WordPress Login wp-login.php schützen und verstecken

Um sich mit WordPress vor hartnäckigen Brute Force Attacks zu schützen, ist es eine effektive Lösung das WordPress-Login und dem direkten Zugang unter wp-login.php zu verstecken.

Problem:

Standardmäßig findet sich das WordPress Login bei jeder normalen Installation unter domain.tld/wp-login.php. Dies ist für einen Angreifer natürlich ein gefundenes Eingangstor und sie müssen sich lediglich um den Benutzernamen (kann relativ einfach gefunden werden) und das Passwort (mit viel Rechenleistungen ist auch dies knackbar) kümmern. Etwas sportlich formuliert, steht dann das Backend offen.

Lösung:

Um jetzt das Eingangstor zu verlegen, könnt ihr das kostenfreie WordPress Plugin WPS Hide Login verwenden. Dieses unterbindet den direkten Zugriff auf den /wp-admin/ und die Login-Datei wp-login.php und leitet auf eine gewünschte Alterativadresse um. Dazu könnt ihr im Backend unter Einstellungen > Allgemein einen neuen Pfad angeben, z.B. domain.tld/mein-backend-zugang/.

Fertig und vor allem sehr schnell erledigt!

Sehr praktisch: Das Plugin WPS Hide Login ist auch Multiuser-tauglich und somit auch für größere WordPress-Netzwerke zu verwenden.

Wichtig:

  1. Ihr solltet euch unbedingt den neuen Pfad merken, ansonsten findet ihr selbst den Weg ins Backend nicht mehr. Alternativ könnt ihr natürlich in der Datenbank nachschauen.
  2. Bei einer ersten Installation solltet ihr ggf. den Cache ausreichen leeren (z.B. beim W3 Total Cache), um auch den neuen Pfad zum WordPress Login zu erreichen.
  3. Nicht zu unterschätzen: Neben diesem Plugin solltet ihr weitere Sicherheitsmaßnahmen (allen voran sichere Passwörter!) verwenden.

Quellen und Links

BackWPup: WordPress Backup Fehler bei Starto

Aufgrund einer Serverkonfiguration tritt bei Strato-Hosting-Tarifen folgender Fehler bei einem größeren WordPress Backup auf:

ERROR: Signal „SIGXFSZ“ was sent to script

Der Fehler resultiert auf der hohen Dateigröße (z.B. größer als 64 MB), die das Plugin für das Backup erstellen muss. Dies wurde ebenfalls schon im WordPress Forum beschrieben, jedoch nicht wirklich gelöst.

Lösung:

Die Server-Einstellungen anpassen oder den Hoster wechseln. Konkret für den Strato-Fall könnte man ohne das Plugin auch einen internen Backup-Service einrichten (lassen).

The Events Calendar: Site URL für Lizenzschlüssel ändern

Für das kostenpflichtige WordPress Plugin The Events Calendar ist der Lizenzschlüssel für eine bestimmte Domain (Site URL) gültig. Habt ihr diesen erstmalig in einer Testumgebung zum Laufen gebracht, muss dieser anschließend für die Live-URL umgestellt werden.

So geht’s:

Um den Lizenzschlüssel für die neue URL zu aktivieren, logt ihr euch auf der offiziellen Webseite des Plugin-Anbieters ein und entfernt dort die aktuelle Site URL durch das Anklicken des Buttons Disconnect now. Anschließend tragt ihr den Lizenzschlüssel in eurem WordPress Backend auf der neuen Domain ein und habt dadurch die Domain (mit der neuen Site URL) aktiviert.

Ihr könnt dies anschließend in eurem Profil auf der Plugin-Webseite unter My Profile > License Keys sehen.

Der nützliche Tipp kam von Brian aus dem Support-Form.

WordPress: Zufallszahl mit wp_rand()

Manchmal muss der Zufall helfen. Im WordPress Core hilft die Funktion wp_rand() für eine zufällige, ganze Zahl. Diese einfache und dennoch manchmal nützliche Funktion generierte aus einem minimalen und maximalen Wert (einem beschränkten Intervall) eine Zufallszahl.

Beispiel:

Dieses Code-Snippet gibt bei jedem Aufruf eine Zahl zwischen 1 und 99 aus. Minimal- und Maximalwert können dabei beliebig verändert werden. Der Standardwert fürs Minimum ist 0, fürs Maximum 4294967295. Der Rückgabewert ist eine ganze Zahl (integer).

Wer mehr dazu wissen möchte, liest im WordPress Codex nach.

Nach WPML Update: Kommentare nicht möglich

Nach einem letzten Update von WPML ist das Kommentieren von Beiträgen in der/den übersetzen Sprache/n nicht möglich. Nach etwas Recherche stellte sich das Plugin Antspam Bee als Verursacher heraus.

Fehlermeldung:

In den Originalbeiträgen (Ausgangssprache) waren Kommentare weiterhin möglich, nur bei den übersetzten Blog-Beiträgen (Fremdsprache) erfolgte diese WordPress Fehlermeldung:

ERROR: please type a comment.

Lösung:

Das WordPress Plugin Antspam Bee, zur Abwehr von Spam-Kommentaren, zu deaktivieren brachte einen ersten Erfolg. Die Lösung ist nicht optimal, aber zielführend.

Im Support-Forum von WPML wurde diese Problematik bereits entdeckt und an das Compatibility Team weitergeleitet. Wir hoffen demnach auf eine kompatiblere Lösung von WPML.

PHP Warning: Illegal String Offset Error

Nach der Umstellung von PHP 5.4 und höher immer mal wieder eine Fehlerursache: PHP Warning: Illegal string offset.

Beispiel:

PHP Fehlerausgabe: Warning: Illegal string offset in [‚index‘] in www/root/file.php:28.

Lösung:

Erst das Array prüfen und dann den Index abfragen. Fertig!

Weitere Lösungen, auch speziell für WordPress, sind unter Fix PHP Illegal String Offset Error zu finden.

 

WordPress: E-Mail, wenn eine Beitrag aktualisiert wurde

Wer ihr mit mehreren Mitarbeitern an einem Blog schreibt oder arbeitet, möchte ihr auch auf dem neuesten Stand der Beiträge bleiben. Folgendes Snippet schickt eine E-Mail an den Administrator, wenn ein Beitrag aktualisiert wurde.

Manchmal hilfreich, wenn zu viele Änderungen anstehen, kann es auch zu einer Meldungsflut kommen. Wer es braucht, kann diesen Code verwenden, austesten oder auch erweitern. Das Snippet kann in der z.B. in der functions.php eines WordPress Themes verwendet werden.

Wer weitere Hilfe beim Einbinden oder Ausprobieren benötigt, kann sich gerne melden. Eure Erfahrungen sind ebenfalls gefragt.

Custom Post Fields in Broken Link Checker

Das praktische WordPress Plugin Broken Link Checker überwacht alle deine Links in deiner Webseite und warnt dich bei fehlerhaften Verweisen. Verwendest du allerdings Links in Benutzerdefinierten Feldern (Custom Post Flields) muss die Überwachung erst (einmalig) in den Einstellungen übernommen werden. So kannst du beispielsweise auch nur die Seiten, Beiträge oder anderes prüfen lassen.

This plugin will monitor your blog looking for broken links and let you know if any are found.

So wird’s gemacht:

In den Einstellungen > Broken Link Checker > Suchen Sie nach Links in aktivierst du den Haken bei Benutzerdefinierte Felder und notierst in dem Textfeld den Wert des Feldes, z.B. my-custom-post-field. Speichern und schon werden auch diese Links mit überwacht.

Praktisch und hilfreich, um fehlerhafte Links aufzuspüren und die Benutzer nicht ins digitale Nirvarna zu schicken.

Quellen und Links

WordPress: 503 Error nach Upload großer Bilddateien

Eine sehr versteckte Sicherheitseinstellung führt bei Strato-Hosting-Paketen zu einem HTTP-Fehler nach dem Hochladen von großen Dateien, z.B. Bilder. Dabei nützt es auch nicht alle möglichen PHP-Werte bei Strato über .htaccess oder die php.ini zu erhöhen.

Folgender Fehler wird nach dem Upload über die Mediathek, sowohl über den Browserupload und die praktische Mehrfachauswahl, erzeugt.

503 Service Temporarily Unavailable

The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.
Fehlermeldung durch ServerSide Security

ServerSide Security bei Strato

Hintergrund ist die ServerSide Security, die sich in der Strato-Paketverwaltung im Sicherheitsbereich konfiguieren lässt. Dort muss der Filter gegen Gästebuch-Spam auf nicht aktiv gestellt werden.

Strato: ServerSide Security
Strato: ServerSide Security

Ist diese Einstellung deaktiviert, lassen sich alle Dateien wie gewünscht über die WordPress-Mediathek auf den Server hochladen.

WordPress: Suchergebnisse filtern, Posts oder Pages ausschließen

Bei der Standardsuche in WordPress werden automatisch alle Beiträge (Posts) und Seiten (Pages) durchsucht und bei einem Treffer ausgegeben. Um diese internen Suchergebnisse vorab zu filtern und nur eine von beiden Beitragstypen zu durchsuchen, könnt ihr folgenden Filter in die functions.php eurer WordPress Themes einsetzen.

Durch dieses Snippet werden nur Posts bei der Suche berücksichtigt.