Ein Blog von netzhaut.de

0

WordPress Sicherheit – nicht nur Design zählt

Eine Standard-Installation von WordPress ist für den sicheren Praxisbetrieb ungeeignet Das Design steht, jetzt ist die Sicherheit an der Reihe. Das hängt ganz von den eigenen Anforderungen und Ansprüchen ab. Einiges lässt sich einfach umsetzen, anderes wird schon aufwendiger. Sicherlich kann man viele Probleme mit Plugins lösen. Plugins sind allerdings oftmals selber das Problem. Daher stellen wir in dem Beitrag eine nicht abschließende Liste an Sicherheitsmaßnahmen vor, die allesamt ohne Plugins funktionieren. Sicherheit erlangt man nicht durch die Installation unzähliger Security-Plugins, sondern durch eine saubere Konfiguration, stetige Updates und proaktive Maßnahmen zur Absicherung. unbekannter Autor 1. xmlrpc deaktivieren Das Deaktivieren...

WordPress Sicherheit: Angriffe auf die XMLRPC-Schnittstelle verhindern

Die WordPress Sicherheit wird immer wichtiger, da die Angriffe auf WordPress Seiten sehr häufig passieren. Daher ist es verwunderlich, dass manche Agenturen sich dem Thema kaum bis gar nicht widmen. Wir zeigen Euch hier mal den ersten Schritt in der Absicherung jeder WordPress-Installation. Updates Das wichtigste sind wohl Updates um bekanntgewordene Sicherheitslücken zeitnah zu schließen. Eine Übersicht der bisher bekannten Lücken findet man hier:https://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337 Grundsicherung mit der .htaccess Datei Das wohl häufigste Einfallstor ist die umstrittene xmlrpc-Schnittstelle. Die Schnittstelle fungiert bei WordPress als API für z.B. die WordPress App und manche Blogger benutzen die Schnittstelle um Pingbacks zu ermöglichen. Für...

0

SFTP vorbereiten und nutzen

Zur Übertragung von Daten ist derzeit das FTP-Protokoll immer noch sehr weit verbreitet. Da das Internet auch schon vor über 30 Jahren Neuland war, hat man sich seinerzeit über Datensicherheit keine besonders großen Gedanken gemacht, dementsprechend ist FTP in seiner Urform vollständig unverschlüsselt. Zwar lässt sich die Kommunikation mit FTPS immerhin auf dem Kontroll-Kanal durch TLS schützen, die Daten selbst werden jedoch gemeinhin unverschlüsselt übertragen. Auch heute ist das Internet noch Neuland, jedoch gibt es mittlerweile etablierte und nicht weniger komfortable Möglichkeiten, Daten wirklich sicher zwischen zwei Rechnern zu übertragen. Eine sehr empfehlenswerte Variante ist hierbei SFTP in Kombination mit...

0

Mehrere Presets für CKeditor verwenden

Um für ein Inputfeld ein von der Standardvorlage abweichendes RTE Preset zu verwenden, muss man wie folgt vorgehen: Zunächst wird das Preset als .yaml Datei im Verzeichnis Configuration/RTE/ angelegt (in diesem Beispiel Custom.yaml). Hier kann als Vorlage zunächst die Default.yaml kopiert werden. In ext_localconf.php wird nun eine Bezeichnung für das neue Preset definiert: Um dieses Preset per TCA einem Inputfeld zuweisen zu können, muss in der RTE.tsconfig unter Configuration/TsConfig/Page/ die eben gewählte Bezeichnung einem im TCA verfügbaren Wert zugeordnet werden: Sollte hier die Standardvorlage per default gesetzt sein, muss diese zwingend entfernet werden, da zusätzlich angelegte Presets sonst ignoriert werden....

0

Mac Firefox vs. Chrome

Im Screenshot haben wir einmal das Problem, dass der Firefox die Schriften anders darstellt als im Chrome. 1. Font-Smoothing body { -webkit-font-smoothing: antialiased; -moz-osx-font-smoothing: grayscale; font-smoothing: antialiased; } Firefox benötigt an dieser Stelle den Wert grayscale statt antialiased.   2. Inputfelder Inputfelder werden im Firefox um 2px höher dargestellt als im Chrome. Dies ist nicht unbedingt ein offensichtliches Problem aber bei Fieldsets mit Hintergrund, welche nebeneinander platziert sind, wird es einen Versatz geben. Dieses Problem konnten wir wie folgt lösen: input{ margin-top:-2px; line-height:34px; } Die line-height muss natürlich entsprechend angepasst werden.

0

Reports – Remaining updates

Im Reports-Modul stieß ich letzens auf eine Meldung, die mich verwunderte: „This installation is not configured for the TYPO3 version it is running.“   Die TYPO3-Instanz war jedoch eine frisch aufgesetzte Installation… Bei weitergehender Analyse, wie das Modul hierauf kommt, fand sich rasch die Ursache: die Datenbankstruktur stimmte nicht mit den Erwartungen/der hinterlegten Definitionen überein. Im Installtool unter Important actions findet sich der Database analyzer, der nähere Infos liefert.

0

Dubletten-Ansicht für Website-Benutzer

Wenn in größeren (aber auch generell) fe_users-Tabellen eines TYPO3 Dubletten vorhanden sind (was eigentlich nicht passieren dürfte*), kommt das Indexmanagement des mysql sehr schnell an seine Lastgrenzen.Wenn dann gejointe Abfragen gestartet werden, gibt es einen erheblichen Performance-Unterschied wenn auch nur eine einzige Dublette im username vorhanden ist. Um diese schnell finden zu können, kann man sich einfach die unten folgenden VIEWS in seine Datenbank packen (einfach im SQL-Feld des phpmyadmin abfeuern) und hat sofort eine wunderbare Übersicht über Dubletten.Da VIEWS nur Ansichten sind, brauchen sie „keinen“ Speicherplatz und fressen auch sonst kein Brot 😉 Die VIEW „fe_users_dupes_witherrors_list“ stellt alle Dubletten dar,...

0

Grundkonfiguration von TYPO3 (Stand 2015)

Welche Konfiguration im Install-Tool TYPO3 geschmeidig auf unseren Servern laufen lässt, soll hier kurz erklärt werden. Die Default-Settings passen inzwischen sehr gut zu unserer Infrastruktur und unseren Erfahrungen, sodass kaum mehr Dinge zu verändern sind.

3

Optimierte .htaccess für TYPO3

Über passende Regeln in der .htaccess-Datei wird die Website noch schöner, schneller und besser. Vor fast 5 Jahren hatten wir bereits im Beitrag Optimierte .htaccess fuer TYPO3 auf Apache2 von Stephan eine alternative .htaccess-Datei veröffentlicht. Die damals von TYPO3 mitgelieferte Version behandelte nur wenige Grundeinstellungen und war für den Produktivbetrieb eher suboptimal. Über die Jahre hat sich vieles getan und holte die Default-htaccess von TYPO3 auf. Ein Punkt von damals gilt aber auch noch heute eine .htaccess wird mit jedem File-Hit geparst, besser wäre es natürlich die Einstellung direkt in der Apache Konfiguration der VirtualHosts vorzunehmen. Das scheitert aber vermutlich...