WordPress-Security: Theme Authenticity Checker

Wer hat sich noch nicht gefragt, was man sich vom Sicherheits-Standpunkt aus antut, wenn man sein Blog mit Plug-Ins und Themes aus dem Web „bereichert“?

Nur wenige haben Zeit, Muße und Fachkenntnis, um jede „Verbesserung“ selbst gründlich zu prüfen. Die Weblog Tools Collection schreibt (Englisch) unter der Überschrift „Theme Authenticity Checker“ über ein neues Plug-In, das diese Lücke teilweise schließt: Der „Theme Authenticity Checker“ prüft Themes auf verschleierten Programmcode und statische Links. In den Kommentaren zum Artikel finden sich tatsächlich Berichte, daß einige „wild“ heruntergeladene Themes z.B. statische Links auf Porno-Seiten mitbringen.

Das Plug-In ist knack-einfach zu verwenden (installieren, aktivieren, unter „Appearance“ (en) bzw. „Design“ (de) das Plug-In „TAC“ aufrufen und die Ergebnisse auswerten – das Ganze dauert weniger als drei Minuten). Meine Themes sind „sauber“ (erleichtertaufseufz) – und wer macht das passende Tool für Plug-Ins?

eBook und Buchmesse

Morgen geht’s zur Buchmesse. Eigentlich hätte ich ganz gerne einen eBook-Reader, aber – einfach gesagt – wozu? Im Sinne von: Für welche eBooks?

Jedenfalls kann das Buchmesse-Blog mir lange eBooks bzw. eBook-Reader anpreisen (wird das eigentlich absichtlich immer durcheinandergeworfen?): Wenn ich in einem Monat ein (Papier-)Buch will, weiß ich, daß ich es bekommen und lesen kann. Wenn ich heute einen eBook-Reader kaufe, kann ich mit über 99%iger Wahrscheinlichkeit das Buch, das ich in einem Monat haben will, damit nicht lesen. Der Focus schreibt begeistert, „die Anzahl der gespeicherten Bücher ist fast unbegrenzt“ – womöglich passen alle heute verfügbaren deutschen eBooks in den Speicher eines einzigen eBook-Readers? Im Gegensatz zum Spiegel-Artikel ist dabei vom Preis der eigentlichen Bücher noch nicht einmal die Rede, und von der Anwender-Freundlichkeit (Leser-Freundlichkeit) der DRM-Systeme auch nicht: Das Problem möchte ich erst einmal haben!

Auch das Beispiel aus dem BR Bücher Blog ist dabei herzlich wenig hilfreich. Am Beispiel einer Neuausgabe von „Frühstück bei Tiffany“ wird argumentiert: „Für Sach- oder Gebrauchstexte mag das eBook nützlich sein, doch für einen Roman oder gar für Lyrik – nimmer!“ Was für ein lahmer Vergleich: „Frühstück bei Tiffany“ gibt’s  nicht als eBook. Digitale Fotos konnte ich selbst machen, auch digitale Musik oder digitale Videos – so gab es immer Möglichkeiten, meine Infrastruktur-Ausgaben zu rechtfertigen. Bei den digitalen Büchern ist das etwas anderes.

Sogar wenn alle Spiegel-Argumente geklärt wären: Ich hänge immer am „Fliegenfänger“ einer amerikanischen Firma fürs DRM, und der Datenschutz der Amerikaner ist berühmt. Egal ob Kindle-Amazon-alles-aber-Englisch oder Adobe-kleine-Auswahl-Deutsch. Während ich noch halbwegs damit leben kann, daß Apple einen Überblick darüber hat, was ich höre, geht die Frage was ich lese niemanden etwas an.

Ich bin die Zielgruppe: Leseratte, Gadget-oholic und Computerfuzzi – und kaufe auf der Buchmesse kein eBook bzw. keinen Reader? – dann wird der Durchbruch mit dem eBook wohl noch ein wenig dauern.

Danke, Börsenverein des Deutschen Buchhandels, für den Fortschritt!

iPhone, Mail und SSL

Unter der Überschrift „iPhone II“ habe ich neulich philosophiert, daß das iPhone „von sich aus SSL/TLS für die IMAP- und SMTP-Kommunikation verwendet“.

Inzwischen habe ich zufällig gefunden, daß das tatsächlich einstellbar ist:

Man beginnt, wie üblich, mit den „Einstellungen“ und geht von dort weiter nach „Mail, Kontakte, Kalender“. Dann kann man einen „passenden“ Email-Account auswählen. In dem folgenden Bildschirm (Überschrift ist der Name des Email-Accounts) muß man ganz nach unten scrollen, dort gibt es zwei Menüpunkte: „SMTP“ und „Erweitert“.

Unter „Erweitert“ findet man die SSL-Einstellungen für IMAP

Unter „SMTP“ muß man den SMTP-Server noch auswählen, und dort findet man die SSL-Einstellungen für SMTP.

(Das Ganze gibt’s auch bebildert – aber das Hochladen der Bilder habe ich noch nicht hinbekommen, daran bastel‘ ich noch :-/)

Musik-Sammlung mit Media Monkey I

Heute hat MediaMonkey seine erste Bewährungsprobe bestanden: Auf meiner Festplatte vegetieren noch alte Vortrags-CDs dahin. Leider sind sie teilweise so alt, daß sie keine vernünftigen ID3-Tags haben (… praktisch nicht richtig „beschriftet“ sind – Bei Wikipedia gibt’s einen Grundlagen-Artikel über ID3-Tags).

Also war die Frage: Wie kann ich diese Daten-Oldtimer mit möglichst wenig Aufwand in mein schönes iPhone-taugliches MP3-Archiv übernehmen? Immerhin sprechen wir von ~2.500 Dateien 🙂

Ausgangslage waren MP3-gepackte Audio-CDs nach einem Dateinamens-Schema „<Kurs>CD##<Titelnr>) <Thema>.mp3“.

In MediaMonkey kann man dann schön alle CDs eines Kurses auswählen, indem man im Navigationsbaum (links) unter „Mein Computer“ den Ordner für den Kurs öffnet. Darunter gibt es einen Knoten namens „Alle“. Im Hauptbereich werden jetzt alle Audio-Dateien dieses Kurses angezeigt. Eine davon anklicken, und mit „STRG-a“ alle auswählen. Dann kann man im Kontext-Menü (oder für Faule: Mit SHIFT-EINGABETASTE) die Song-Eigenschaften öffnen und alles setzen, das für alle Dateien dieses Kurses gleichermaßen gilt. Das könnte zum Beispiel der „Interpret“ (praktisch: Kursleiter oder Lehrer) sein – aber nur, wenn tatsächlich der ganze Kurs vom gleichen Lehrer gehalten wurde.

Das war dann schon die halbe Miete. Die andere Hälfte ist ein möglichst billiger  Weg, die einzelnen Dateien zu bearbeiten. In meinem Fall hatte ich noch zusätzliche Informationen im Dateinamen, die ich in die Beschriftung übernehmen konnte.

Dazu habe ich die Ordner einzeln geöffnet, um sicherzugehen daß das Schema eingehalten wurde. Dann kann man im Kontextmenü „Auto-Taggen von Dateiname…“ auswählen (für Faule: STRG-t wie taggen tut’s auch). In der obersten Zeile kann man dann das „Muster“ definieren, nach denen der Dateiname in Schlagworte usw. umgewandelt werden soll. Im Beispiel oben war „<Song#>) <Titel>“ das entsprechende Schema: Zunächst kam der Inhalt der Titel-Nummer (im Muster mit „<Song#>“ angegeben), dann das Zeichen „)“ und ein Leerzeichen, die nicht umgewandelt werden sollten – darum stehen sie einfach so im Muster. Der Rest wird wie er ist in das Feld „Titel“ gekippt, wie man der Anweisug „<Titel>“ entnehmen kann.

Zur Kontrolle sieht man unten im großen Kasten, wie die Dateinamen tatsächlich umgewandelt werden. Wenn man die EINGABETASTE betätigt oder rechts unten „OK“ klickt, geht’s los.

Und wenn man sich die „Sprache“ für die Muster nicht merken kann: rechts neben der Eingabezeile ist ein Knopf mit der Beschriftung „>>“ – dahinter verbirgt sich ein Menü, mit dem man die Datenbankfelder einfach auswählen kann.

So bekommt man 300 Dateien in weniger als fünf Minuten verarbeitet.

Kleine Basteleien der Woche

Viel war diese Woche nicht los – die Kombination aus Erkältung und Arbeit hat mich gut ausgebremst, und auch die nächsten beiden Wochen hat erst einmal der „Haupt-Job“ vorfahrt.

Ein paar Dinge haben dennoch geklappt, bzw. ich würde gerne eine „Meinungsumfrage“ starten, welche Themen interessant wären:

  • MediaMonkey: Gegenüber letzter Woche habe ich die neue Beta (1272) ausprobiert. Grundsätzlich funktioniert’s, d.h. dem Artikel über das Sortieren der Musiksammlung steht erst einmal nichts mehr im Wege.
    Vorsicht: Schade ist, daß die aktuelle Beta die Konfiguration des iPhone (nämlich die „automatische Wiedergabe“) zerschossen hat.
  • SSL-Zertifikat mit OpenSSL anlegen und in den PLESK-Zertifikate-Speicher „hineinzaubern“ (praktisch für Blogger, damit das admin-Passwort nicht im Klartext über die Leitung läuft)
  • Ein Fotoalbum mit JAlbum angelegt –> http://www.cats-on-the-rocks.de (der Name ist Programm: Im Urlaub waren die Wellenbrecher von wilden Katzen bewohnt. Dazu gibt’s ein paar coole Fotos)
  • Ich hätte gerne einen Foto-Workflow, in etwa: Spreu vom Weizen trennen, verschlagworten, technisch korrigieren (Abbildungsfehler), „digitale Dunkelkammer“, unsichtbares Wasserzeichen und Copyright-Vermerk, Metadaten löschen bzw. ersetzen, Publishen (z.B. mit JAlbum oder Gallery)
  • Ein „Pflanzenfilm“: Mit der Webcam eine Pflanze „anvisiert“ und alle 15 Minuten ein Foto gemacht – aus ungefäht 800 Fotos (etwa eine Woche) werden dann zwei, drei Minuten Film 🙂
  • Fernsehsendungen aufnehmen, Werbung herausschneiden und auf DVD brennen. Dazu steht ein Upgrade von Nero 9 nach Nero 9 reloaded an
  • Spiele-Bericht:

Meinungen herzlich willkommen!

Bis demNeXT!

Email… DE-Mail…

Hmmm… eigentlich wollte ich hier nicht nur über Sicherheitsthemen schreiben, aber wenn unsere politischen Netz-„Experten“ sich dermaßen schräg engagieren wie zum Thema „DE-Mail“ muß ich wohl wieder einmal.

Heise titelte gestern „Pilotprojekt zur Bürger-E-Post De-Mail gestartet“ und zitiert den Beauftragten für Informationstechnik der (noch-)Bundesregierung: „Die aktuellen Meldungen über Phishing-Attacken machten deutlich, dass hier Nachbesserungen dringend erforderlich seien.“

Technische Details zu diesem sogenannten sicheren System sind allerdings noch rar. Ich gebe zu: Eine intensive Recherche sieht anders aus, aber bisher habe ich nichts gefunden, was auf echte Innovation hindeutet.  Den Kollegen bei Webkompetenz ging’s nicht besser, und ihren Kommentar-Schreibern auch nicht. Die Versprechen aus dem DE-Mail Flyer (PDF) sind jedenfalls vollmundig, und die Auskünfte unter http://www.de-mail.de mager.

Highlight (oder Lowlight?) ist für mich folgendes Statement:

Alle Daten und Nachrichten, die der Nutzer zur Übertragung oder Speicherung an einen De-Dienst übergibt, werden unmittelbar vom De-Mail-Anbieter verschlüsselt

Warum sehe ich das als „Lowlight“? – weil mir das Thema Passwortsicherheit schon länger vertraut ist, und gerade heute Spiegel Online schreibt: „Lasche Passwörter – So sichert man seine Web-Konten (nicht)„: Die sogenannten Phishing-Attacken der jüngeren Vergangenheit waren u.U. gar keine, sondern einfach nur Anwender, die ihre Passwörter schlecht gewählt hatten und dabei erwischt wurden!

Wenn die „Sicherheit“ bei DE-Mail erst auf dem Server anfängt – wie wollen sie sowas verhindern?

Kleine Basteleien der Woche

„Dank“ einem Erkältungs-Handicap nur ein paar kleinere Basteleien, die jeweils für sich alleine keinen Artikel wert sind:

  • Zum „Digitalen Heimwerker“ gibt es einen komplementären Twitter-Account „digitalbastler„. Durch das Plug-In „Twitter for WordPress“ wird der jeweils neueste Tweet in den Navigationsbalken rechts eingeblendet. So wisst ihr immer, woran ich gerade bastle (oder wenn ich gerade eben nicht bastle :-/)
    Die Installation des Plug-Ins war schneller vorbei als ich hätte „Tweet“ sagen können – da lohnt sich wirklich kein Artikel.
  • Die Suche nach der perfekten Bilder-Datenbank dauert wohl noch ein wenig. Unterwegs bin ich über „Meet the Gimp“ gestolpert: Video-Tutorials zu Bildbearbeitung bzw. Gimp, die mich völlig begeistern. Seit heute gibt’s Folge 121 – da ich praktisch bei Folge 1 anfange bin ich gespannt, wie lange ich zum Aufholen brauche 🙂
  • Von MediaMonkey gibt es eine neue interne Beta, die den iTunes-Problemen aus dem Weg gehen soll. Ich warte trotzdem erstmal bis zum Release.

Frohes Basteln!

PHPIDS für WordPress

Wie schon geschildert: Bloggen ist eine tolle Sache – und gleichzeitig übernimmt man mit seinem Blog einen kleinen Ausschnitt der Verantwortung für die Sicherheit des Internet. Jeder Blogger sollte sich um die Sichrheit seines Blogs Gedanken machen.

Im Kielwasser dieser Basteleien bin ich über einen c’t-Artikel auf PHP-IDS gestoßen. Das scheint mir – gerade im Kielwasser des WordPress-Wurmes – ein interessanter Ansatz zu sein. Es gab sogar einmal ein Plug-In, um PHP-IDS und WordPress zu verbinden, doch das Plug-In ist veraltet. Wenn’s um Sicherheit geht, ist hier Endstation.
Und weil die PHP-IDS-Entwickler richtig fleißig sind und ständig neue Versionen fertig werden, läuft dieser Artikel lieber als „Hilfe zur Selbsthilfe“.
→ weiterlesen

Windows Vista SP2

Soso… jetzt wird’s interessant: Windows Update bietet „Windows Vista SP2“ an. Soll ich das Experiment wagen? Immerhin: Microsoft ist inzwischen besser als ihr Ruf.

Also klar, los – und hier berichten. Die in Aussicht gestellten Features ziehen mich zwar nicht hinter dem Ofen vor, aber die Security-Aspekte…

Auf geht’s. Wenn ihr hier bald wieder von mir lest, war’s halb so schlimm.

Update: Die Installation hat nur etwa eine halbe Stunde gedauert. Ich habe die Zeiten mitnotiert, aber bei diesem Gesamt-Zeitbedarf lohnt sich das abtippen nicht. Bisher scheint alles zu laufen – mal sehen, ob irgendetwas auffällt.

Server-Sicherheit – ein erster Eindruck

Seit etwa einer Woche ist der Digitale Heimwerker live. Heute habe ich zum ersten Mal die Logfiles inspiziert. Nein, nicht die Web-Logfiles um zu sehen wie viele Leser ich hier habe (die sind erwartungsgemäß niedrig), sondern die sicherheitsrelevanten Server-Logfiles des virtuellen Servers, auf dem das Blog läuft. Das WordPress-Blog hatte da ein paar unschöne Berichte, z.B. „How to Keep WordPress Secure“ oder „WordPress 2.8.4: Security Release„.

Dabei gingen mir die Augen über. Tausende (!) von Hack-Angriffen. Täglich.

Also erst einmal „Notwehr“ entlang der Vorschläge aus „10 Steps To Protect The Admin Area In WordPress“ (denn auch die Webserver-Logs zeigten schon interessante Spuren), und ein paar Maßnahmen aus der Server-Trickkiste, die ich hier nicht dokumentieren will.

Für den geschätzten Leser bleibt die Warnung: Bloggen macht Spaß – aber jeder Blog-Betreiber übernimmt auch selbst eine Sicherheits-Verantwortung. Dessen sollte man sich bewußt sein.

http://www.smashingmagazine.com/2009/01/26/10-steps-to-protect-the-admin-area-in-wordpress/