt.
Anforderungen:
Das Plugin wurde unter WP 2.0.2, WP 2.3.* und WP 2.4beta getestet.

Achtung: Ich habe das Plugin nach bestem Wissen erstellt und getestet incl. Validierung der Feeds. Trotzdem kann es zu Problemen kommen, denn es ist kein Filter, den man in WordPress deaktivieren kann. Sollte es also zu Problemen mit dem einen oder anderen Plugin kommen - ich würde mich über Feedback freuen. Aber ich kann und will keine Garantie für die problemlose Funktion übernehmen!
Installation:

Die zip-Datei downloaden und entpacken
Kopiere die Datei in dein Plugin-Verzeichnis (/wp-content/plugins/)
Aktiviere das Plugin im Adminbereich deines Blogs

Download:













Ist die Arbeit nicht 1 Euro wert?

Jede Spende wird dankbar angenommen und ermöglicht das weitere Arbeiten an freier Software.

Möchtest du mehr oder anders spenden, so besuche meine Wunschliste.

Download als zip-Datei: downloads.wordpress.org/plugin/replace-wp-version.zip - 1 kByte
Historie

v0.1 - Idee und Umsetzung
v0.2 - 0.3 - Codeverbesserung, Testphase mit DB-Änderung
v1.0 - Stabiler Stand in allen WordPress-Versionen, test bis 2.6entw.


 © Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)
Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren



WordPress sicher installieren/ machen
Frank Bültge — Mon, 21 Jan 2008 11:13:09 +0000
Immer wieder bekomme ich Fragen zum Thema Sicherheit einer WordPress-Installation, vorrangig via E-Mail. Ebenso werde ich darauf hingewiesen, dass das Thema in meinem Buch „WordPress - Weblogs einrichten und administrieren“ keinen Raum fand.
Dem muss ich leider zustimmen und der Kritik nehme ich mich gerne an.

Deshalb habe ich nun den Entwurf auf dem SVN geholt und stark vereinfacht auf das zugehörige Blog gesetzt.
Da ich glaube, dass ich eine ganze Reihe von Sicherheitsaspekten dort hinterlegt habe und in kurzer Form erläutere, möchte ich den Lesern dieses privaten Blogs hier den Artikel „WordPress sicher machen“ nicht vorenthalten.

In diesem Zusammenhang noch ein kleiner Hinweis in eigener Sache. Auf Einladung der Organisatoren, werde ich auf dem WordCamp08 einen kleinen Vortrag zum Thema Sicherheit halten, allerdings vorrangig im Bezug auf WordPress Plugins. Nicht viel, nichts besonderes, aber vielleicht für den einen oder anderen interessant, da ich einige Möglichkeiten zeigen möchte, wie man Plugins recht sicher gestallten kann - ohne große Aufwand. Viele Ansätze kann man dabei auf die Erstellung von Themes ebenfalls einsetzen.
Sollte der eine oder andere leider nicht auf dem WordCamp erscheinen können, ich werden die Präsentation im Anschluss sicher hier hochladen und einige Punkte dazu erläutern.


 © Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)
Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren



WordPress Update 2.3.2
Frank Bültge — Fri, 21 Dec 2007 07:04:01 +0000

Wer noch vor den Feiertagen einige Bugs und Sicherheitslöcher schließen will - Version 2.3.2 beta steht zum Download bereit.
This packages up some of the recent security issues, including the

is_admin() fix and the display of DB errors.  We now suppress display

of DB errors by default.  They appear only in the error log.
Added bonus, you can now create a custom DB error page at

wp-content/db-error.php.  This is displayed when WP can't connect to

the DB, for whatever reason.
Ryan Boren
Der Sprung auf die neue 2.4 wird erst im neuen Jahr erfolgen, wobei es viele Veränderungen geben wird. Unter anderem bekommt die Passwortverschlüsselung eine neue Funktion und das Admin erstrahlt im neuen Glanz. Lassen wir uns also überraschen, was das kommende Jahr bringt in Sachen WordPress.
Version 2.3.2 Beta2 Download der zip-Datei (1 MByte)
Bugfixes der 2.3.2 sind im Trac zu finden.
Update
2.3.2 RC1 ist fertig


 © Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)
Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren



Schütze deine wp-config.php
Frank Bültge — Fri, 16 Nov 2007 13:19:48 +0000


Ronald Huereca erklärt in einem Artikel auf Devlounge, wie man dafür sorgt, dass die wp-config.php der WordPress-Installation nicht für Hacker einfach erreichbar ist um so die Möglichkeit eines Hackerangriffs auf das eigene Blog zu erschweren.
Die wp-config.php ist der Schlüssel zur Datenbank und damit stehen einem Eindringen in die Datenbank nur wenige Handgriffe bevor und schon liegt die DB offen, Damit kann ein „Bösewicht“ die Daten verändern oder gar alle Daten löschen. Also liegt es nahe, diese Datei vor fremden Zugriff zu schützen. Wie und und mit welchen Mitteln man dies machen kann, das erklärt der Artikel auf zwei unterschiedliche Wegen.
Ich habe die jeweiligen Code-Schnippsel im Anschluss nochmal hinterlegt, da ich die Idee für sinnvoll und machbar, auch für den „Laien“, erachte, so dass man auch mit deutschen Sprachkenntnissen der Idee folgen und umsetzen kann.
.htaccess erweitern
Ronald erklärt zwei unterschiedliche Ansätze. Im ersten Schritt sichert er den Zugriff via .htaccess, was schnell und einfach erledigt ist.

# protect wpconfig.php

Order deny,allow
deny from all


Damit könnte eine .htaccess für WordPress folgenden Aufbau und Inhalt haben, wobei ich gleich einige mehr Regeln integriert habe, kleine Erläuterungen dazu im Syntax.


RewriteEngine On
RewriteBase /

# www2nowww
RewriteCond %{HTTP_HOST} ^([^.]+)\.bueltge\.de$ [NC]
RewriteRule ^(.*)$ http://bueltge.de/$1 [R=301,L]

# Hinzufuegn von Slash
RewriteCond %{REQUEST_URI} ^/[^\.]+[^/]$
RewriteRule ^(.*)$ http://%{HTTP_HOST}/$1/ [R=301,L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]


# Schutz der wp-config.php

Order deny,allow
deny from all


# Datei zum Regeln von IP-Bereichen
Order deny,allow
Allow from all
# Sperre folgende IPs
deny from 83.246.96.42
deny from 82.103.133.221
deny from 74.86.15.2

Auslagern der wp-config.php
Die zweite Idee geht davon aus, dass die Datei an einen Ort des Servers verschoben wird, der nicht öffentlich zugänglich ist. Ein Beispiel soll es verdeutlichen: die Datei liegt im Normalfall im absoluten Pfad /home/deinname/public_html/, dies ändert sich nun, denn die Datei wird eine Ebene tiefer abgelegt /home/deinname/. Dies ist nicht bei allen Webhostern so, so dass die Möglichkeit nicht bei allen WordPress-Installationen möglich ist.
Die klassische wp-config.php enthält folgenden Syntax.



Mit diesen Daten erstellt ihr eine neue Datei config.php.



Diese Datei wird nun per FTP in das nicht öffentliche Verzeichnis des Servers kopiert, in unserem Beispiel ist das /home/deinname/
Die originale wp-config.php wird nun verändert. Dabei werden die Datenbank-Verbindungsdaten mit Hilfe der include-Anweisung eingebunden.



Damit stehen WordPress die Daten für die Datenbank zur Verfügung und die Datei kann nicht einfach als Text angezeigt werden, denn sie liegt in einem nicht öffentlichen Bereich.


 © Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)
Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren



WordPress Scanner für mehr Sicherheit
Frank Bültge — Mon, 25 Jun 2007 12:55:32 +0000
BlogSecurity bietet die Online-Version des WP-Scanners schon eine geraume Zeit an - dann nutzt ihn auch und checkt eurer WordPress-Installation!

Nicht immer liegt es an den Dateien von WordPress, auch das Theme kann Sicherheitslücken, zum Beispiel durch PHP-Fehler, enthalten.
Der Scan ist kritisch zu sehen aber er hilft und erleichtert die Arbeit.
zum WP Scanner

 © Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)
Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren



Stille im Netz
Frank Bültge — Tue, 05 Dec 2006 07:47:54 +0000
Der Sicherheitsexperte Michal Zalewski schreibt in seinem neuen Buch über verschiedene Methoden, Computerdaten direkt am Rechner oder über Netze auszuspähen. Der Experte Zelewski berät verschiedene Unternehmen zum Thema Computersicherheit und ist der Szene kein Unbekannter. Außerdem ist sein kostenloses Tool „p0f“, mit dem man Aktivitäten im Netz und im Betriebssystem beobachten kann, recht populär.
Die Schreibweise des Buches ist angenehm und es lässt sich flüssig lesen und verstehen, was für derartige Themen nicht selbstverständlich ist. Die Übersichtlichkeit der Kapitel könnte besser sein, stört aber den Lesefluss nicht. Das Fachwissen des Autors sorgt im Buch nicht für fachchinesisch, sondern ist auch für „normale“ Interessenten, die mit der Funktionsweise von Rechnern und Netzen vertraut sind, verständlich.
Was das Buch ein wenig anders macht? - der Blickwinkel: beginnend mit einer Exkursion in das Sicherheitsthema und der Möglichkeit die Tastaturaktivitäten des Nutzers zu überwachen geht es weiter über TCP/IP und Methoden, das Verhalten von Websurfern zu analysieren. Lesenswert und informativ ist ebenso der Bereich Fingerprinting in der Datenkommunikation. Bei allen Themen werden die Gefahren angesprochen und entsprechende Ratschläge vergeben.


 © Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)
Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren



Gründe für Single Sign-on im Unternehmen
Frank Bültge — Fri, 07 Jul 2006 05:58:57 +0000
So ist es in vielen Unternehmen:
Die Anwender müssen sich viele Passwörter und Zugangsmöglichkeiten zu den unterschiedlichsten Plattformen, Applikationen und Webzugriffen merken. Oft führt eine derartige Vielfalt von Passwörtern dazu, daß die sensiblen Daten gespeichert werden, ob auf Papier oder Digitalmedien, und der Anwender versucht, möglichst in allen Login-Bereichen, ein Passwort zu haben.
Nachteile:

Dadurch entsteht eine Sicherheitslücke. 
Die Helpdesk-Anfragen steigen.
Das Zurücksetzen von Passwörtern steigt.
Die Kosten sind hoch, denn es entsteht Zeitaufwand und Kosten bei der IT, aber auch beim Anwender.

So wäre es besser:
Mit einem einzigen Log-On entfallen derartige Probleme! Als Lösung dafür bietet sich die Enterprise Single Sign-On-Technologie an. Durch diese Technik wird ein einziger Log-On beim Anwender benötigt und der Zugriff ist sicher und automatisch. Wichtig ist es, diese Technik mit einer Zwei-Faktor-Authentifizierung einzusetzen. Nur diese Technik bietet die höchste Sicherheit. Dabei bieten sich unter anderem folgende drei Möglichkeiten an: Hardware Token, Smart Cards, USB-Authentifikation.
Prinzip (kurz und knapp):

Ein persönliches Kennwort als Basis in Zusammenhang mit einer Authentifizierungsmethode.
Vorteile dieser Technik:

Vereinfachung des Passwort-Managements
Die Benutzerfreundlichkeit der Applikationen etc. steigt
Die Sicherheit steigt
Keine notierten Passwörter nötig
Die Helpdesk-Anfragen sinken und mindern die Kosten
Erhöhte Zugriffssicherheit auf Desktop, auch bei Fernzugriffen
Produktivität der Anwender steigt
Akzeptanz für viele Anwendungen steigt
Kosten senken im allgemeinen

Nachteile dieser Technik:

Wenn der Anwender die nötige Hardware vergisst, den Token etc., dann geht nichts mehr bzw. muss auf eine Fallbacklösung erstellt werden.
Das grundsätzliche Problem - Passwort merken - bleibt. Aber in dem Fall nur ein Passwort.
Die Kosten, die beim Einführen entstehen sind nicht zu vernachlässigen.


 © Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)
Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren



WK - 12 goldene Suchmaschinen-Regeln
Frank Bültge — Fri, 10 Feb 2006 07:41:27 +0000
Das Internet besteht aus einer Fülle von Informationen, die leider nicht immer so gefunden werden. Das liegt daran, dass der große Vorzug der vielen Informationen gleichzeitig der Nachteil ist - aus den vielen Daten die richtigen zu filtern ist für den alltäglichen Anwender schwierig.

Zum Suchen in Netz wurden die Suchmaschinen entwickelt, die auf den unterschiedlichsten Kriterien aufbauen. Ohne diese Helfer wären viele Seiten überhaupt nicht auffindbar. Leider spüren diese Helfer nicht nur Ergebnisse aus, die für den Nutzer relevant sind,

Um dem Internet-Nutzer das leben eine wenig zu vereinfachen und seinen Blick für mögliche Probleme zu schärfen wurde eine Broschüre von der Landesanstalt für Medien (>lfm:) herausgegeben, in Kooperation mit klicksafe.de. Die zwölf goldenen Regeln wurden von Univ.-Prof. Dr. Marcel Machill erarbeitet und verstehen sich als Ratgeber für Verbraucher(innen).
Der Download der Broschüre ist auf der Seite der LfM zu finden.
Die 12 Regeln kurzgefasst
aus: Landesanstalt für Medien NRW (LfM): 12 goldene Suchmaschinen-Regeln. Düsseldorf 2005.

Herausgegeben von der LfM in Kooperation mit klicksafe.de.

Autor: Marcel Machill.

1. Verlassen Sie sich nicht auf eine Quelle
Verwenden Sie gerade bei komplexen Themenrecherchen immer mehrere Suchmaschinen.

Denn: Unterschiedliche Suchmaschinen verwenden unterschiedliche Kriterien für ihre Rankinglisten. Somit können völlig verschiedene Websites als die relevantesten aufgeführt werden. Vergleichen Sie die Auswahl, die Ihnen angeboten wird  und dann treffen Sie Ihre eigene.
2. Achten Sie auf versteckte Werbung
Werbung ist nicht immer als solche gekennzeichnet, sondern kann sich in den Ergebnislisten verstecken. Schauen Sie sich daher eine Ergebnisseite immer erst in Ruhe an, bevor Sie etwas klicken.
3. Hüten Sie sich vor den Spammern im Netz
Das Wort Spam wird bei den Suchmaschinen verwendet, wenn findige Webmaster ihre eigenen Websites so manipulieren, dass sie in den Ergebnislisten der Suchmaschinen höher eingestuft werden. Gehen Sie nicht denen auf den Leim, die durch diese Manipulation ihre eigenen vielleicht kommerziellen, politischen oder gar pornografischen Botschaften unter die Leute bringen wollen.

Deshalb: Formulieren Sie Ihre Suchanfragen möglichst genau und lesen Sie den Vorschautext gut durch. Sind dort nur Schlagwörter und keine Sätze zu sehen, verbirgt sich hinter der Webseite wahrscheinlich Spam.
4. Denken Sie bei der Auswahl aus der Suchmaschinen-Liste an Viren und den Schutz dagegen
Nicht jedes Suchergebnis ist vertrauenswürdig, nur weil es von einer Suchmaschine angezeigt wird. Manche Leute denken, dass sie schnell einen von der Suchmaschine angezeigten Link aktivieren können  und vergessen dabei die normalen Vorsichtsmaßnahmen, die im Internet sowieso gelten sollten. Das Internet ist auch ein globaler Tummelplatz, in dem sich wie auch im wahren Leben Betrüger oder schräge Spaßvögel finden.

Einen Virenschutz sollten Sie beim Surfen im Netz mindestens installiert haben, ebenso hilft die Installation einer Firewall.
5. Lesen Sie den Vorschautext gut durch
Oftmals mogeln sich unseriöse Angebote mit unerlaubten Praktiken auf die vordersten Ergebnisplätze in den Suchmaschinen. Der Vorschautext kann bei der Einordnung helfen: Er zeigt einen kleinen Textausschnitt der Seite, in dem die Suchbegriffe auftauchen. Lesen Sie diesen Text gut durch, denn oftmals erkennt man schlechte Ergebnisse bereits auf den ersten Blick.
6. Geben Sie Wucher-Websites keine Chance
Ein falscher Klick, ein falscher Tastendruck, und schon können 30 Euro und mehr fällig werden; es installieren sich Dialer oder Spyware auf Ihrem Rechner. Tippen Sie also nicht gutgläubig Antworten in Felder, die Sie nicht kennen, z. B. OK. Dieses OK kann nämlich Ihre Einverständniserklärung für einen Mehrwertdienst sein.
7. Trauen Sie niemals der erstbesten Information  es könnten Verleumdung und Propaganda dahinterstecken
Manchmal verstecken sich rassistische Äußerungen dem Wolf im Schafspelz gleich in einem auf den ersten Blick seriösen Angebot. Prüfen Sie genau, wer für Informationen verantwortlich ist, bevor Sie sich Ihre Meinung bilden.
8. Schützen Sie Ihre Kinder beim Suchmaschinengebrauch
Gerade für Kinder kann es gefährlich oder schädlich sein, mit bestimmten Internetinhalten konfrontiert zu werden. Denken Sie daran, dass Suchmaschinen bei bestimmten Wörtern und Themen vielfach auf solche problematischen Sites verweisen.
9. Vorsicht bei Wörtern mit Doppelbedeutung und bei Tippfehlern  auch so können Ihre Kinder ungewollt auf Pornoseiten landen
Manche Wörter sind doppeldeutig, obwohl man es gar nicht erwartet. Viele ungewöhnliche Sexualpraktiken haben Codenamen, die eigentlich harmlos klingen. Aber Suchmaschinen verweisen auch auf diese Sex-Sites, obwohl man etwas anderes gesucht hat.
10. Vertrauen Sie nicht allein dem Jugendschutzfilter bei den Suchmaschinen
Denken Sie daran, dass sich Filter leicht abschalten lassen. Dazu reicht es zum Beispiel aus, statt der deutschen Google-Seite unter www.google.de die amerikanische Originalversion unter www.google.com aufzurufen.
11. Zeigen Sie Ihren Kindern Alternativen zu den allgemein bekannten Suchmaschinen
Ein Kind muss nicht unbedingt Google, Yahoo oder Microsoft benutzen, um interessante und kindgerechte Webseiten zu finden. Es gibt genügend Alternativen, die besser auf die Bedürfnisse von Kindern abgestimmt sind. Ein hervorragendes Beispiel hierfür ist die Kindersuchmaschine Blinde Kuh, die sich unter www.blinde-kuh.de findet. Als generellen Einstieg in die Welt des Internets bietet sich zum Beispiel die Seite www.internet-abc.de an.
12. Nachrichtensuchmaschinen sind weder neutral noch vollständig
Noch viel stärker als in der normalen Medienwelt sollte man sich bei den Nachrichtensuchmaschinen Gedanken über die Auswahl der Meldungen machen. Denken Sie nicht, dass die Maschinen einen vollständigen Überblick über die Nachrichtenlage bieten. Längst nicht alle (Online-)Medien werden von den Suchrobotern der Nachrichtensuchmaschinen erfasst; außerdem reagieren die News Search Engines stärker auf aktuelle Kurzmeldungen als auf Hintergrundberichte.

aus: Landesanstalt für Medien NRW (LfM): 12 goldene Suchmaschinen-Regeln. Düsseldorf 2005.

Herausgegeben von der LfM in Kooperation mit klicksafe.de.

Autor: Marcel Machill.

 © Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)
Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

bueltge.de [by:ltge.de] » Sicherheit

Überdenke die Verwendung von Code Snippets!

Hinweis Session zum WordCamp Schweiz

WordPress Login unterbinden

Auf die harte Tour

Der Block-Kommentar-Trick

Die Zeit des Cookie erweitern

WordPress gehackt - was tun, eine Schnellhilfe

Private WordPress Beiträge für geloggte User zeigen

Mit Benutzerdefinierten Feldern

Mit Berechtigungsobjekt

Die WordPress Datenbank Möglichkeiten

SSEQ-LIB im Einsatz

Dateitypen für die Mediathek freigeben

Mime Typen

XSS Scanner leicht gemacht

WordPress Update Info nur für Admins

Angst vor dem IE 8?

InPrivat

Auswirkungen

Fazit

WordPress 2.6, ohne XML-RPC & Atom

WordPress Login Sicherheit - Secure WP (Plugin)

Was macht das Plugin ?

Anforderungen

Installation

Download:

Historie

WordPress Plugins für mehr Sicherheit

Update: Weitere Plugins

WordPress Plugin Sicherheitsmöglichkeiten

PHP Möglichkeiten

WordPress Möglichkeiten, Konstanten

attribute_escape

wp_nonce

WordPress Plugin Framework

Referenzen und weitere Links

WordPress Version verschleiern (Plugin)

Update

Replace WP-Version (Plugin)

Anforderungen:

Installation:

Download:

Historie

WordPress sicher installieren/ machen

WordPress Update 2.3.2

Update

Schütze deine wp-config.php

.htaccess erweitern

Auslagern der wp-config.php

WordPress Scanner für mehr Sicherheit

Stille im Netz

Gründe für Single Sign-on im Unternehmen

So ist es in vielen Unternehmen:

So wäre es besser:

WK - 12 goldene Suchmaschinen-Regeln

Die 12 Regeln kurzgefasst

1. Verlassen Sie sich nicht auf eine Quelle

2. Achten Sie auf versteckte Werbung

3. Hüten Sie sich vor den Spammern im Netz

4. Denken Sie bei der Auswahl aus der Suchmaschinen-Liste an Viren und den Schutz dagegen

5. Lesen Sie den Vorschautext gut durch

6. Geben Sie Wucher-Websites keine Chance

7. Trauen Sie niemals der erstbesten Information  es könnten Verleumdung und Propaganda dahinterstecken

8. Schützen Sie Ihre Kinder beim Suchmaschinengebrauch

9. Vorsicht bei Wörtern mit Doppelbedeutung und bei Tippfehlern  auch so können Ihre Kinder ungewollt auf Pornoseiten landen

10. Vertrauen Sie nicht allein dem Jugendschutzfilter bei den Suchmaschinen

11. Zeigen Sie Ihren Kindern Alternativen zu den allgemein bekannten Suchmaschinen

12. Nachrichtensuchmaschinen sind weder neutral noch vollständig

`attribute_escape`

`wp_nonce`

Auslagern der `wp-config.php`

3. Hüten Sie sich vor den Spammern im Netz

7. Trauen Sie niemals der erstbesten Information es könnten Verleumdung und Propaganda dahinterstecken

9. Vorsicht bei Wörtern mit Doppelbedeutung und bei Tippfehlern auch so können Ihre Kinder ungewollt auf Pornoseiten landen