In eigener Sache
geschrieben am 04. August 2009 von Spiegelfechter
Leider ist diese Seite heute morgen Opfer eines Hackerangriffs geworden, der eines der vielen Sicherheitslecks von WordPress ausnutzte. Zum Glück passierte dies zu einem Zeitpunkt, an dem ich gerade Wartungsarbeiten durchführte, weshalb ich auch sofort reagieren und die Zugangspasswörter ändern konnte. Da einige Systemdateien gehackt wurden, sah ich mich aber gezwungen, sicherheitshalber die neueste Version von WordPress zu installieren. Auf den ersten Blick sehe ich zum Glück keine Störungen oder Inkompatibilitäten, die mit dem Update zusammenhängen. Solltet Ihr etwas entdecken, gebt mir bitte bescheid. Leider ist auf WordPress diesbezüglich kein Verlass.
Update: Ein erster Fehler, der die Seite öfters “leer” anzeigte, ist wahrscheinlich auf ein nicht kompatibles Plugin zurückzuführen. Ich habe das Plugin erst einmal deaktiviert, der Fehler sollte also behoben sein.
p.s.: Wenn wir schon einmal dabei sind – wer von Euch traut sich zu, meine comments.php so zu bearbeiten, dass dezente Avatare (von Gravatar) unter der Kommentarnummer aber links neben dem Textblock eingebungen werden? Über einen Kontakt per Kommentar oder Mail würde ich mich freuen ;-)
Viel Spaß auf den Seiten
Jens Berger
Vertrauen Sie Deutschlands Nr. 1
Wissenschaftlich fundierter Test!
www.PARSHIP.de
Nichts für ungut, aber WordPress nicht aktuell zu halten und sich dann über dei vielen Sicherheitslecks zu beschweren… ähm, naja, du verstehst? :)
Mark
@Enc
1) Ich gehöre noch zu denjenigen, die sich weigern, miserabel getestete Miniupdates einzuspielen und Softwarebetatests “in the wild” vorzunehmen
2) Ich gehöre noch zu denjenigen, die die goldene IT-Regel “never change a running system” beherzigen
3) Wie Du im Link oben siehst, sind davon auch recht aktuelle Versionen von WP betroffen
4) Es ist keinesfalls gesagt, dass die Sicherheitslücke mit der neusten Version auch geschloßen ist
Ärgerlich das sowas passiert ist Jens, und wenn ich technisch so versiert wäre, daß ich dir helfen könnte, so würde ich das sofort tun. Aber leider ist das nicht Fall. Ich würde ja Lemmy herandirigieren, wenn er nicht so unfassbar wäre ^^
Ansonsten Kopf hoch & Grüße ;)
@name
*g*
Das ärgerliche an diesen “Zwangsupdates” ist vor allem, dass jede Menge Feintuning nötig ist. Wie ich jetzt sehe, ist das Kommentarfenster zu breit und reicht in die rechte Sidebar rein, ein oder zwei Plugins sind natürlich auch wieder mal mit der aktuellen Version inkompatibel usw. usf.
ITler scheinen das “Rumgefrickel” als Selbstzweck zu sehen. Mir als IT-Nichtaffinen, der einfach nur schreiben will und für den es technisch nur wichtig ist, dass alles klappt und sicher ist, ist dies ein Graus. Wenn ich mal zusammenzähle, wieviele Stunden ich schon an dieser S*****software rumgefrickelt habe, weil irgendwelche Updates das System wieder durcheinandergeschmissen haben … herrje!
Ansonsten Gruß zurück ;-)
Die Seite ist etwas schwerfällig und gelegentlich muss ich auf Refresh drücken, damit der Blogtext auch angezeigt wird. Nichts dramatisches. Da ich IT-technisch nix drauf habe, muss es bei nem “Kopfhoch, ist ja alles nicht so schlimm” bleiben ;)
Schöne Grüße und jetzt mal gucken, was Du in der letzten Woche so geschrieben hast…
…will nicht rumkacken, aber es gibt schon einen Grund wieso serioese US blogger movable type im Backend haben.
Für den “Cheffe” ;-)
Weiß ich ja dankenswerterweise schon, und meine Admin-Passwords scheinen noch zu funzen. FTP muß ich aber erst wieder neu installieren, bevor ich das auch da testen kann.
Dein Beta-Testerin hannilein
Und für alle, die es nicht interessiert: “hannilein” bloggt nun gelegentlich auch, allerdings “ganz privat” und nicht mit der Qualität, die Ihr vom Spiegelfechter her gewohnt seid. Ich würde das übrigens auch nicht erwähnen, wenn ich da nicht auch ein paar meiner Freunde verlinkt hätte und die gerne “pushen” würde: http://hanniballektor.wordpress.com/
Nochmal für den Cheffe:
Geht es nur mir so oder warum muß ich die Seiten inzwischen stets dreimal laden, bevor ich was angezeigt bekomme?
Feedback von den werten Lesern wäre auch erwünscht ;-)
>ITler scheinen das ?Rumgefrickel? als Selbstzweck zu sehen
Auf ITler generell würde ich das nicht pauschalisieren. “Never Change a running system” kommt doch von dort. Aber WordPress ist so – teilweise sicher auch gezwungenermaßen, dabei der Verbreitung jede Sicherheitslücke schnell geschlossen werden sollte. Ich würde Alternativen in Betracht ziehen, wenn nicht der Umstieg wieder mit viel Arbeit verbunden wäre…
Gruß
PS: Man muss wirklich manchmal mehrmals laden, weil kein Beitrag erscheint.
Ja, leider traf ich auch schon auf Seite mit leerem Content-Bereich. Dachte erst, es läge an einer neuen Inkompatibilität mit Opera. Wie ich jetzt lese, ist es das nicht.
Viel Erfolg beim Anpassen/Rumfrickeln!
Die Artikeldruckfunktion funktioniert nicht – ist mir zumindest eben aufgefallen.
nur so als Hinweis.
Ansonsten viel Spaß beim frickeln, ich überleg ja auch die ganze Zeit ob ich WordPress nehem oder doch eine andere Lösung, ich werd mir mal die Tage verschiedene Bloglösungen angucken.
Grüße
Jan
an 8 hannilein
Bei mir ist auch so. Ich muss manchmal 3 Mal aktualisieren, erst dann wird alles angezeigt. Ist irgendwie komisch, hoffentlich liegt es nicht am Design. Design von Jens’s Seite finde ich richtig gut.
@SF: Du kannst auch ältere WP Versionen nehmen, aber entsprechende Minor-Upgrades ala 1.8.1 -> 1.8.2 solltest du schon immer machen.
Zur Sicherheit bietet sich auch an regelmäßig DB upgrades zu machen. Ein tolles Programm ist mysqldumper, der macht das aller X Stunden automatisch.
Sieht bei mir seit heute in etwa so aus:
http://www.alice-dsl.net/niksneues/uploads/SF.jpg
oder so:
http://www.alice-dsl.net/niksneues/uploads/SF_1.jpg
Dachte erst liegt an R.I.P. oder Greasemonkey… oder
…oder ….
STRG + R behebt das Problem… oder auch nicht…
kann dafür aber ältere Beiträge problemlos aufrufen!
Als kleine Entschädigung darf ich mich seit Tagen jeweils über
Spamschutz: Die Summe von 6 + 7 ?
@all
Yep – das “Refresh-Problem” ist mir nun auch aufgefallen.
Ich versuche das mal durch Try and Error bei der Aktivierung und Deaktivierung der Plugins in den Griff zu bekommen.
Im Worst Case muss ich halt die WP-Installation wieder auf eine ältere Version “downdaten” ;-)
@ Oleg, #12
Danke für das Feedback. Habe eh (obwohl alter “EDV-Berater und -Händler”) derzeit wieder Probs mit meinem Firefox (Rel. 3.5) und muß natürlich sehen, was meinem System geschuldet ist, und was Netz/Server.
Das Design von Jens finde ich auch sehr schön. Ich mag “Asiatika” und dieses schlichte asiatische Design, seit ich in den Siebzigern mit Bruce Lee und David Carradine (Null-Asiate ;-) konfrontiert wurde. Da ist nichts “grobschlächtig”, sondern alles fein durchdacht und dann wieder meist auf das Minimum (“less is more”) runterreduziert. Feines Ding!
Beste Grüße
hannilein
@all
-> “Refresh-Fehler”
Der Fehler scheint behoben. Schuld war wohl eine Inkompatibilität zwischen dem Amazon-Showcase-Plugin, das ich in einer alten Version verwendet habe (ich benutze es für die Leseempfehlungen, da es – anders als Amazon selbst – keine Seiten- und Nutzerstatistiken aufzeichnet). Diese Version ist anscheinden mit der neusten WP-Build nicht kompatibel.
Solltet Ihr weiterhin hin und wieder eine leere Seite bekommen, so sagt bitte bescheid.
@all
-> WordPress oder eine andere Software
WordPress hat Fehler – das ist klar. Leider ist WP aber die einzig mir bekannte Software, mit der ich als IT-Laie problemlos meine Arbeit machen kann. Es mag sein, dass es bessere Alternativen gibt, aber sind die auch für Laien nutzbar? Ich habe weder das Geld, die Seite “betreuen” zu lassen, noch die Zeit (und Lust), mir selbst diese know how anzueignen. Momentan sehe ich WP als alternativlos, trotz der häufigen Sicherheitslecks.
@P@trick
Danke für den Hinweis – ich werde nun wohl auch die Miniupdates mitnehmen, obgleich ich immer noch meine Zweifel habe, ob das Leck, das mich heute aus dem Rennen geschmissen hat, überhaupt schon beseitigt wurde.
Für Backups nutze ich den WP-DBManager – der erscheint mir recht nützlich, obgleich ich ihn zum Glück noch nie in der “Restore-Funktion” nutzen musste ;-)
@Hinweis (Jan)
Ja – die “Drucken.php” scheint mit der neuen WP-Version nicht zu harmonieren. Da bin ich momentan auch ratlos und kann nur versuchen, in den nächsten Tagen mal nach einer neuen Lösung zu suchen.
WordPress ist nicht alternativlos. Serendipity leistet im Wesentlichen das gleiche, und das ohne das ständige Nachjustieren von Hand, ohne die Sicherheitslücken und m.E. auch wesentlich anwenderfreundlicher. Ich fahre seit Jahren störungsfrei mit der Software.
Schau´s dir mal an!
@Simon
Sieht nicht schlecht aus. Aber ich schätze mal, ich wage einen Umstieg erst dann, wenn ich mal ein neues Projekt starte. Der Umzug eines laufenden Blogs wird wohl ein Ding der Unmöglichkeit sein ;-)
@all
-> Drucken
Ich habe den Fehle in Teilen behoben. Leider sind die Druck-Links im unteren Block fest und nicht dynamisch, weshalb jetzt war der aktuelle Artikel ordentlich gedruckt wird, die alten aber nicht. Zur Not funktioniert bei den alten Artikeln aber die Druckfunktion unter der Titelzeile, da die dynamisch ist.
@Jens:
Doch Sicherheitsupdates nicht einzuspielen, ist fahrlässig. Gerade bei Systemen, die am Internet hängen.
Vllt. solltest Du jemanden engagieren, der sich damit auskennt. Oder lass das Blog von einem Blogbetreiber betreiben.
Ja, die klassische Arbeitsteilung. Ein Mechaniker repariert das Auto und verkauft nicht, weil es nicht sein Job ist. Im Gegenzug würde ein Verkäufer auch keinen Wagen reparieren, da er es nicht gelernt hat.
@Phil
Joooo, ihr habt ja recht ;-)
Wenn WP das bloß mal trennen würde. Sicherheitsupdates hier, und Gaga-Features, die das Blog zerschiessen, da. Dann wüßte auch ich, was zu tun ist ;-)
p.s.: ich bezweifele immer noch, dass die Sicherheitsupdates die aktuelle Lücke schließen!
@Jens:
Hm, ich hatte mit Sicherheitsupdates bei WP und Plugins noch keine Probleme. Könnte es sein, dass Du von 2.7.x oder früher auf 2.8.x aktualisiert hast?
@Phil
ach watt – wenn schon denn schon, ich hatte bis heute morgen die 2.5 ;-)
Koennten wir dann langsam mal mit den Verschwoerungs-Theorien anfangen (die sind hier leider ja sonst so verpoent) wer fuer den Hack verantwortlich ist. Meine Theorien:
1) Die thueringer Wuerstchentruppe, die sich verunglimpft fuehlt. (zu harmlos)
2) Putin’s FSB wollte einen Tracker installieren, um herauszufinden wer seine Verbuendeten(Schlaefer?) im Westen sind. (schon besser)
3) Die INSM hat eine Kampagne aufgelegt, massiv in eine der letzten Domaenen unabhaenger Berichterstattung einzugreifen (zu realistisch)
4) Ein Verbindung zur (gefakten) Mondlandung faellt mir beim besten Willen nicht ein…
@mason
Wie wäre es mit der wahrscheinlichsten Lösung? Ukrainische oder chinesische Spammer versuchen per Injection wahllos Seiten zu kapern, die bei Google recht hoch gerankt werden, um ihre tollen Links in den Code einzubetten?
Wie dem auch sei – da dieser Angriff darauf abzielte, das Adminkennwort herauszubekommen, schätze ich ihn als potentiell gefährlich ein.
Hallo Jens,
bei mir (Safari 4.0.2) ist der Fussbereich der Seite “zerstört”. Die Grafiken und Texte (Impressum, Feedburner und Wikio) sind in drei (?) Reihen angeordnet und ragen nach unten aus dem schwarzen Fussbereich raus.
Die Vorschau zu DIESEM Posting ist auch “zerstört”. Der Absatz mit den Linktipps ragt teilweise nach links raus. Mag WordPress keine Sternchen? Andererseits ist die erste Zeile dieses Absatzes ebenfalls betroffen. *hmmm*
Ich bin jetzt nicht so der Web-Spezi, habe mich aber aus gegebenem Anlass intensiv mit der Suche nach geeigneter Blog-Software beschäftigt. Dabei habe ich mich vor kurzem für Drupal entschieden, denn von WordPress habe ich exakt die Probleme erwartet, welche Du gerade durchleben darfst.
Drupal ist zwar eher ein CMS, Bloggen ist damit aber leicht out of the box möglich. Die Bedienung aus Deiner Sicht ist genauso einfach wie in WordPress, die Grundkonfiguration sollte man mal von jemandem machen lassen der sich damit auskennt, denn als CMS ist da sehr viel mehr möglich als mit WordPress. Ohne große Web-Spezi-Ahnung war es mir aber auch leicht möglich das ganze wie ein Blog zu nutzen.
Anbei mal ein paar Links zu Thema:
* Wikipedia: http://de.wikipedia.org/wiki/Drupal
* Sicherheit von Drupal 6.x: http://secunia.com/advisories/product/17839/?task=statistics
* Sicherheit von WordPress 2.x: http://secunia.com/advisories/product/6745/?task=statistics
* Podcast (mp3) Chaosradio Express zum Thema Drupal: http://chaosradio.ccc.de/archive/chaosradio_express_103.mp3
Leider kann ich dir nicht helfen, da ich die Software nur im Intranet betreibe, wo weder Optik noch Sicherheit eine große Rolle spielen. Wenn ich mit einem Blog in die Öffentlichkeit gehen würden wollte, ich würde Drupal verwenden. Von Seiten des Webhosters sind die Anforderungen die gleichen wie für WordPress (MySQL und php).
Wegen den Gravatars:
“As of WordPress 2.5, Gravatars are built-in and require no additional Plugins for basic usage and management.” (http://codex.wordpress.org/Using_Gravatars)
Ginge es nur noch darum die Gravatars ins Template einzubauen?
@Oskar
Yep – bloß meine comments.php ist bereits bis zur Unkenntlichkeit umgeschrieben, so dass ich da nicht mehr durchblicke ;-)
@Kay
Stimmt, das war aber schon vorher so – seit Wikio die Grafik geändert hat ;-)
Darum muss ich auch mal kümmern.
Puh! Da bin ich nun aber auch überfragt.
Über Drupal habe ich auch schon ne Menge positive Sachen gehört. Für Neublogger oder -autoren wäre das sicher eine gute Alternative. Ich bin nun wohl an WP gebunden, da ich einen Umstieg im laufenden Betrieb nicht hinbekommen werde :-(
@Jens:
Aus diesem Zweig ist 2.5.1 die letzte Version.
Mal eine kleine Erklärung, wie bei WP die Versionsnummern gehandhabt werden:
Die erste Ziffer zeigt an, dass es um einen größeren Umbau und eine größere Funktionserweiterung.
Die zweite Ziffer zeigt kleinere Änderungen des Systems an.
Bei obigen können inkompatibilitäten mit alten Plugins auftreten.
Die letzte Ziffer zeigt den aktuellen Patchlevel an, wo Fehler und Sicherheitslücken geschlossen werden. Hier sollten in der Regel keine Probleme mit Plugins auftreten.
Und hier solltest Du immer den aktuellsten Patchlevel aus dem jeweiligen Zweig aufspielen, um das System aktuell zu haben.
Um nochmal auf Deine obige Aussage zurück zukommen:
Never change a running system. Ja und nein. Gerade bei Systemen, die mit dem Internet verbunden sind, ist es notwendig, Patches einzuspielen (machst Du ja bei Deinem Windows/Linux etc. ja genauso).
Dann solltest Du auch schauen, wie lange Dein eingesetzter Zweig überhaupt mit Sicherheitsaktualisierungen versorgt wird. Nur ich weiß jetzt nicht, wie lange ältere Zweige bei denen mit Sicherheitsaktualisierungen versehen werden, da es ja auch Ressourcen bindet, ältere Versionen damit zu versorgen.
Und wenn nun ein Zweig nicht mehr mit Aktualisierungen versehen wird, solltest Du schon wechseln. Vllt. auf den ersten Patchlevel des Zweigs warten, dann sollten die meisten Pluginautoren auch neue Versionen anbieten.
Du bräuchtest ein kleines Script, welches die Artikel und Kommentare aus der DB von WP herausholt, umwandelt und ins neue System überführt.
Hi,
habe jetzt nicht alle Comments gelesen, solltest du aber noch Hilfe bei der Darstellung der Gravatere brauchst, melde dich einfach, eMail hast du ja :-)
@Phil
Danke für die Aufklärung – das werde ich beherzigen!
@Simon
Du hast Post
Oh man. Dass auch immer Dich trifft, Jens… ;-)
Ich geb hier mal moralische Unterstützung – auch wenn ich wegen WordPress 2.5 draufschlagen könnte… ;-)
Ich habe dieses Gaga-Feature :p Gravatar bisher nicht genutzt, kann da also auch nicht helfen.
Lass Dich nicht ärgern – der Inhalt ist wichtig. Und der Spiegelfechter ist eines der wenigen Blogs, bei dem es stimmt…
@32 SF
in nuce:
Yep – bloß meine comments.php ist bereits bis zur Unkenntlichkeit umgeschrieben,
so dass ich da nicht mehr durchblicke ;-)
Quick compare:
auch Deine “live-comment-preview & wp-ajax-edit-comment”
kommen mir auf einen schnellen Blick [JSVIEW] verstümmelt und auf jeden Fall
reichlich veraltet vor!
Ein Update der beiden Plugins könnte da sicher Abhilfe schaffen.
Die alten Plugin-Ordner erstmal sichern[verschieben o. umbennen]
und mal mit den aktuellen Versionen testen.
Ebenso mit der comments.php verfahren[weiteres rumfrickeln nützt wenig],
gegenbenfalls Dein Theme nochmal runterladen, irgendwohin entpacken und
erstmal die comments.php vergleichen.
Hilfreich zum Dateien Vergleich ist Notepad ++[Open-Source-Editor]
http://notepad-plus.sourceforge.net/de/site.htm
Auf der ganz sicheren Seite bist Du, wenn Du erstmal zum trocken üben
lokal XAMPP u. Dein WP installierst. Keine Bange geht einfacher und
leichter als Du denkst – nur Mut!
http://www.apachefriends.org/de/xampp.html
=== Live Comment Preview ===
Plugin URI: http://wordpress.org/extend/plugins/live-comment-preview/
Author: Brad Touesnard
Author URI: http://bradt.ca/
Version: 1.9 – 2008-04-19
Tested up to: 2.5
Added support for WordPress 2.5′s gravatar settings.
=== WP Ajax Edit Comments ===
Plugin URI: http://ajaydsouza.com/wordpress/plugins/wp-ajax-edit-comments/#overview
Contributors: Ajay, ronalfy
Current Version is 2.3.3.0
Released 26 July 2009 by Ajay
Requires at least: 2.5
Tested up to: 2.7.1
——————————————–>
Ansonsten schau Dir mal “Thesis Theme for WordPress” an.
http://diythemes.com/thesis/wordpress-281/
macht ‘nen sauberen komfortablen Eindruck kostet aber mal eben in der
Personal Option schlappe $87 ;-)
Beispiel kannst Du Dir bei @wgnx anschauen.
http://www.weissgarnix.de
salü n.q.
Mir ist etwas aufgefallen, was eventuell damit zu tun haben könnte.
Mir ist es erst beim dritten oder vierten Versuch gelungen, einen Beitrag abzusenden. Vorher bekam ich immer die Fehlermeldung, die man erhält, wenn man die Spamschutz-Frage nicht oder falsch beantwortet hat.
Aber 2+3 sind nunmal 5…. Auch beim dritten oder vierten Versuch… :-)
Lieber Spiegelfechter,
Auch ich kann dir nur zu Drupal raten. Ich habe erst letztens eine kleine blogartige Seite für einen computermäßig völlig Unbedarften aufstellen müssen und mir dafür u.a. WordPress und Drupal angeschaut.
WordPress ist innerlich(Core) und äußerlich(Erweiterungen) ziemliches Gefrickel – daher auch die üble Sicherheitslage mit dem System. Noch dazu ist es sehr sehr weit verbreitet, was ein übriges tut. Dazu kommt verschärfend, dass sich das System nur sehr mühsam aktuell halten lässt. Eine Fahrlässigkeit, wenn man das jemanden installiert, der von Computerkrimskrams keine Ahnung hat.
Drupal ist wirklich unglaublich sauber konzipiert, hat eine große, ziemlich professionelle Entwicklergemeinschaft und kommt mit einem mehr oder weniger automatischen Updatesystem. Durch die saubere Konzeption gibt und gab es weniger Sicherheitslücken als im lausigen WordPress und wenn Aktualisierungen anstehen, sind diese einfachst zu installieren.
Für eine Installation und Anpassung einer Drupalseite muss man im Idealfall nichts “programmieren” bzw. am Sourcecode ändern. Natürlich ist das System im Betrieb genau so einfach zu bedienen wie WordPress.
Ach ja: Nicht zuletzt ist Drupal von Hause aus unglaublich performant. Bei dir vielleicht ja recht wichtig.
Ich kann dir nur raten Drupal ins Auge zu fassen. Ich habe mich dafür echt begeistern können – und auch ich habe selbst schon ein kleines OpenSource-CMS programmiert.
Nochwas (ich habe einfach mal schnell gesucht):
http://drupal.org/project/wp2drupal
http://drupal.org/project/wordpress_import
http://drupal.org/node/341231
Viel Glück!
Schön, dass es nicht nur mich erwischt ;-) Ich suche jedenfalls nach einer Alternative zu WP. Frage: Gibt es eine unkomplizierte Möglichkeit den Blog-Inhalt – im Prinzip die DB – nach z.B. Drupal zu exportieren?
Jede Diskussion darum ob CMS a besser /sicherer sei als CMS B mit dazugehörigen polemischen Verissen, ist eher kontraproduktiv. Es führt zu nichts weiter, als zu weiteren polemischen Verissen. ;)
Die Macht der Gewohnheit sollte nicht unterschätzt werden. Ein Umstieg bedingt auch immer viel Arbeit und eben viel Umgewöhnung.
Die Anzeige eines Gravatars kann im Theme eingebaut werden. Ich kann das und würde das gerne für den Spiegelfechter machen.
EDIT: Ich hatte übrigens keinerlei Problem beim Anzeigen der Seite und auch nicht beim Absenden des Kommentars
EDIT2: Ich habe das gerade mal mit Firebug getestet und dein HTML bearbeitet. Es würde so aussehen wie auf dem Bild: http://image.gd/image,show,1,2c8233c3e282f67cf61d4ec0b96f0b53e72f3e54,1
Nun schlagt doch nicht so auf mein geliebtes WordPress ein. Eine Software ohne Fehler ist so selten wie ein Mensch ohne Fehler ;-).
Vielleicht könnte dir ja Vladimir Simovic (Perun) weiterhelfen. Als Autor von WordPress-Büchern sollte er sich auskennen und durch diesen Artikel, in dem er den Spiegelfechter empfiehlt, fand ich damals hierher. Ich habe übrigens auch immer die Gestaltung und Funktionalität dieses Blogs als vorbildlich empfunden und bin deshalb ein wenig erstaunt, dass du (Jens) nicht so ein Computerfrickler bist.
Dass du die Sicherheitsupdates nicht aufgespielt hast, ist aber schon ein wenig sträflich, siehe auch PC-Welt: Wie Sie in 20 Sekunden Ihren PC versauen (>Fehler 9).
@Chris
Wird wohl daran liegen, dass ich einer der wenigen Blogger in Deutschland bin, der einen eigenen Blog hostet, ohne Ahnung von der Materie zu haben ;-)
Ja ja – ich weiß ;-)
Ich möchte aber noch mal ausdrücklich darauf hinweisen, dass der gleiche Hack (siehe Link) auch in aktuellen Versionen möglich ist. Auch wenn ich nicht so patchmüde wäre, hätte es mich trotzdem erwischt.
*g*
Ein bissschen Gaga erfreut nun einmal mein Herz ;-)
Danke, Danke – die Blumen gebe ich auch gerne zurück.
@nescio quis
Danke für den Hinweis, aber die beiden Plugins habe ich gleich gestern im Rahmen des Updates mit aktualisiert. Die sind also auf dem neusten Stand.
Ein weiterer dummer Nebeneffekt des Updates ist übrigens, dass Du aus mir nicht bekannten Gründen in der Moderationsschlange landest, obwohl die “Buzzwords” die gleichen sind. Auch das werde ich in den nächsten Tagen mal angehen.
@Thomas
Das könnte mit dem “Supercache-Plugin” zu tun haben, das statische Seiten erzeugt, um die Performance zu erhöhen. Ich überprüfe das mal.
@Peter
Super! Ich habe Dir mal die comments.php gemailt. Wenn das Bildchen noch ein Stückerl tiefer wäre, also ober bündig mit dem Kommentartext abschließen würde, wäre das perfekt.
Danke!
@Gebintit
Ich habe zwar keine Ahnung von solchen Sachen, bin aber sehr experimentierfreudig und dilettier schon mal gerne im Code herum ;-)
Sehr viel wird auch von anwenderfreundlichen Plugins gehändelt und ich möchte auch noch mal darauf hinweisen, dass mir bei der Erstellung (oder besser Maßanfertigung) des Stylesheets zwei Personen besonderes geholfen haben:
Chris von F!XMBR
und
tar von Pax Aeterna
Hallo Spiegelfechter,
erstmal danke für den sehr lesenswerten Blog.
Und zweitens: Mit Chrome stimmt was beim Fußbereich (Impressum, Counter und Toplisten) nicht.
@Spiegelfechter #48:
Ich habe dir den Patch per Email geschickt und hoffe dass er funktioniert.
@43 Peter:
Also kann man sich kein Bild von den einzelnen Systemen machen und Empfehlungen sind insofern zwecklos, als dass man ja eh immer alles so lassen sollte wie es ist?
BTW: Bevor ich mir die zwei Systeme beschaute, war es mir ziemlich Wurst, für welches ich mich am Ende entscheiden würde. Ich tendierte anfangs sogar eher zu WordPress, es ist halt bekannter und Millionen Nutzer können nicht irren, oder? (Ja, genauso wie bei Windows-OS! lol)
Naja, jeder wie er mag: Wer nicht hören will muss eben fühlen :P
@46 SF
…na die Moderationsschlange nehm ich mal ganz gelassen.
dito @49
bin aber sehr experimentierfreudig und dilettier schon mal gerne im Code herum ;-)
Nur Mut u. noch viel Spaß mit den Gravataren, solange es nicht
beim”blassen Typ vor der grauen Wand” bleibt oder “Wavatare” werden!
Monster ID sollte es schon mindestens sein :-)
Sollte aber eher sowas bei raus kommen:
—> http://www.alice-dsl.net/niksneues/uploads/comments.jpg
falls alle Stricke reißen lasse ich Dir ein Stick zukommen
mit XAMPP&WP Installation u.einigen Themes zum probieren
endif //if you delete this the sky will fall on your head
[quote]Du bräuchtest ein kleines Script, welches die Artikel und Kommentare aus der DB von WP herausholt, umwandelt und ins neue System überführt.[/quote]
[quote]den Blog-Inhalt ? im Prinzip die DB ? nach z.B. Drupal zu exportieren?[/quote]
Die Datenbank ist doch i.d.R. ein MySQL, da kann doch ein anderes System ebenfalls und direkt drauf zugreifen.
@Daten Banker:
Ja, in beiden CMS wird MySQL genutzt. Da jedoch der Aufbau der DBs und Tabellen eine andere ist – alleine schon von den Namen der Tabellen, kann nicht so ohne weiteres von dem einen System auf die DB des anderen Systems zugegriffen werden.
Du bräuchtest letztlich einen Hack, welcher zwischen Drupal- und dem WP-DB-Design übersetzt oder Drupal so umschreiben, dass es direkt auf die DBs von WP zugreifen kann.
Ersteres würde bedeuten, dass das System doch langsamer läuft, zweiteres wäre eine doch nicht kleine Programmieraufgabe, da so ziemlich alles von Drupal umgeschrieben werden müsste, was auf die DB zugreift.
Insofern wäre es das einfachste, wenn ein kleines Programm die Daten aus der WP-DB herausliest und diese entsprechend in die Drupal-DB einträgt.
Schnell mal ergoogelt:
Erfahrungsbericht: WordPress Artikel in Drupal importieren
@Dexter #52:
Danke, dass du meine Aussage bestätigst.
Wäre ja ein interessantes Experiment, der Wechsel auf Drupal. Aber selbst die Freaks würden dafür Stunden versenken …
Auf den Streit, ob nun WordPress oder Drupal sicherer ist, lasse ich mich lieber nicht ein, sicher ist aber, dass man auch mit Drupal keine Sicherheitsgarantie hat. Das größte Sicherheitsrisiko sitzt bekanntlich meist vor dem Computer. Mir erscheint es sinnvoller, die Zeit dafür zu nutzen, sich in Sachen Sicherheit etwas schlau zu machen und das bestehende System auf Schwachstellen abzuklopfen. Ratschläge findet man dazu viele, z.B. auch bei Frank Bueltge, den ich sehr schätze.
@Gebintit:
Danke. Sehr schöner konstruktiver Kommentar zu dem Thema. Dem kann ich 100% zustimmen.
Der verlinkte Artikel ist aber vom 14.04.2008 und damit nicht aktuell. Die Ratschläge in seinen weiterführenden Links sind auch eher suboptimal, wenn man bedenkt dass die User-IDs 1 und 2 ja u.a. auch von Themes und Plugins verwendet werden, um User von Admins zu unterscheiden. Inzwischen gibt es dazu auch sicherere Funktionen in WP, aber längst nicht alle Plugins haben dahingehend Updates geliefert. Ein Problem, dass prinzipiell auch mit jedem anderen System auftreten kann und nicht WP spezifisch ist.
Insgesamt gibt Bueltge aber sinnvolle Tipps. Ob sie einem reinen Blogbetreiber dienen, der zu den technischen Belangen u.U. keinen Draht hat, sei dahingestellt. Denn auch Bueltge ist nicht unfehlbar, und was er gestern geschrieben hat, kann morgen schon überholt oder sogar falsch sein. Und das kann ein “Laie” eventuell nicht verstehen bzw. wegen mangelndem Tiefblick und Verständnis der Materie nicht erfassen.
Ein professioneller Blogger ist gut beraten, wenn er sich einen technischen Administrator “zulegt”, dem er diesen Bereich anvertraut. Ein Auto gibt man ja auch zur Inspektion oder in Reparatur. Kaum jemand schraubt selbst dran rum, nur weil er das Prinzip des Otto Motors verstanden hat. ;)
PHP Cross Reference of WordPress
http://phpxref.ftwr.co.uk/wordpress/nav.html?index.html
function list & description, source view, text view /etc
für alle frikkler&techies falls mal was schief geht ;-)
Hosted by follow the white rabbit
Gebintit:
Das Problem ist, dass Systeme in Ihrer Anlage unterschiedlich “sicher” sind; Sicherheit ist eine Frage einer sauberen Grundkonzeption. Und da siehts bei WP wirklich schlimm aus. Dein Link zeigt es doch eindrucksvoll: Nicht mal MVC ist in WordPress realisiert. Sicherheitslecks werden in aller Regel mit Patches gestopft, welch’ Graus! Sicherheit mittels Plugins, was für eine Irrwitz!
Das Problem für SF ist, dass er die Systeme selbst schlecht beurteilen kann. Und woher sollte er wissen, welchem Kommentator er hier welche Kompetenz zutrauen sollte? Insofern muss man Peter Recht geben, wenn er sagt, dass eine Erörterung der einzelnen Systeme hier zweckfrei ist (dazu braucht das noch nicht mal polemisch werden).
@SF: Such’ dir Rat bei Leuten denen du persönlich vertraust (und die du somit für Ihren Rat irgendwie in Haftung nehmen kannst :P), die in der Lage sind, Sourcecode zu lesen und die _mehrere_ Systeme kennen/untersucht (und am besten in Betreuung) haben.
Einmal ein gutes System installiert und du hast auf Dauer weniger Folgeaufwand. Sowas rentiert sich schnell. Das Argument “Gewohnheit” ist deshalb ziemlich töricht …
MVC ist ja kein Garant für ein sicheres System. MVC macht es wartungsfreundlicher und ist einfacher änderbar. Mit Sicherheit hat es unmittelbar aber nichts zu tun. Man kann auch mit Cake oder ZF schlimme Sachen zusammen schustern.
Ansonsten stimme ich dir aber zu. Wichtig ist ein kompetenter Partner für die technische Administration. Das System ist dann letztlich egal.
Wenn mein Kunde mit seiner Umgebung vertraut ist und sich dort zu hause fühlt, würde ich ihn nicht dahingehend beraten, dass er zu einem System wechselt, das *mir* besser schmeckt. Es sei denn, das bestehende System ist ganz böse. Ich stufe WP nicht als ganz böse ein. Man kann sich auch als Entwickler dran gewöhnen.
Phil/55:
guter Hinweis, danke. Die Änderung der Datenbank, bzw. Daten auslesen und neu importieren, dürfte tatsächlich einfacher sein als die Anpassung der Blogsoftware.
@Peter
Danke – nun klappt´s!!!
@all
Ich habe nun erst einmal die Monster-Avatare genommen. Alternativ gäbe es die Möglichkeit, nur die “echten”Avatare einzublenden und bei den nicht registrierten Usern das Feld freizulassen. Was meint ihr?
@63 SF
Monster ID —> allons jeter un coup d’oeil
Weihnachtsbaum mit Hummerscheren?! … ,,,^..^,,,
SF : Bona bona ?
n.q. : Pétit !
SF : Et qu’est-ce qu’on dit ?
n.q. : Merci !
…kunterbunt u. nicht “der blasse Typ vor der grauen Wand” >;->
Die Monster erinneren mich irgendwie an Jared Tarbell walkingFaces
http://www.levitated.net/bones/walkingFaces/index.html
salü n.q.
Spamschutz: Die Summe von 6 + 7 ?
schon wieder… Klasse hab ne Glückssträhne!
@nescio quis
Fein, fein – Ihr sollt Eure Monster behalten ;-)
@Spiegelfechter
Ich finde die Avatare ziemlich infantil und von daher in dem Blog etwas unangemessen. Vielleicht würde ich sowas noch als Zwangsavatar für Lemmy durchgehen lassen, aber so massenweise … nee.
Und noch eine *Bugmeldung*: Ich hatte zwar schon einmal darauf hingewiesen, aber ich muss es nochmal anmerken: Die Mails, die ich aus deinem Blog empfange sind in UTF-8 kodiert – sehr löblich. Allerdings ist im Mailheader der Content-Type seltsamerweise als ‘text/plain; charset=”iso-8859-1″‘ deklariert, was dazu führt, dass das Mailprogramm die Mails falsch anzeigt. D.h. aus “für” wird dann “für” u.s.w. Das ist ziemlich häßlich, sollte aber eigentlich leicht abzustellen sein.
Oder geht das nur mir so?
B.T.W. Die von deinem Blogsystem genutzte phpMailer-Version 1.72 zum Mailversand ist aus dem Jahre 2004 und schon ein wenig “outdated”.
@Dexter
Mit den Avataren bin ich noch am experimentieren. Nun teste ich mal die Einstellung, bei der nur angemeldete User ihren Avatar angezeigt bekommen. Schaun mer mal.
->PHP-Mailer
Ich habe mal ein wenig im Code heraumgepfuscht und nun sollte es funktionieren. Ich bin ja immer wieder erstaunt, dass ich kleinere Probleme durch Herumdilettieren ohne Plan in den Griff bekommen ;-)
Das Plugin ist alt und eigentlich unnötig. Da aber mein WP aus unerfindlichen Gründen nich mailt, muss ich dieses alte Hilfsmittel benutzen.
@SF
Mailproblem:
Glückwunsch, das mit den Content-Type der Mails scheint jetzt zu funktionieren.
Avatare:
Kannst du es nicht so machen, das es keine voreingestellten Avatare zur Auswahl gibt (evtl. halt nur einen unauffälligen neutralen Standardavatar) und die Leute eben einen individuellen Uploaden müssen, wenn sie halt unbedingt einen wollen (den könnte man ja sogar noch automatisch desaturieren und dezent aufhellen). Avatare sind m.E. absolut sekundär und sollten nicht vom wesentlichen, also dem Text ablenken.
@SF
Schade, dass du die illustren Bildchen wieder abgeschaltet hast.
Ich erinnere mich im Übrigen ein Avatar hochgeladen zu haben, das kam aber nie zum Vorschein. Ich meine, wenn ich nach Einloggen was gepostet habe.
Im Moment sehe ich in meinem Profil nicht mal die Option, es zu wiederholen.
Oder gibt’s extra user-Profile?
@COPOKA
Abgeschaltet habe ich ja noch nix – ich bin in einer kreativen Findungsphase *fg*
Bei WP scheint es keine Avatare mehr zu geben, die Avatare werden über Gravatar eingebunden, was den Vorteil hat, dass anhand der eMail-Adresse der Avatar in jedem Blog angezeigt wird.
@SF
Seltsam, nachmittags habe ich noch lustige Bildchen zu jedem Forumsteinehmer wahrgenommen.
@67 SF
Ah! mon miroir escrimeur, votre petit doigt est un menteur!
personne n?est tenu de se l?avaler jusqu?au bout, cette note!
Unfein… hab mir gerade ein Dutzend dummy e-mails zugelegt,
öfter mal ein neues Monster… immer ein u. dasselbe reicht mir
eigentlich der morgendliche Blick in den Spiegel.
[VT]
SF will seine “commentatore” bändigen und auf listigem Wege
zum registrieren überreden. Angemeldet = kriegst auch ‘nen avatar!
[/VT]
Pah! —> Flaggendiskriminierung! —> C=}>>;*{))
Recht langweilig die jetzige Galerie – also zumindest ± 40 × 40 !
@ Dexter
…joh recht hast Du.
…aber siehe @45 SF Ein bissschen Gaga erfreut nun einmal mein Herz ;-)
nimms gelassen, Sommerloch halt eben…
@nescio quis:
Nö. Einfach deinen Avatar bei gravatar.com hochladen, und schon wird dieser Avatar überall da angezeigt, wo gravatar unterstützt wird. ;)
Hallo Jens.
Noch ein mal zu Avatars. Schau mal dir die Avatars hier an: http://beer7.wordpress.com/2007/03/29/informationsquellen-zur-klimaveraenderung/
Außer bei ‘beer7′ sind sie generisch eingetragen worden, wahrscheinlich einfach nach md5 von email-addr. – genau die gleichen Bildchen habe ich auch hier im Blog gesehen, als ich http://www.spiegelfechter.com/wordpress/583/die-nachste-runde#comment-47041 hineingestellt habe – sieh mein PS dazu. Wer hat denn in der Zeit am wordpress geschraubt? Und ggf. woran :))
…
@peter (73.) Danke für den Tipp :-)
Jaja, WordPress. Kaum hat man sich dran gewöhnt …
http://www.heise.de/security/Luecke-in-WordPress-ermoeglicht-Aussperren-des-Admins-Update–/news/meldung/143328
Bisschen Offtopic:
Mir ist noch aufgefallen, dass die Searchbox oben links bis in den Text des obersten Artikels hineinragt.
Folgende Zeilen an das Ende von wp-content/themes/creative/style.css beheben das Problem und machen auch den button darunter ein bisschen mehr Look&Feel der Seite.
input#s{
width:100%;
}
input#searchsubmit{
font:bold 12px Arial, Sans-serif;
margin-top:3px;
}