Ausgabe 01
Schweizer
WordPress
Magazin
schweizerWordpressMagazin
1
Editorial Wäre dieses Magazin ein gedrucktes Magazin, würde ich es mit Freuden in den Händen halten. Dass wir innert zwei Monaten ein solches PDF mit Artikeln rund um das Thema Bloggen & WordPress auf die Beine stellen könnten, hätte ich nie gedacht. Vor allem nicht, wenn man bedenkt, dass ich noch in Ausbildung bin und mich nur spätabends oder an Wochenenden mit WordPress beschäftigen kann. Allerdings konnte ich auf die Hilfe der Blog-Autoren und der Marketing Agentur 08eins zählen, welche das PDF-Magazin gestaltet. Zudem gab es einige Sponsoren, die den einen oder anderen Gegenstand für den Relaunch-Wettbewerb gesponsert haben. An dieser Stelle möchte ich euch allen ganz herzlich danken! Da dies eine Erstausgabe ist und wir es beim zweiten Mal selbstverständlich besser machen wollen, bitten wir euch, uns eure Fragen und Verbesserungswünsche zukommen zu lassen – wir werden an uns arbeiten – versprochen! Oder wie es Frank Westphal von rivva.de in seinem Blog ausdrückt hat: „Fail we may, sail we must.“ Nun möchte ich euch auch gar nicht mehr weiter aufhalten und wünsche euch viel Spass beim Lesen des Magazins!
Pascal Birchler, Chefredaktor
Twitter http://twitter.com/wpmch Facebook http://facebook.com/wp-magazin Homepage http://wp-magazin.ch
4 6 10 12 14 18 20 22
Kurznachrichten Do’s und Don’ts in Corporate Blogs Pascal Birchler WordPress auf Knopfdruck WordPress 3.0 – Die Einzelheiten Mehr Sicherheit in Wordpress Theme Tipps Interview mit Marcel Widmer Marcel Widmer WordCamps
Ausgabe 01, Mai 2010 wp-magazin.ch
Kurznachrichten
WordPress & Webhooks = HookPress Webhooks sind nichts anderes als HTTP Requests, welche bei bestimmten Aktionen ausgelöst werden. Mit dem HookPress Plugin lassen sich diese nun auch in WordPress nutzen, z.B. immer wenn ein Kommentar gepostet wird, kann man das twittern. Das Motto lautet „Push statt Pull“!
Helvetireader2 Helvetireader ist ein schlankes und übersichtliches Stylesheet für den Google Reader, welches man z.B. im Firefox als Greasemonkey-Script installiert. Einen Blick darauf zu werfen, lohnt sich bestimmt, denn dadurch wirkt der Feed-Reader endlich einmal aufgeräumt. http://wpmag.org/helvetireader
http://wpmag.org/hookpress
Blogazines – lästiger Mehraufwand oder Exklusivität? Daswebdesignblog hat im März einen interessanten Artikel zum Thema Blogazines veröffentlicht. Unter diesem Begriff versteht man Blogs, welche für jeden Beitrag ein anderes Template erstellen. Für den einen oder anderen bestimmt eine interessante Lektüre! http://wpmag.org/blogazines
4
schweizerWordpressMagazin
Was tun, wenn der eigene Blog gehackt wurde? Diese Frage stellen sich viele Leute, meistens findet man die Antworten schon zu Hauf irgendwo im Internet. Frank Bültge hat einige Tipps & Tricks zusammengefasst und zeigt unter anderem, wie man sich mit Hilfe der .htaccess Datei schützen kann. http://wpmag.org/gehacktwastun
Cronjobs verwalten mit WP-Control Bekanntlich bietet WordPress die Möglichkeit, zeitgesteuerte Aufgaben zu übernehmen, welche von Plugin-Autoren genutzt werden kann. Die verschiedenen Tasks lassen sich leider nicht über die Benutzeroberfläche verwalten, weshalb wir hierfür das Plugin WP-Control empfehlen. Eine Alternative ist allenfalls das Plugin Core Control
WordPress Google Summer of Code Alljährlich lädt Google Studenten ein, Code für verschiedene Open Source Software Projekte zu schreiben. Dabei greifen ihnen aktive Developer der Software – sog. Mentoren – unter die Arme. Auch WordPress nimmt am GSoC teil und unterstützt insgesamt 15 verschiedene Studenten Projekte. Diese werden dann voraussichtlich auch in den Core von WordPress implementiert.
WP-Control: http://wpmag.org/wpcontrol Core Control: http://wpmag.org/corecontrol
WordPress GSoC Blog: http://wpmag.org/gsoc2010 Offizielle GSoC Website: http://wpmag.org/socghop
Bloggen auf dem iPad Der englischsprachige Blog BloggingPro. com hat im April einen interessanten Beitrag veröffentlicht, wo verschiedene iPad Apps verglichen werden, mit denen man Bloggen kann. Gut zu wissen: Es gibt nicht nur die offizielle WordPress App, sondern auch noch andere! http://wpmag.org/blogonipad
Pagebar ohne Plugin realisieren Sergej Müller stellt auf seiner EntwicklerSpielwiese eine bequeme Art der Navigation zwischen den Beiträgen vor. Den Code für die Pagebar muss man bloss in die functions.php des Themes einbauen, danach kann man sie im Blog verwenden. Sehr praktisch! http://wpmag.org/smpagebar
schweizerWordpressMagazin
5
Do‘s und Don‘ts in Corporate Blogs Immer mehr entdecken Firmen die Werbemöglichkeiten des Internets für sich, was vor allem zu einem vermehrten Aufkommen von sogenannten «Corporate Blogs» führt. Unter diesem Begriff versteht man die geschäftliche Nutzung von Blogs mit dem Ziel, neue Kunden zu gewinnen und Feedback zu erhalten. Dabei fungiert der Corporate Blog als authentische Austauschplattform. In meiner Freizeit und auch im Beruf befasse ich mich sehr stark mit Blogs. Deshalb möchte ich gerne die Chance nutzen und die Leser dieses Buches darüber aufklären, was es bei einem solchen Blog alles zu beachten gilt. Vorbereitung ist alles Nur weil man einmal etwas über das Phänomen «Corporate Blog» gelesen hat, ist man noch lange nicht ein geborener Blogger. Hole dir einen Fachmann an Bord, lass dich beraten – werde dir im Klaren darüber, welches Ergebnis du mit dem Blog schlussendlich erzielen willst. Das Herzstück jedes Blogs ist der Blogger selbst, da er mit seiner eigenen Meinung und einem persönlichen Schreibstil den Leser anlockt. Ebenso wichtig ist die Leidenschaft, denn ein gelangweilter Blogger lockt keine Leser an. Gefragt sind Informationen und Unterhaltung – kurz: ein Mehrwert. Teamarbeit ist das A und O Desweiteren braucht man gewisse Strukturen, ein speziell für den Blog verantwortliches Team, welches am besten aus einem Chef, einem Webmaster und ein bis zwei Bloggern besteht. Die Zahl der Blogger ist anfangs unwichtig, doch für einen abwechslungsreichen Blog sind verschiedene Sichtweisen sicher nützlich. Der Blogger sollte schnell und freundlich auf die Leserkommentare eingehen können.
Leser und Kommentare vorhanden sind und dem Leser keine Steine in den Weg gelegt werden. Die Aufgabe des Webmasters sollte klar ersichtlich sein: Er sorgt dafür, dass im technischen Bereich alles rund läuft und der Blog suchmaschinenoptimiert ist.
Der Chef kontrolliert zum Schluss alle Beiträge, sorgt dafür, dass genügend
Corporate Design und Corporate Identity Die gleichbleibende Gestaltung im
6
schweizerWordpressMagazin
Print- und Onlinebereich sowie auf Visitenkarten ist wichtig für den Wiedererkennungswert einer Marke. Der Corporate Blog sollte also im gleichen Look & Feel daherkommen wie die normale Firmenwebsite und sinnvollerweise unter einer Subdomain (z.B. blog.musterfirma.ch) oder einem Unterordner (musterfirma.ch/blog/). Weise explizit darauf hin, dass dies ein
offizieller Unternehmensblog ist und hier normale Mitarbeiter bloggen. Die Corporate Identity ist ein Überbegriff für die Werte, welche das Unternehmen verkörpert und mit denen sich die Mitarbeiter identifizieren sollen. Werte wie Service, Qualität und Kundennähe sollte man auch im Blog ausstrahlen.
schweizerWordpressMagazin
7
Das braucht es für mehr Leser und Kommentare Lass dem Leser Zeit, sich auf Ihrem Corporate Blog umzusehen und schrecke ihn nicht schon von Anfang an mit Werbung ab. Verzichte deshalb auf Werbemittel und setze wirklich nur auf den Content. Für einen Grossteil Ihrer Leser wird Bloggen ein Fremdwort sein, erkläre deshalb auf einer Informationsseite kurz, was ein Blog ist und worum es speziell in Ihrem Blog geht. Da am Anfang kaum Leser vorbeischauen, muss der Chef besonders in der Startphase sein Team immer wieder motivieren, schliesslich kann man nicht schon auf halber Strecke aufgeben! Plane deshalb genug Zeit ein, um deinen Blog zu pflegen. Kommen wir nun zu den Kommentaren: Erst diese hauchen dem Blog Leben ein. Wundere dich während der ersten paar Tage und Wochen nicht über wenige Kommentare in deinem Blog. Denn solange man folgende Punkte beachtet, klappt es schon fast von alleine mit den Kommentaren!
Lasse gewisse Fragen absichtlich offen, damit Besucher Ihre Meinung dazu äussern können.
Frage die Leser direkt nach ihrer Meinung zum Thema.
Veranstalte einen Wettbewerb, damit man auf den Corporate Blog aufmerksam wird. Um teilzunehmen
8
schweizerWordpressMagazin
sollen die Leser dann ganz einfach einen Kommentar schreiben.
Die Erfahrung hat gezeigt, dass Blog-Neulinge mit Kommentaren nichts anfangen können. Aus der Zeitung hingegen kennen sie das Wort Leserbrief. Ersetze die Kommentare also einfach durch Leserbriefe.
Sei provokant – dies verleitet Besucher dazu, ihre Meinung zu kommentieren.
Reagiere so schnell wie möglich auf alle Kommentare und schreibe zurück, auch wenn es nur ein „Danke“ ist.
Nichts vergrault Leser mehr als Zensur. Bis zu einem gewissen Grad sollte man am besten alle Kommentare veröffentlichen und nicht gleich in den Papierkorb verschieben.
Aus Sicht der Suchmaschinenoptimierung macht es Sinn, die Links auf die Websites der Kommentatoren nicht auf „rel=nofollow“ zu stellen.
Der Webmaster kann hier behilflich sein!
schweizerWordpressMagazin
9
WordPress auf Knopfdruck
Hosting Kunden sowie Reseller der Genotec AG können innerhalb von Sekunden und mit wenigen Mausklicks das weltweit führende und zeitgemässe Weblog-System WordPress «auf Knopfdruck» installieren. WordPress legt seinen besonderen Schwerpunkt auf Ästhetik, Webstandards und Benutzerfreundlichkeit und zählt zu den Blogsystemen mit der grössten weltweiten Verbreitung. «Uns war es wichtig, dass selbst Anfänger die sonst zeitintensiven Installationsvorgänge innerhalb kürzester Zeit und mit minimalen Eingaben über unser Hosting Control Center in den „Easy Options“ vornehmen können», so Product Managerin Svenja Levinson. Alle Installationen erfolgen selbstverständlich in der aktuellsten, deutschsprachigen Version bzw. des deutschen Sprachpakets. Genotec bietet sicheres und zuver-
10
schweizerWordpressMagazin
lässiges Webhosting zu klaren Konditionen. Viren- und Spamschutz, kostenloser Support und das selbstentwickelte Hosting Control Center sind nur einige der Top Services unserer Webhosting-Pakete. Der Einsatz von
Spitzentechnologie, wie etwa unsere Hochleistungsserver und ausfallsicheren Clusterlösungen, garantiert einen reibungslosen Betrieb Ihrer Internetseite. Ebenso sorgt ein mehrfach redundanter Mailserver für die unterbruchsfreie Zustellung Ihrer
E-Mails: www.genotec.ch/webhosting Das simsa Gütesiegel «Swiss Quality Hosting» garantiert unseren Kunden einen hohen Qualitätsstandard unserer Hosting-Dienstleistungen. Einmalige Möglichkeit – Werden Sie ein Facebook Fan von Genotec AG und gewinnen Sie eine «Nikon Coolpix S570» in der Farbe Ihrer Wahl. Einfach unter www.facebook. com/genotec als Fan anmelden,
posten Sie einen Eintrag mit dem Wunsch, die Nikon zu gewinnen und warum Sie diese coole Kamera gerne hätten. Die Verlosung findet Anfang September 2010 statt.
tende und betreut in den eigenen Rechenzentren in Zürich, Basel, Bern und Allschwil über 50‘000 Domain- und rund 500 Serverkunden. Genotec ist ein BAKOM-registrierter Provider und als «Microsoft Gold Certified Partner» zertifiziert. Genotec wurde von der simsa mit dem Gütesiegel «Swiss Quality Hosting» ausgezeichnet und ist providerliste. ch geprüft. Seit 2008 ist Genotec
neu bei Computerworld in den Top-500 der stärksten IT-Firmen der Schweiz gelistet.
Über Genotec AG Der Schweizer Internet Service Provider Genotec AG wurde 2001 gegründet, beschäftigt 36 Mitarbei-
schweizerWordpressMagazin
11
WordPress 3.0 – Die Einzelheiten
Installation Bereits bei der berühmten 5-minütigen Installation gibt es eine kleine aber feine Änderung, die unter anderem auch für etwas mehr Sicherheit sorgt. Denn beim Installationsvorgang kann man jetzt Benutzername und Passwort des Administrators selber bestimmen. Diese Möglichkeit sollte man unbedingt wahrnehmen, denn der Benutzername admin wird natürlich am ehesten geknackt.
wurde sie bereits im letzten Jahr, nun wurde dies also tatsächlich in die Tat umgesetzt - und zwar mit Erfolg. Interessant ist übrigens, dass man nun nicht mehr von der Multi-User-Funktionalität, sondern von Multi-Site spricht. Um bei WordPress 3.0 die Multi-Site Funktion zu aktivieren, muss man die Datei wp-config.php um die Zeile define('WP_ALLOW_MULTISITE', true); erweitern. Danach wird im Bereich «Werkzeuge» das Untermenü «Netzwerk» sichtbar. Dort muss man dann die Grundkonfiguration festlegen und auch gewisse Dateien & Ordner ändern. Sobald die Konfiguration abgeschlossen ist, erscheint zuoberst in der Navigation der Punkt «Super-Admin», wo man die umfangreichen Multi-Site-Einstellungen anpassen und das Blog-Netzwerk verwalten kann.
Multisite Die grösste Neuerung dürfte die Verschmelzung von WordPress MU und dem normalen WordPress sein. Angekündigt
Custom Post Types Mit Spannung erwartet wurden die Custom Post Types, die WordPress noch etwas mehr Flexibilität verleihen. Word-
Seit vielen Wochen verfolgen WordPress Entwickler rund um den Globus die Entstehung von WordPress 3.0 und viele bringen auch ihre eigenen Vorschläge ein. Die Version 3.0 bringt als Major Release viele Änderungen, die wir euch auf den nächsten Seiten gerne genauer vorstellen möchten.
12
schweizerWordpressMagazin
Press beschränkt sich jetzt nämlich nicht mehr nur auf Seiten und Beiträge, sondern ist jetzt auch durch eigene Post Types erweiterbar. Diese können z.B. für einen Frage- und Antwortbereich oder für Podcasts genutzt werden. Die Möglichkeiten sind immens! Eigentlich gab es schon vorher andere Post Types als Beiträge und Seiten, denn für die Beitragsrevisionen (eingeführt in Version 2.6) gibt es ebenfalls einen separaten Post Type. Neu ist allerdings, dass man über eine eingebaute Funktion eigene Post Types registrieren kann. Mit folgendem Code kann man einen eigenen Post Type z.B. für Shop-Produkte definieren: <?php add_action(‚init‘, ‚product_register‘); function product_register() { $args = array( ‚label‘ => __(‚Products‘), ‚singular_label‘ => __(‚Product‘), ‚public‘ => true, ‚show_ui‘ => true, ‚capability_type‘ => ‚post‘, ‚hierarchical‘ => false, ‚rewrite‘ => true, ‚supports‘ => array(‚title‘, ‚editor‘, ‚thumbnail‘) ); register_post_type( ‚product‘ , $args ); } ?> Twenty Ten Auch nicht alltäglich ist die Änderung des WordPress Standard-Themes: Das alte Kubrick Theme hat ausgedient. Schon lange wünschten sich viele User in der WordPress-Community ein StandardTheme, welches Einsteiger einfacher verstehen und anpassen können. Nebst dem neuen, modernen Look hat man auch die Möglichkeit, benutzerdefinierte Header- und Hintergrundbilder zu nutzen. Weitere kleine Details wie z.B. ein EditorStylesheet, damit der WYSIWYG-Editor
auch genau den Style der Website anzeigt, runden das Gesamterlebnis ab. Im Grossen und Ganzen ist also Twenty Ten wirklich eine tolle Sache! Custom Background Wie bereits im vorherigen Abschnitt erwähnt, gibt es ab WordPress 3.0 die
Möglichkeit, dass man bei seinem Theme ein benutzerdefiniertes Hintergrund nutzen kann. Vorausgesetzt natürlich, dass der Theme Autor diese Funktion eingebaut hat. Dazu bedarf es folgender Zeile <?php add_custom_background(); ?> in der functions.php Datei des Themes. Danach gibt es im Bereich «Design» ein neues Untermenü, wo man ein Bild hochladen und als Hintergrund verwenden kann.
schweizerWordpressMagazin
13
Mehr Sicherheit in WordPress
Das Thema Sicherheit sollte man unter keinen Umständen vernachlässigen, denn Blogs sind sehr beliebte Angriffsziele von Hackern. In der Vergangenheit haben wir in unserem Blog schon öfters auf verschiedene Sicherheitstipps hingewiesen, doch wir schreiben lieber einmal zu viel als einmal zu wenig darüber! In diesem Artikel möchten wir euch nicht nur WordPress Plugins vorstellen, die euch beim Schutz eures Blogs unterstützen, sondern auch aufzeigen, dass man mit wenigen Handgriffen den Blog zusätzlich sichern kann. Die WordPress-Installation Die ersten Sicherheitsvorkehrungen sollte man bereits bei der Installation eines WordPress Blogs treffen.
14
schweizerWordpressMagazin
WordPress in Unterverzeichnis installieren Viele automatisierte Scripts rufen standardmässig Adressen wie www.meinblog.ch/wp-login.php und www.meinblog.ch/wp-commentspost.php auf, um sich anzumelden resp. Spam-Kommentare zu veröffentlichen. Dies kann man verhindern, indem man WordPress in einem etwas kryptisch benannten Unterordner installiert. In diesem Beispiel unter www.meinblog.ch/_wp6gK3fu8/a. Das Verzeichnis wp-content/ verschieben und umbenennen Auch nicht alltäglich ist die Änderung des Eine WordPress-Installation in einem Unterordner ist natürlich noch lange keine grosse Hürde. Allerdings kann man diese durch einen zusätzlichen Trick noch etwas erhöhen!
Ab WordPress 2.6 kann man nämlich den Ordner wp-content/ verschieben und sogar umzubenennen. Mit folgendem Code werden wir ihn umbenennen und gleich in unser neues Verzeichnis fwr32r4 verschieben: // wp-content Verzeichnis define('WP_CONTENT_DIR', ABSPATH . 'fwr32r4/inhalt'); // wp-content URL define('WP_CONTENT_URL', 'http://meinblog.ch/ _wp6gK3fu8/fwr32r4/inhalt');
Hinweis: Nicht vergessen, den UploadPfad in den WordPress-Einstellungen anzupassen. Die Datei wp-config.php verschieben Zudem kann man auch die Datei wpconfig.php in eine Verzeichnisebene höher verschieben, um sie vor dem Zugriff von aussen zu schützen. Wenn die komplette Installation zum Beispiel im Pfad /pfad/zum/blog/meinblog.ch/ httpdocs/ liegt, kann man die Datei wp-config.php unter /pfad/zum/blog/ meinblog.ch/ ablegen. WordPress kann die Datei zwar immer noch aufrufen, aber Hacker werden daran scheitern, wenn sie sie über den Browser lesen wollen. Sicherheitskeys Die Sicherheitsschlüssel gibt es in WordPress eigentlich schon länger, seit Version 3.0 gibt es davon insgesamt acht, die man in der wp-config.php hinterlegen muss, womit die Cookies zusätzlich verschlüsselt werden. Da man möglichst zufällige Zeichenkombinationen dafür verwenden sollte, nutzt man am besten den Secret Key Generator von WordPress.org. Diesen erreicht man über die URL http://api.wordpress. org/secret-key/1.1.
Tabellen-Präfix Bevor man die „berühmte 5-MinutenInstallation“ von WordPress startet, sollte man in der Datei wp-config.php die Zeile $table_prefix = 'wp_'; finden. Hier kann man das Tabellen-Präfix zu etwas komplizierterem wie zum Beispiel $table_prefix = 'wp5i47b_'; ändern. SSL-Verbindung Ein zusätzlicher, wichtiger Schutz ist SSL, welches man für den Admin-Bereich aktivieren kann. Die Verbindung zum WordPress Backend wird dabei verschlüsselt, sodass Hacker noch weniger eine Chance gegeben wird, die Zugangsdaten abzufangen. Den SSL-Schutz erreicht man, indem man in der Datei wp-config.php die Zeile define('FORCE_SSL_ADMIN', true); hinzufügt. WordPress Version verschleiern In der Vergangenheit gab es immer wieder diverse Sicherheitslücken in WordPress. Weil diese meist nur in bestimmten (veralteten) Versionsnummern auftreten, scannen Roboter Websites auf diese Nummern hin. Deshalb sollte man die Version der eigenen Installation verschleiern, indem man folgenden Code in die functions. php des aktuell aktivierten Themes // Versionsnummern-Ausgabe // entfernen add_filter('the_generator', create_function(‚'$x','return null;')); Damit ist es aber noch nicht getan, denn es gibt auch noch einen anderen Ort, wo die WordPress Version zu finden ist: In den „Liesmich“-Dateien. Diese sollte man unbedingt löschen, bevor man WordPress installiert. Login-Fehlermeldungen verstecken Wenn der Anmeldeversuch in WordPress fehlschlägt, sagt einem die
schweizerWordpressMagazin
15
Software, ob das Passwort oder der Benutzername falsch ist. Dadurch weiss der Hacker natürlich, was er beim nächsten Login-Versuch anpassen muss. Um dem vorzubeugen, muss // Login_Fehlermeldungen // verstecken add_filter('login_errors', create_function('$y', 'return null;')); man folgenden Code in die functions. php des aktuellen Themes einfügen: Admin-Benutzernamen ändern In früheren Versionen hat WordPress bei der Installation automatisch den Benutzer admin mit einem zufällig generierten Passwort erstellt. Ab WordPress 3.0 kann man allerdings den Benutzernamen und das Passwort selbst bestimmen. Dies sollte man unbedingt nutzen und einen etwas komplizierterem Namen wählen, denn ein Hacker versucht sein Glück zuerst beim Benutzer admin. Das Passwort muss man nicht zwingenderweise selbst bestimmen, ein zufällig generiertes Passwort ist ja schliesslich auch schwer zu erraten. Hinweis: Oft wird auch die Benutzer-ID 1 (Administrator) abgefragt. Als doppelten Schutz sollte man also den ersten Benutzer löschen und einen anderen Benutzer zum Administrator ernennen. Zweit-Account mit begrenztem Zugriff Als Administrator muss man sich eigentlich in den wenigsten Fällen anmelden, denn die Beiträge und Seiten lassen sich auch als Redaktor oder Autor erstellen. Ausserdem werden die grundlegenden Konfigurationen ja nur einmal festgelegt und müssen später kaum mehr bearbeitet werden. Wenn man mit einem Zweit-Account arbeitet, der nur limitierten Zugriff auf den Admin-Bereich hat, ist man etwas geschützt, wenn ein Hacker das Pass-
16
schweizerWordpressMagazin
wort dazu herausfinden sollte. Er kann dann keine Einstellungen ändern oder Plugins installieren/löschen. Hinweis: Mit Plugins wie dem Role Manager kann man die Berechtigungen im Admin-Bereich ganz genau an seine Wünsche anpassen. Zugriffschutz per .htaccess und .htpasswd Mit .htaccess und .htpasswd hat man die Möglichkeit, Verzeichnisse und Dateien effektiv zu sichern, dies haben wir im Beispiel mit der WordPress Versionsnummer bereits gesehen. Dies kann man auch für die wp-config. oder das Verzeichnis wp-admin/ anwenden. Beispiele dazu würden diesen Artikel allerdings etwas zu sehr in die Länge ziehen und können u.a. zu Problemen mit dem Flash Uploader führen, weshalb wir hier lieber auf Google als Quelle verweisen möchten. Plugins als Unterstützung Eine Vielzahl von WordPress Plugins ist für den Security-Bereich ausgelegt. Man sollte diese allerdings keinesfalls als Ersatz anderer Sicherheitsmassnahmen, sondern viel mehr als Ergänzung betrachten. Im Folgenden zeigen wir euch ein paar Interessante Plugins, die man sich einmal in Ruhe anschauen sollte. Login Lockdown Hacker versuchen oft, sich mit der sogenannten Bruteforce-Methode Zugang zu einem geschützten Bereich zu verschaffen. Dabei werden alle möglichen Kombinationen von Benutzernamen und Passwort ausprobiert. Dies zu verhindern, ist die Aufgabe des Plugins Login Lockdown, mit welchem man die Anzahl Login-Versuche beschränken und den Besucher bei zu vielen Fehlschlägen aussperren kann. WordPress Antivirus
Ein sehr beliebtes WordPress Plugin, welches Schutz vor schädlichen CodeInjektionen bieten soll, stammt aus der Feder von Sergej Müller. Sergej ist unter anderem bekannt als Autor des wpSEOPlugins. Das Plugin durchsucht Theme-Dateien nach verdächtigen Code-Fragmenten und schickt bei Bedarf sofort einen Alarm per E-Mail an den Administrator. WordPress Exploit Scanner Der WordPress Exploit Scanner scheint umfangreicher als WordPress Antivirus zu sein und wurde zudem auch von diversen Core Entwicklern programmiert. Aber Vorsicht: Das Plugin braucht ganz schön viel Arbeitsspeicher. WP-Scanner BlogSecurity.net hat ebenfalls ein Sicherheits-Testprogramm entwickelt, welches den Blog auf gewisse Risiken wie veraltete Versionen, verdächtigen Code und XSS-Attacken überprüft. Dieses Plugin ist wirklich sehr empfehlenswert! Secure WordPress Dieses Plugin von Frank Bültge kann die meisten Dinge, die wir vorhin von Hand erledigt haben und testet den Blog auch auf böse Parameter und Code-Fragmente. Weitere Sicherheits-„Vorkehrungen“ Die meisten Sicherheits-Tipps, die man weitergibt, sind simple Grundregeln, können aber sehr wirksam sein. Für euch haben wir deshalb die wichtigsten Tipps aufgelistet – getreu dem Motto „Last but not least“.
kombinationen wie „1234“ oder sonstige nicht unwichtig dabei waren. Deshalb raten wir euch: Wählt immer lange, komplizierte Passwörter mit Sonderzeichen, Gross- und Kleinbuchstaben und Zahlen. Nur so könnt ihr verhindern, dass sie zufällig erraten werden können. Aktuelle Software verwenden Nichts ist verheerender als veraltete Software zu benutzen, wenn es schon längst eine neue Version gibt. Haltet deshalb WordPress, Plugins und Themes immer auf dem neusten Stand und aktualisiert diese, wenn euch im AdminBereich Updates angezeigt werden. Backup early, Backup often Oft zieht ein Hacker-Angriff einen weitreichenden Datenverlust mit sich. Deshalb sollte man möglichst oft eine Sicherungskopie des Blogs erstellen, um auf den Fall der Fälle vorbereitet zu sein. Backups von Dateien & Datenbank kann man mit Diensten wie VaultPress und BackupBuddy oder mit einem WordPress Plugin à la WordPress DB Backup Manager erstellen. Dateiberechtigungen Auch wenn manche Plugins oder Themes dies verlangen, sind Dateiberechtigung grösser als 755 oder 775 nicht sehr klug und öffnen die Türen für Hacker sehr, sehr weit. Seid also vorsichtig und nutzt die Dateiberechtigungen mit Bedacht.
Sichere Passwörter Diesen Frühling wurden wieder sehr viele Websites – darunter auch WordPress Blogs – gehackt. Die Ursache ist leider unklar, doch man kann davon ausgehen, dass einfache Passwort-
schweizerWordpressMagazin
17
Theme Tipps Delicious photography Dieses Premium Theme von ThemeForest ist ideal für Fotografen, welche ihre neusten Schnappschüsse präsentieren, gleichzeitig aber nicht auf einen Blog verzichten wollen. Da das Theme auf AJAX setzt, ist ein Neuladen der Seite nie nötig.
Preis: 22 Dollar http://themeforest.net/item/delicious-photography/75127 SimpleFolio SimpleFolio wurde vom Smashing Magazine im Februar 2010 als LeserGeschenk veröffentlicht. Dafür, dass das Theme kostenlos ist, bietet es viele Features wie zum Beispiel eine Einstellungs-Seite im Adminbereich, verschiedene Seiten-Templates und Unterstützung für Threaded Comments.
http://www.smashingmagazine.com/2010/02/07/ simplefolio-a-free-clean-portfolio-wordpress-theme/
http://wpcrunchy.com/2009/10/19/free-magazinenews-style-wordpress-theme-newspress/
18
schweizerWordpressMagazin
Preis: kostenlos
Newspress Das im Magazin-Stil gehaltene Newspress Theme ist auf dem 960 Grid System aufgebaut und bietet ebenfalls eine Einstellungs-Seite. Schade ist, dass das Theme nicht die WordPress-eigenen Post Thumbnails unterstützt, sondern auf eine eigene Lösung setzt. Trotzdem ist das Theme natürlich ein Preis: kostenlos
Comet Auch wenn das Design auf den ersten Blick vielleicht nicht sonderlich interessant ist, lohnt es sich, Comet einmal anzuschauen. Das Theme wartet nämlich mit 7 verschiedenen Fabrschemen und der Möglichkeit, Schrifarten, Logo und Widgets nach Belieben zu ändern.
http://frostpress.com/themes/comet
Preis: kostenlos
Genesis Genesis ist ein Framework von StudioPress, hinter dem der bekannte Theme-Ersteller Brian Gardner steckt. Es bietet eine viel Zahl von Einstellungsmöglichkeiten, Layouts und auch Child Themes. Auch für Suchmaschinenoptimierung soll es nach eigenen Angaben gerüstet sein.
http://www.studiopress.com/themes/genesis
Preis: 60 Dollar
Notepad Theme Das Notepad Theme ist von der iPhone Notizen-Applikation inspiriert und kann mit einem modernen Look punkten. Der Inhaltsbereich ist selbstverständlich liniert, sodass man das Theme wirklich gut als privates Notizbuch gebrauchen kann. Es ist zudem auch auf WordPress.com erhältlich.
http://wordpress.org/extend/themes/notepad-theme
Preis: kostenlos
schweizerWordpressMagazin
19
Erfahrungen mit dem Thesis Theme Framework
Interview mit Marcel Widmer Marcel Widmer ist Berater und Coach (spezialisiert auf die Suche, Selektion und Entwicklung von Fach- und Führungskräften) und nebenbei auch noch Ehemann, Familienvater und Blogger. Er hat nicht nur seine eigenen Blogs auf WordPress aufgebaut, sondern auch seine Firmen-Website damit umgesetzt. Dabei setzt er unter anderem auch auf das bekannte Thesis Theme Framework. Im Interview mit dem Schweizer WordPress Magazin erzählt er von seinen Erfahrungen damit. Seit wann benutzt du das Thesis Framework? Seit der Version 1.5.1 bzw. seit rund einem Jahr. Möchtest du unseren Lesern gerne deine Blog-Adresse verraten? Ich betreibe verschiedene Blogs und Websites mit WordPress. 4 davon mit Thesis: Der grösste und mit Abstand
20
schweizerWordpressMagazin
bekannteste ist der JobBlog: www.JobBlog.ch
Mein persönlicher Blog für das „Sammelsurium“: marcelwidmer.ch (im Moment läuft dieser allerdings testhalber auf einem anderen Theme)
Die Website von Janick Schalch, einem jungen Sportlers, den ich web- und marketingmässig etwas unterstütze: www.janickschalch.ch
Einen Testblog, um Neues auszutesten, bevor‘s „live“ geht
Warum setzt du auf das Thesis Theme und welche Vorteile bietet es dir? Aus meiner Sicht gibt es drei grosse Vorteile von Frameworks im Allgemeinen und Thesis im Besonderen: Erstens: Thesis bietet zum einen DesignEinstellungen, die auch für Laien sehr einfach über das Thesis-eigene Design-
menu angepasst werden können (wenn auch der Aufbau dieser Menus nicht immer einfach zu verstehen ist). Zum anderen stellt es eine ganze Reihe von Funktionen zur Verfügung, die über jene eines Standard-WordPress hinausgehen. So kann beispielsweise mit wenigen Klicks eine Mutlimediabox für Fotos oder Videos in der Sidebar eingebaut werden. Zweitens: Die Trennung von „Grundgerüst“ („Framework“) und persönlichen Anpassungen („Customizing“) ist ein immenser Vorteil. Wenn DIYThemes, der Anbieter von Thesis, eine neue Version ankündigt und bereitstellt, kann man diese in der Regel ohne Anpassungen der eigenen Einstellungen (Layout, angepasste Funktionen, CSS etc.) installieren. Drittens: Das Framework kommt bei Updates vor allem dann zum Tragen, wenn man mehrere Blogs damit betreibt: so hat man ein einheitliches Fundament, das sich einheitlich verwalten lässt. Das vereinfacht die (technische) Weiterentwicklung der Blogs enorm. Würdest du Thesis sofort weiterempfehlen? Ich würde jedem Thesis weiterempfehlen, der die genannten Vorteile nutzen kann. Wer nur einen einzigen Blog damit bestücken will, ist vermutlich mit einem einfacheren Theme besser bedient. Zudem ist Thesis trotz der vielfältigen Einstellungsmenus nicht zu unterschätzen: ohne eine gesunde Portion Grundkenntnisse in CSS und PHP wird‘s wohl kaum gehen. Wusstest du, dass es eine sehr grosse Community rund um Thesis gibt? Ja, aber ... Solche „technischen“ Communities sind meist dazu da, seine Probleme zu publizieren und dann wieder zu verschwinden, wenn diese
gelöst werden konnten. Ich würde es daher nicht als „Community“, sondern eher als „Zweckgemeinschaft“ bezeichnen. Wie ist der Support bei Thesis? Oder musstest du diesen noch nie in Anspruch nehmen? Chris Pearson, der „Vater“ von Thesis, und seine Kolleginnen und Kollegen, die ihn beim Support unterstützen, sind Entwickler - und das merkt man. Hier sprechen Techies mit Techies. Wer da nicht einigermassen mithalten kann, wird irgendwann frustriert aufgeben und ist vermutlich mit einem anderen (weniger technischen) Theme glücklicher. Das Thesis Theme ist auch wegen seinem Affiliate-Programm bekannt. Wie viel hast du damit bereits verdient? Von nichts kommt nichts - auch mit Thesis wird man nicht zum Millionär ;-) Ich habe bis heute knapp 200 US$ verdient (was schon überdurchschnittlich viel sein dürfte). Und ich sage bewusst „verdient“, denn ich habe einiges dafür getan, das anderen Thesis-Nutzern zu Gute kommt: ich pflege die deutschen Sprachdateien für Thesis und stelle diese kostenlos zum Download zur Verfügung: marcelwidmer.ch/thesisdeutsch . Wegen dem Affiliate-Programm sollte man eine Theme nicht kaufen wollen. Ich kann Thesis jenen Bloggerinnen und Bloggern empfehlen, die auch Freude an der Technik, am „Arbeiten im Maschinenraum“ haben. Und idealerweise mehrere Blogs damit betreiben und so vom einheitlichen Fundament profitieren können. Vielen Dank für das Interview! Ich danke Dir für Dein Engagement in Deinem Schweizer WordPress-Magazin und die Möglichkeit, bei Dir über meine Erfahrungen mit Thesis zu berichten.
schweizerWordpressMagazin
21
WordCamps Hier möchten wir euch gerne aktuelle WordCamps vorstellen. Ein WordCamp ist eine Barcamp („Un-Konferenz“) zum Thema WordPress, wo man nicht nur den verschiedenen Vorträgen lauschen kann, sondern sich auch selber beteiligen und mit anderen austauschen kann. Für WordPress-Fans lohnt es sich, einmal ein WordCamp (oder ein anderes Barcamp) zu besuchen, denn es kann eine sehr spannende Erfahrung sein! An dieser Stelle sei auch das WordCamp Berlin vom 3. Juli erwähnt.
WordCamp Savannah 20. – 22. August Savannah, Georgia (USA) http://2010.savannah.wordcamp.org/ WordCamp Mid-Atlantic 11. September 2010 Baltimore, Maryland (USA) http://wordcampmidatlantic.com/ WordCamp Los Angeles 11. September 2010 Los Angeles, Kalifornien (USA) http://2010.wordcamp.la/
WordCamp Berlin 3. Juli 2010 Berlin, Deutschland http://wordcamp.de/
WordCamp Birmingham 18. – 19. September 2010 Birmingham, Alabama (USA) http://wordcampbirmingham.org/
WordCamp Boulder 10. Juli 2010 Boulder, Colorado (USA) http://2010.boulder.wordcamp.org/
WordCamp Portland 18. – 19. September 2010 Portland, Oregon http://www.wordcampportland.org/
WordCamp UK 17. – 18. Juli 2010 Manchester, Grossbritannien http://uk.wordcamp.org/
WordCamp Kelowna 25. September 2010 Kelowna, Kanada http://www.wordcampkelowna.com/
WordCamp Nigeria 24. Juli 2010 Nigeria http://www.nysteria.com/wordcamp
WordCamp Philippines 2. Oktober 2010 Manila, Philippinen http://philippines.wordcamp.org/
WordCamp Houston 7. August 2010 Houston, Texas (USA) http://www.wordcamphouston.com/
WordCamp Detroit 9. – 10. Oktober Detroit, Michigan (USA) http://www.wordcampdetroit.com/
WordCamp Iowa 7. August 2010 Des Moines, Iowa (USA) http://wordcampiowa.org/
WordCamp Philly 30. Oktober 2010 Philadelphia, Pennsylvania http://wordcampphilly.com/
WordCamp New Zealand 7. – 8. August 2010 Auckland, Neuseeland http://wordcamp.org.nz/
WordCamp Las Vegas 30. Oktober 2010 Las Vegas, Nevada (USA) http://lasvegaswordcamp.com/
22
schweizerWordpressMagazin
http://wp-magazin.ch/ schweizerWordpressMagazin
23
Herausgegeben vom Schweizer WordPress Magazin Kontakt: Pascal Birchler http://wp-magazin.ch/ info@wp-magazin.ch
24
schweizerWordpressMagazin