Tag-Archive for » Wordpress «

Neue .blog-TLD für Blogger

BlogDomainDas weitverbreitetste Content Management System (CMS) für Blogger ist eindeutig WordPress. Das dürfte der Grund sein, warum sich das Unternehmen hinter dem Open-Source-CMS, Automattic, die Vergaberechte an der Top-Level-Domain (TLD) .blog gesichert hat.

Zusammen mit einem Partnerunternehmen haben die WordPress-Macher immerhin 19 Millionen US-Dollar für dieses Recht bezahlt. Einen Teil des Kaufpreises will Automattic jetzt in der soeben begonnenen Registrierungsphase einnehmen.

Wessen Wunschname unter .de, .eu oder anderen TLDs schon lange vergeben ist, der hat unter .blog noch eine gute Chance auf den bevorzugten Namen. Auch als Zusatzdomain für einen Blog könnten .blog-Domains durchaus für den einen oder anderen interessant sein.

Allerdings sind die Preise hier abhängig vom Second-Level-Domainnamen. Computer.blog soll zum Beispiel satte 100.000 Dollar kosten. Andere, weniger generische oder gefragte Domainnamen gibt es schon ab 30 Dollar. Beantragen kann man .blog-Adressen bei Automattic.

Beantragen mehrere Interessenten ein und dieselbe Domain, kommt es zu einer Auktion und der Höchstbietende erhält den Zuschlag. Wie immer haben Copyright-Inhaber ein Vorkaufsrecht auf ihren Markennamen. Solltet jemand die registrierte Domain aus irgendeinem Grunde die gewünschte Domain nicht erhalten, zahlt Automattic das Geld zurück.

Wie viele Interessenten jetzt eine .blog-Domain haben wollen, wird man wohl erst nach dem 21. November 2016 erfahren, wenn sie öffentlich verfügbar sein werden.

Screenshot: Automattic

Veraltete WordPress-Plugins locken Hacker an

WordpressHacksDie Sicherheitsfirma Sucuri hat im ersten Quartal dieses Jahres mehr als 11.000 kompromittierte Internetseiten untersucht. Aus ihrem Bericht geht hervor, dass häufig  erweiterbare Komponenten von CMS den Angreifern als Einfallstor dienen.

Mehr als 1 Milliarde Internetseiten auf CMS-Basis

Zurzeit sind über eine Milliarde Internetseiten aufrufbar, und hinter mehr als einem Drittel von ihnen stehen die Content-Management-Systeme (CMS) WordPress, Joomla, Drupal und Magento.

Von diesen CMS hat WordPress einen Marktanteil von über 60 Prozent, was auch auf seine durch Themes und Plugins vielfach erweiterbare Plattform zurückzuführen ist.

Bei WordPress fanden die Sucuri-Sicherheitsforscher auf jeder vierten der gehackten Seiten veraltete und anfällige Versionen der Plugins RevSlider, GravityForms und TimThumb.

Die untersuchten Hackerangriffe hatten jedoch kaum etwas mit der Kernanwendung des CMS zu tun, sondern mehr mit unsachgemäßer Installation, Konfiguration und Wartung durch Administratoren oder Hoster.

Die Infektionsursachen

Die häufigste Ursache von Infektionen waren Schwachstellen in den Erweiterungs-Komponenten i.e. Plugins, Erweiterungen, Module, Templates, Themes und ähnlichen Komponenten

Obwohl schon lange automatische Updates möglich sind, waren 56 Prozent aller infizierten WordPress-Sites nicht auf dem aktuellen Stand. Das ist im Vergleich zu den anderen Plattformen noch ein guter Wert, denn Joomla war zu 84 Prozent veraltet, Drupal zu 81 Prozent und Magento sogar zu 96 Prozent!

Ursachen für die mangelhaften Updatestände sind stark angepasste Installationen, Probleme mit der Rückwärtskompatibilität und last not least fehlende Mitarbeiter mit der notwendigen Kompetenz…

Auf 66 Prozent aller kompromittierten Installationen fand Sucuri eine PHP-basierte Backdoor. Durch diese Hintertüren konnten sich Angreifer über einen längeren Zeitraum nach der Infektion den Zugang sichern.

Diese Backdoors können auch die hohe Quote erneuter Infektionen, die nach Googles Webmaster-Tool bei satten 30 Prozent liegt, verständlich machen.

Mobilversionen von Internetseiten werden immer wichtiger

WPMobilePackWenn sie ihre eigenen Internetseiten mit einem Smartphone aufrufen, ist das für viele Seitenbetreiber eine Art Offenbarungseid.

Je nach verwendetem Browser sieht man nur einen Bruchteil der Seite (die ersten anderthalb Einträge im Horizontalmenü) oder alles auf einmal (aber so klein, dass man es kaum lesen kann).

Und versuchen Sie mal, da einen Link durch Antippen mit dem Finger zu treffen – das braucht viele Versuche oder aber eine Zweifingergeste, um den Bildschirmausschnitt mit dem gewünschten Link darin erst mal zu vergrößern, damit man im zweiten Schritt dann auch erfolgreich draufklicken kann.

Auch so mancher WordPress-Blogbetreiber hat bisher noch kein Mobil-Plugin zugeschaltet. Sei es wegen der schwachen Konfigurierbarkeit des WP-Mobile Packs oder wegen der Sorge, dass Piwik oder Google Analytics Besuche über die Mobilversion nicht mitbekommen könnten.

Deshalb müssen sich die Besucher dann auch weiterhin durch für die kleinen Bildschirme der Mobilgeräte völlig ungeeignete Internetseiten quälen – und rufen solche Angebote nur noch auf, wenn es absolut keine Alternative gibt.

Da lacht die Konkurrenz – und so mancher Interessent wird nicht zum Kunden, weil die angebotene Internetseite einem aus der immer größer werdenden Zahl der Smartphone-Surfer keine Chance lässt…

No-Captcha funktioniert mit einem Klick

Von der Google-Tochter Recaptcha kommt eine neue Version ihres Captcha-Systems, bei der man in der Regel keine Zahlen- und Buchstabenkombinationen mehr eintippen muss.

Das neue System heißt passenderweise heißt No-Captcha, basiert auf einem neuen API und Snapchat, WordPress und Humble Bundle nutzen es schon.

 

Bei No-Captcha muss der User nur das Häkchen bei “Ich bin kein Roboter” setzen. Währenddessen läuft im Hintergrund eine Analyse ab, die nach den wenigen Angaben dazu von Google beispielsweise anhand von Mausbewegungen die Frage “Mensch oder Bot?” beantwortet.

In der Regel werden die Benutzer mit dieser 1-Klick-Lösung sicher als Menschen erkannt. Bringt die Analyse einmal kein sicheres Ergebnis, dann wird zusätzlich doch eine verzerrte Zeichenkette abgefragt.

Bei Mobilgeräten kommen in einem solchen Fall wieder Katzenbildchen ins Spiel.

 

Phishing-Emails für WordPress-Administratoren

AllInOneSEOWPVon der Sicherheitsfirma Sukuri  kommt eine aktuelle Warnung vor Phishing-Mails an WordPress-Administratoren, die diese verleiten sollen, ein Plugin zu installieren, dass an die Besucher dieser WordPress-Seiten Schadsoftware verteilt.

Vorgeblich bietet die E-Mail die Pro-Version des beliebten Plugins All in One SEO Pack kostenlos an.

Wer aber auf den Download-Link in dieser Email klickt, landet nicht etwa auf der offiziellen WordPress-Plugin-Seite, sondern auf einer offensichtlich von den Spammern infizierten Domain in Australien (.com.au) oder Brasilien (.com.br). Spätestens an dieser Stelle sollten die Admins eigentlich stutzig werden.

Nach Sucuri haben einige Admins dieses bösartige Plugin tatsächlich installiert, was dann dazu führte, dass der Schadcode eine Backdoor auf dem Server öffnete und die Startdatei index.php  des infizierten Blogs austauschte. Von dem Moment an verteilten die betroffenen WordPress-Installationen Schadsoftware an ihre Besucher.

Wegen der enorm großen Verbreitung als CMS oder Blogsoftware ist insbesondere WordPress immer wieder ein beliebtes Ziel für Hacker, die probieren, die Seiten anderer als Spamschleudern oder für DDoS-Angriffe zu missbrauchen.

Bleiben Sie bitte vorsichtig!

WordPress schließt 12 Sicherheitslücken mit Update 3.5.2

wordpress1Das weltweit meistverbreitete Blog-CMS WordPress schließt mit dem soeben veröffentlichten Update auf Version 3.5.2 zwölf ernste Sicherheitslücken. Die Entwickler empfehlen, so schnell wie möglich upzudaten.

Die neue Version 3.5.2 beseitigt Schwachstellen, die Cross-Site-Scripting(XSS), Server-Side-Request-Forgery- (SSRF) und Denial-of-Service-Attacken (DoS) zulassen.

Wer schon jetzt mit der Betaversion WordPress 3.6 Beta arbeitet, bekommt mitdem Update 3.6 Beta 4 Sicherheitsupdates für dieselben Lücken. Diese gefährlichen Schwachstellen in WordPress wurden dem Entwicklerteam direkt von den Nutzern gemeldet, bevor sie anderswo im Netz veröffentlicht wurden. Dies Vorgehen wurde vom Entwicklerteam besonders gelobt.

Category: Allgemein  Tags: , , , , , , ,  Comments off

Eine BSI-Studie zu WordPress, Drupal, Typo 3 & Co.

bsi_studie-361405125c31f4eaDie Sicherheit von Web-CMS-Lösungen wie Drupal, Joomla!, Plone, Typo3 und WordPress hat das Bundesamts für Sicherheit in der Informationstechnik (BSI) in einer Studie untersucht. Diese CMS werden gerne zur Erstellung von Homepages benutzt, weil sie nichts kosten.

Gerade solche weit verbreiteten können für Angreifer das erste Ziel  bei dem Versuch sein, in das interne Netz eines Unternehmens einzudringen.

Hinzu kommt, dass diese Systeme häufig ohne weitere Anpassungen installiert und benutzt werden, so dass eine neu gefundene Schwachstelle auf einen Schlag viele Internetseiten gleichzeitig gefährdet.

Weiter Details und Erläuterungen dazu finden Sie auch bei Heise.

Veraltete WordPress-Version bei Reuters machte falsche Syrien-Berichte möglich

Zum letzten Wochenende tauchten auf der Seite des renommierten britischen Nachrichtendienstes Reuters im Sinne des Assad-Regimes gefälschte Berichte über den Bürgerkrieg in Syrien auf. Reuters musste kurzzeitig sein Blog vom Netz nehmen und die Fälschungen entfernen.

Jetzt wurde bekannt, wie das möglich war: Reuters benutzte eine veraltete WordPress-Version für sein Blog, die viele bekannte Sicherheitslücken aufwies. So kann man es im Blog des Wall Street Journal nachlesen.

Der Vorfall macht deutlich, wie wichtig es ist, sein WordPress immer auf dem aktuellen Stand zu halten. Wer Internetseiten mit WordPress erstellt, pflegt oder betreibt, sollte immer darauf achten, angebotene Updates auch einzuspielen, was bei WordPress wirklich sehr einfach zu machen ist.

Weniger Besucher im WordPress-Blog mit WordPress Mobile Pack?

Immer mehr Menschen sind heute mit mobilen Geräten im Internet unterwegs. Deshalb wollen viele Betreiber von Internetseiten oder Blogs ihren Besuchern aus dem Kreis der Surfer mit Android-Smartphones oder Apple’s iPhone, iPad oder iPod ihre Inhalte auch in einem mobilen Format anbieten. Damit ist der Content auf den kleinen Bildschirmen besser lesbar und man kann darin auch besser navigieren.

Wenn nach der Aktivierung eines Mobil-Plugins wie zum Beispiel des WordPress Mobile Packs die Besucherzahlen in Piwik deutlich zurückgehen statt zuzunehmen, sollte man überprüfen, ob der sogenannte Tracking-Code, meist ein Stückchen Java-Code, nicht nur in die normalen WordPress-Seiten, sondern auch in den mobilen Seiten eingebunden ist. Denn sonst werden alle mobilen Besucher einfach nicht mitgezählt.

Ein sicheres Indiz ist es, wenn die auf den meisten Servern auch geführten Logs wie z.B. Webalizer nach dem Start der Mobilseiten keine Reduzierung des Verkehrs anzeigen. Auch das Fehlen der Apple-Betriebssysteme und des Google-Mobilbetriebssystems Android im Betriebssysteme-Widget von WP_Piwik ist ein deutlicher Hinweis auf dieses Problem.

Internetseiten erstellen mit dem CMS WordPress

Gerade wenn es auf Inhalte ankommt, bietet sich WordPress als Content Management System (CMS) aus dem Open Source-Bereich an. Wer schon einmal Webseiten mit WordPress erstellt hat, weiß, wie einfach man neue Seiten anlegen und pflegen kann.

Auch was Designs angeht hat man die freie Auswahl – es gibt Tausende von freien Designs zu WordPress. Auch die meisten kostenpflichtigen Designs sind ihr Geld wert, und wer sich tiefer mit der Materie beschäftigt, hat auch kein Problem damit, eigene zu erstellen.

Das sind wohl auch die Gründe dafür, dass eine Untersuchung von Water & Stone vor einer guten Woche zeigte, das WordPress inzwischen das beliebteste kostenlose Content Management System geworden ist, und das mit einem deutlichen Abstand zu den zweit- und drittplatzierten CMS Joomla und Drupal.