Normale Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeHaupt-Feeds

WordPress-Installation unter RHEL 9 bzw. AlmaLinux 9

22. Mai 2023 um 08:49

Sie wollen WordPress auf einem Server mit RHEL 9 oder einem Klon installieren? Diese Anleitung fasst alle erforderlichen Schritte zusammen. Dabei gehe ich davon aus, dass Sie über eine minimale Installation auf einem Root-Server oder in einer virtuellen Maschine verfügen. Ich habe meine Tests mit AlmaLinux 9 in einer Hetzner-Cloud-Instanz durchgeführt.

DNS-Einträge

Nachdem Sie Ihren Server in Betrieb genommen und sich mit SSH eingeloggt haben, ermitteln Sie die IP-Adressen, unter denen der Server nach außen hin erreichbar ist. Beachten Sie, dass das an sich nützliche Kommando hostname -I nicht in jedem Fall zielführend ist. Wenn Ihre virtuelle Maschine als EC2-Instanz in der Amazon Cloud (AWS) läuft, liefert das Kommando eine Adresse in einem privaten Netzwerk. Diese Adresse gilt aber nur AWS-intern! Sie müssen in der AWS-Konsole ergründen, welche IP-Adresse nach außen gilt.

Ich gehe hier davon aus, dass Ihre WordPress-Installation unter den Adressen example.com und www.example.com zugänglich sein soll und dass Sie IPv4 und IPv6 unterstützen. Dann müssen Sie für Ihre Domain example.com vier DNS-Einträge definieren. Naturgemäß müssen Sie die Beispiel-IP-Adressen durch Ihre echten IP-Adressen ersetzen. Normalerweise dauert es eine Weile (fünf Minuten bis hin zu mehreren Stunden), bis diese DNS-Änderungen wirksam werden.

Typ    Name      Zieladresse
-----  -------   -------------------
A       @        1.2.3.4
A       www      1.2.3.4
AAAA    @        2345:1234:1234::1
AAAA    www      2345:1234:1234::1

Software-Installation

Auf Ihrem Server müssen Sie nun einen Webserver, einen Datenbank-Server sowie PHP installieren. Ich gehe hier davon aus, dass Sie Apache und MySQL verwenden. Statt Apache wäre natürlich auch NGINX denkbar, statt MySQL auch MariaDB. (Beachten Sie aber, dass die mit RHEL 9 uralte MariaDB-Versionen ausgeliefert werden. Wenn Sie MariaDB einsetzen möchten, sollten Sie den Datenbank-Server aus dem Repository von MariaDB installieren, siehe https://mariadb.org/download/?t=repo-config.)

dnf install epel-release httpd mod_ssl mysql-server
dnf module install php:8.1
dnf install php-mysqlnd

Mit systemctl starten Sie den Web- und Datenbank-Server:

systemctl enable --now httpd   
systemctl enable --now mysqld

Firewall

Falls Sie auf einem Root-Server arbeiten, müssen Sie die Firewall für die Protokolle HTTP und HTTPS (also Port 80 und 443) freischalten:

firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload

Bei Cloud-Instanzen entfällt dieser Schritt normalerweise: Die meisten Cloud-Anbieter haben in ihren Instanzen die RHEL-interne Firewall deaktiviert und verwenden stattdessen Firewalls auf Cloud-Ebene, die über die Web-Oberfläche des Cloud-Systems konfiguriert werden muss.

Apache ausprobieren

Um zu testen, dass Ihre Website im Internet zugänglich ist, schreiben Sie »Hello World« in eine Datei im Webverzeichnis /var/www/html:

echo "Hello World" > /var/www/html/index.html

Nun öffnen Sie im Webbrowser auf Ihrem Notebook die Adresse www.example.com oder example.com. Statt »Hello World« wird der Webbrowser eine Sicherheitswarnung anzeigen, weil Ihr Server noch über kein richtiges Zertifikat verfügt. Das ist ein gutes Zeichen: Der Web-Server an sich funktioniert. Ihr Webbrowser erkennt, dass Ihr Server HTTPS unterstützt und will dieses verwenden.

Let’s-Encrypt-Zertifikat für HTTPS einrichten

Es gibt verschiedene Tools, um Zertifikate von Let’s Encrypt zu installieren. Meiner Ansicht nach funktioniert acme.sh am besten. Zur Installation führen Sie die folgenden Kommandos aus:

dnf install tar socat
curl https://get.acme.sh -o acme-setup
less acme-setup                             (kurze Kontrolle)
sh acme-setup email=admin@example.com

An die E-Mail-Adresse werden Warnungen verschickt, sollte in Zukunft die automatische Erneuerung von Zertifikaten nicht funktionieren. Damit Sie das frisch installierte Script verwenden können, müssen Sie sich aus- und neu einloggen. Jetzt fordern Sie das gewünschte Zertifikat an, wobei Sie natürlich example.com wieder durch Ihren tatsächlichen Hostnamen ersetzen:

acme.sh --issue -d --server letsencrypt example.com -d www.example.com -w /var/www/html

  Your cert is in
    /root/.acme.sh/example.com/example.com.cer 
  ...

acme.sh speichert das Zertifikat also vorerst in Ihrem Heimatverzeichnis. Sie könnten die Zertifikatsdateien einfach in das /etc-Verzeichnis kopieren, aber das wäre keine gute Idee: Das Zertifikat muss regelmäßig erneuert werden, und acme.sh muss wissen, wohin die neuen Zertifikate dann kopiert werden müssen. Daher weisen Sie acme.sh an, die Zertifikate in das Verzeichnis /etc/mycert zu kopieren:

mkdir /etc/mycert

acme.sh --install-cert -d example.com \
  --cert-file      /etc/mycert/example.com.cert \
  --key-file       /etc/mycert/example.com.key \
  --fullchain-file /etc/mycert/example.com.fullchain

acme.sh merkt sich den Installationsort und berücksichtigt ihn in Zukunft automatisch bei Updates der Zertifikate. Für diese Updates ist das Kommando acme.sh --cron zuständig, das automatisch einmal täglich durch /var/spool/cron/root ausgeführt wird.

Die Zertifikatsdateien sind nun im /etc-Verzeichnis, aber Apache weiß noch nichts davon. Sie müssen also in der Webserver-Konfiguration angeben, wo sich die Verzeichnisse befinden. Dazu verändern Sie zwei Zeilen in ssl.conf:

# in /etc/httpd./conf.d/ssl.conf zwei Zeilen ändern
SSLCertificateFile    /etc/mycert/example.com.fullchain
SSLCertificateKeyFile /etc/mycert/example.com.key

Jetzt starten Sie Apache neu:

systemctl restart httpd

Danach versuchen Sie nochmals, die Seite example.com im Webbrowser zu öffnen. Jetzt sollte alles klappen, d.h. »Hello World« wird verschlüsselt vom Webserver zum Webbrowser übertragen und der Webbrowser ist mit dem Zertifikat zufrieden.

MySQL absichern

Unbegreiflicherweise ist die MySQL-Installation von RHEL 9 und all seinen Klonen offen wie ein Scheunentor. Jeder Benutzer, der sich auf dem Linux-System anmelden kann, erhält mit mysql -u root ohne Passwort Root-Rechte für MySQL. Abhilfe schafft das Kommando mysql_secure_installation. Die folgenden Zeilen fassen stark gekürzt die wichtigsten Eingaben zusammen:

mysql_secure_installation 

Would you like to setup VALIDATE PASSWORD  component?      n

New password:          xxxxxx
Re-enter new password: xxxxxx

Remove anonymous users?                 y
Disallow root login remotely?           y
Remove test database and access to it?  y
Reload privilege tables now?            y

MySQL-Datenbank einrichten

WordPress braucht eine Datenbank, in der Ihre Einstellungen, den HTML-Code Ihrer Blog-Beiträge, die Kommentare anderer Benutzer usw. speichern kann. Diese Datenbank sowie ein Datenbank-Nutzer, der darauf zugreifen darf, wird jetzt eingerichtet. Ich habe für die Datenbank und den Benutzer jeweils den Namen wp verwendet, aber natürlich sind Sie bei der Namenswahl frei.

mysql -u root -p
Password: xxxxxxx   (gleiches Passwort wie bei mysql_secure_installation)

mysql> CREATE DATABASE wp;
mysql> CREATE USER wp@localhost IDENTIFIED BY 'strengGeheim';
mysql> GRANT ALL ON wp.* TO wp@localhost; 
mysql> exit

WordPress-Dateien installieren

WordPress steht nicht als Paket zur Verfügung, sondern muss manuell installiert werden. Dazu laden Sie die Dateien herunter, packen Sie aus und weisen Ihnen die richtigen Zugriffsrechte samt SELinux-Kontext zu.

cd /var/www/html
rm index.html
wget https://de.wordpress.org/latest-de_DE.tar.gz
tar xzf latest-de_DE.tar.gz
chown -R apache wordpress
chcon -R system_u:object_r:httpd_sys_content_rw_t:s0 wordpress
rm latest-de_DE.tar.gz

Mit der Installation der WordPress-Dateien in /var/www/html/wordpress soll dieses Verzeichnis der Startpunkt für die Dateien in Apache sein. Daher mussdie Variable DocumentRoot von /var/www/html auf /var/www/html/wordpress umgestellt werden. Bei der Gelegenheit können Sie auch gleich den Server-Namen einstellen:

# in /etc/httpd/conf/httpd.conf zwei Zeilen ändern
DocumentRoot "/var/www/html/wordpress"
ServerName example.com

Damit die Einstellungen wirksam werden, ist das folgende Kommando notwendig:

systemctl reload httpd

WordPress konfigurieren

Damit ist es endlich soweit. Sie können nun mit der WordPress-Konfiguration beginnen. Dazu öffnen Sie die Seite example.com/wp-admin/setup-config.php. Im ersten Schritt müssen Sie den Namen der Datenbank, den Datenbank-User sowie dessen Passwort angeben.

Konfiguration des Datenbankzugriffs für WordPress

Im nächsten Schritt legen Sie den Namen Ihrer Website sowie einen Benutzernamen und ein Passwort für die WordPress-Administration fest. Mit diesen Daten können Sie sich danach bei Ihrer neuen Seite anmelden und die mit Inhalten füllen.

Fine Tuning

Wenn alles funktioniert, sollten Sie sich noch um die folgenden Details kümmern:

  • SSH absichern (z.B. mit Fail2Ban)
  • Paket-Updates automatisieren (Paket dnf-automatic)
  • automatische Umleitung HTTP -> HTTPS sowie Optimierung der HTTPS-Optionen (siehe https://ssl-config.mozilla.org)
  • Backup-System einrichten

Kritische Lücke in WordPress-Plugin Essentials Addon for Elementor

15. Mai 2023 um 09:54

Das WordPress-Plugin Essentials Addon for Elementor bringt eine kritische Sicherheitslücke mit. Angreifer könnten so eine WordPress-Instanz kompromittieren. Das Plugin bringt es auf rund eine Million aktiver Installationen.

In einem Update des Plugins auf Version 5.7.2 ist die Lücke geschlossen. Admins sollten rasch ein Update machen. Die Entdecker der Lücke, Experten vom WordPress-Sicherheitsanbieter Patchstack schreiben von einer Rechteausweitung, die ohne vorherige Authentifizierung möglich ist. Sie ermögliche es jedem nicht authentifizierten Benutzer, seine Rechte auf die Rechte eines beliebigen Benutzers auf der WordPress-Site auszuweiten, heißt es im Bericht zum Sicherheitsproblem.

Es sei etwa möglich, das Passwort jedes Benutzers zurückzusetzen, solange sein Benutzername bekannt sei, sodass man auch das Passwort des Administrators zurücksetzen und sich bei seinem Konto anmelden könne. Diese Sicherheitslücke trete auf, weil die Funktion zum Zurücksetzen des Passworts einen Passwort-Reset-Schlüssel nicht validiere, sondern stattdessen das Passwort des angegebenen Benutzers direkt ändere.

Der Beitrag Kritische Lücke in WordPress-Plugin Essentials Addon for Elementor erschien zuerst auf Linux-Magazin.

WordPress 6 – Das umfassende Handbuch

06. Mai 2023 um 04:00

WordPress 6 – Das umfassende Handbuch“ von Richard Eisenmenger und Florian Brinkmann ist 2022 in der 2. aktualisierten und erweiterten Auflage im Rheinwerk Verlag erschienen und umfasst 955 Seiten.

Dieses Buch basiert auf der Arbeit von Richard Eisenmenger, der 2021 nach schwerer Krankheit verstarb und mit „WordPress 5 – Das umfassende Handbuch“ den Grundstein zu dieser Neuerscheinung legte. Florian Brinkmann konnte dieses Werk weitgehend überarbeiten, aktualisieren und erweitern. Die Teile dieses Buches bauen didaktisch aufeinander auf und sind somit für Neulinge und Fortgeschrittene gleichermaßen interessant.

Auch in dieser Ausgabe geht der Autor einleitend und ausführlich auf zwei entscheidende Unterschiede zum Betrieb von WordPress ein; will man die Seite selbst hosten oder hosten lassen. Ob Dot-org oder Dot-com entscheidet oft der Preis, aber auch die Frage, wie weit sich der Nutzer auf die Technik und die Vorzüge Freier Software selbst einlassen möchte.

Das Buch ist in vier Teile gegliedert.

TEIL I WordPress installieren und bedienen gibt dem Leser einen Einblick über die Möglichkeit einer lokalen Installation auf dem PC in einer Virtualisierungsumgebung zum Testen, aber auch zur finalen Installation bei einem Webhoster seiner Wahl. Als erste Anlaufstelle wird hier auf den Open-Source-Spezialisten Bitnami verwiesen, von dem man sich ein vorkonfiguriertes Anwendungspaket herunterladen kann, um WordPress auf einem PC oder Notebook auszuprobieren. Begrifflichkeiten, wie Frontend und Backend werden hinreichend besprochen. Weiterhin werden ausreichende Tipps und Hinweise zur Administration, Konfiguration und Absicherung der eigenen Webseite gegeben. Diese Erläuterungen setzt der Autor anhand des Themes Twenty Twenty-Two praxisnah um.

Mit WordPress 5.0 wurde im Jahre 2018 der neue Block-Editor Gutenberg eingeführt, auf den in diesem Teil sehr ausführlich eingegangen wird. Dies dient nicht nur dazu Kritiker dieses Editors zu überzeugen, sondern gibt einen Einblick in die vielfältigen Gestaltungsmöglichkeiten dieses Werkzeugs.

TEIL II WordPress-Website anpassen und erweitern geht auf die neuen Möglichkeiten des mit WordPress 6 eingeführten Full Site Editing ein. Hiermit wird dem Anwender eine Möglichkeit gegeben, die neuen Block-Themes noch freier und umfangreicher zu gestalten als im bekannten Customizer.

Weiterhin zeigt dieser Teil des Handbuches, wie man mit WordPress einen Blog, eine statische Webseite, eine Community-Seite oder einen Online-Shop mit WooCommerce aufbauen kann.

TEIL III WordPress optimieren und warten behandelt Themen wie Updates, Updateverhalten, Backups, Wartung, Suchmaschinenoptimierung und Umzug einer WordPress-Seite auf eine andere. Der Leser findet viele nützliche Tipps und Hinweise rund um die Sicherheit sowie den reibungslosen Betrieb der eigenen Webseite. Themen wie die Optimierung der Zugriffsgeschwindigkeit über Aktivierung eines Caches als Erweiterung, aber auch die Option, die Seite über ein Plugin bei Bedarf in einen Wartungsmodus zu versetzen, sind hinreichend beschrieben.

TEIL IV WordPress für Entwicklerinnen und Entwickler ist für diejenigen interessant, die noch tiefer in das Content Management System einsteigen möchten, um eventuell Plugins oder Themes selbst zu entwickeln bzw. die eigene Webseite noch individueller zu gestalten.

Das Buch umfasst 21 Kapitel.

  • Was Sie mit WordPress vorhaben und wo Sie jetzt weiterlesen
  • WordPress-Installation in wenigen Minuten
  • WordPress-Installation – flexibel
  • Online-Installation beim Webhoster
  • Administration und Konfiguration von WordPress
  • Inhalte veröffentlichen
  • Benutzer und Besucher
  • Design anpassen
  • Neue WordPress-Funktionen mit Plugins hinzufügen
  • Das Blog
  • Die Community
  • Einen Online-Shop mit WooCommerce betreiben
  • WordPress-Wartung und Pflege
  • Migrationen, Synchronisationen und Deployments
  • Sicherheit ausbauen
  • Performance- und Suchmaschinenoptimierung
  • Notfallmaßnahmen
  • Grundwissen für WordPress-Entwicklerinnen und Entwickler
  • Theme entwickeln
  • Plugin und Block entwickeln
  • Rechtliche Aspekte: Newsletter, Datenschutz und Cookies

Leseproben und Downloads

Fazit

„WordPress 6 – Das umfassende Handbuch“ ist, wie der Name schon verrät, ein ideales Nachschlagewerk für Einsteiger und versierte WordPress-Nutzer gleichermaßen. Florian Brinkmann geht in der fast tausendseitigen Überarbeitung dieses Werkes so ziemlich auf jedes Szenario ein und hilft dem Leser beim Auf- bzw. Ausbau der eigenen Webseite mit dem Content Management System WordPress. Zahlreiche Beispiele in Form von Code-Schnipseln helfen, dabei Fehler beim Abtippen zu vermeiden.

Dieses ausführliche Handbuch ist aus den zuvor genannten Gründen eine klare Empfehlung.

Zugang über YubiKey zu WordPress verweigert

20. April 2023 um 19:07

Wer wie ich seine WordPress-Seite über das beliebte Plugin Two-Factor absichert, wird bestimmt bemerkt haben, dass man mit den neuen Versionen 112 von Firefox und Google Chrome über seinen U2F-Token keinen Zugang mehr zum Backend bekommt. Wohl dem, der bei der Einrichtung zusätzlich auf TOTP gesetzt hat und sich vom System Backup-Codes erstellen ließ. Über diese Hintertüren erhält man trotz Verweigerung des Hardware-Keys Zugang zur eigenen Webseite.

Was ist passiert?

Ich vermute, dass die neuen Browserversionen die Nutzung von FIDO verweigern und nur noch den neueren Standard FIDO2 bzw. Webauthn zulassen, was zur Folge hat, dass einige Dienste im herkömmlichen Sinne den aktivierten Zugang über USB-Token, wie u.a. YubiKey verweigern. Ein weiteres Indiz hierfür wäre, die kaputte Webauthn-Anmeldung in Nextcloud 26, welche heute mit Version 26.0.1 gefixt wurde.

Wie kann WordPress nun wieder via YubiKey abgesichert werden?

Eine einfache Lösung wäre vorerst das Plugin WebAuthn Provider for Two Factor zu installieren, welches auf dem Plugin Two-Factor aufsetzt, bis der Entwickler dieses an die neuen Gegebenheiten angepasst hat. Hierbei wird die weitere Auswahlmöglichkeit Webauthn in der Einstellung des Profils hinzugefügt. Der zuvor aktivierte FIDO-Token wird automatisch übernommen und unter FIDO2 genutzt. Somit ist die Webseite wieder über den zweiten Faktor abgesichert.

Eine passwortlose Anmeldung wie in der Nextcloud ist aber leider nicht möglich.

Webauthn in WordPress

Viel Spaß!

WordPress-Plugin Elementor Pro wird aktiv angegriffen

03. April 2023 um 09:16

Mit der Version 3.11.7 des WordPress-Plugins Elementor Pro beheben die Entwickler eine kritische Sicherheitslücke, die es Angreifern unter Umständen erlaubt, WordPress sich als Administrator auszuführen.

Mit der Kombination Elementor Pro und dem auf der Website laufenden WooCommerce-Plugin sei es jedem authentifizierten Benutzer, etwa in der Rolle als “Abonnent” oder “Kunde” – möglich, beliebige WordPress-Einstellungen auf der Website zu aktualisieren, teilen die Entdecker der Lücke vom Sicherheitsanbieter Patchstack mit. Verantwortlich für die Lücke sei eine AJAX-Aktion von Elementor Pro, die nicht über eine angemessene Berechtigungskontrolle verfüge. Die Elementor-Pro-Versionen 3.11.6 und darunter seien von dieser Sicherheitslücke betroffen.

Die mangelhafte Kontrolle ermögliche es einem böswilligen Angreifer, die Registrierungsseite zu aktivieren – falls sie deaktiviert sei – und die Standardbenutzerrolle auf Administrator zu setzen, so dass er ein Konto erstellen könne, das über Administratorrechte verfüge. Danach sei es wahrscheinlich, dass er die Website entweder auf eine bösartige Domain umleite oder ein sonstige schädliche Aktionen ausführe, etwa ein bösartiges Plugin oder eine Backdoor zu installieren, um die Website weiter ausnutzen zu können.

Mit dem kürzlich veröffentlichten Elementor Pro 3.11.7 werde das Problem behoben. Da die Lücke bereits aktiv ausgenutzt werde, sei ein rasches Update nötig, teilt Patchstack in seinem Beitrag zur Lücke mit.

Der Beitrag WordPress-Plugin Elementor Pro wird aktiv angegriffen erschien zuerst auf Linux-Magazin.

WordPress 6.2 bietet rund 300 Verbesserungen

03. April 2023 um 07:29

Wie bei jeder neuen Version bringt auch die jüngste Fassung 6.2 des Content-Management-Systems WordPress zahlreiche kleinere Änderungen an den Blöcken mit. Weitere Neuerungen betreffen den Site-Editor.

In ihm erlaubt jetzt die linke Seitenleiste den Wechsel zwischen Templates und Template-Teilen, ohne dafür die Vorschau schließen zu müssen. Des Weiteren bietet der Site-Editor ein Stilbuch an. Dieses wiederum zeigt an, wie alle Blöcke im derzeit aktiven Theme aussehen. Den Stil eines Blocks kann man zudem mit wenigen Mausklicks auf einen anderen Block übertragen.

Die Menüs im Navigations-Block lassen sich über eine Baumstruktur in der Block-Seitenleiste einfacher bearbeiten. Für Header- und Footer hat WordPress 6.2 neue Block-Vorlagen im Gepäck.

Beim Block-Inserter zeigt das Register für die Block-Vorlagen eine Liste mit Kategorien sowie nach einem Mausklick darauf die zugehörigen Vorlagen. Des Weiteren lässt sich aus dem Medien-Tab die Mediathek aufrufen. Obendrauf gibt es noch eine Integration von Openverse, einer Bilder- und Audio-Sammlung. Alle über diese Plattform angebotenen Medien lassen sich zwar kostenlos nutzen, dennoch müssen Seitenbetreiber die Lizenzen beachten.

Der Block-Editor lässt sich in einen ablenkungsfreien Modus schalten, in dem er sämtliche Bedienelemente ausblendet. Auf diese Weise können sich Autoren auf den eigentlichen Text konzentrieren. Fügt man Gruppen-Blöcke auf der obersten Ebene ein, lassen sie sich als „sticky“ kennzeichnen. WordPress klebt sie dann an den oberen (Viewport-)Rand, wenn die Besucher auf der Seite scrollen.

Die Standard-Themes bringen die genutzten Google-Fonts jetzt direkt mit und setzen nicht nur Links auf die Google-Server. Damit erhöhen die WordPress-Entwickler den Datenschutz.

Die Version 6.2 ist dem Jazz-Musiker Eric Allan Dolphy Jr. gewidmet.

Der Beitrag WordPress 6.2 bietet rund 300 Verbesserungen erschien zuerst auf Linux-Magazin.

Besuch bei den Chemnitzer Linux-Tagen 2023

11. März 2023 um 20:25

Am 11. und 12 März 2023 finden nach dreijähriger Zwangspause endlich wieder die Chemnitzer Linux-Tage an der TU Chemnitz statt. Unter dem Motto „Bewusst sein“ treffen sich zahlreiche Aussteller, Vortragende und Besucher zum Thema Linux und freie Software auf dem Uni-Campus.

TU Chemnitz
Chemnitzer Linux-Tage
Halbleiter von Chemnitz

Ich freute mich riesig dieses Event nach 2019 wieder besuchen zu können, um interessante Leute zu treffen und Gedanken auszutauschen. Am ersten Tag verabredete ich mich mit meinem Mitstreiter Andi alias Waldstepper aus Berlin, um gemeinsam einige Vorträge zu besuchen.

Das Highlight war einmal mehr der lebendige Beitrag „Nachhaltiges Computing mit KNOPPIX“ von Prof. Dipl.-Ing. Klaus Knopper. Überlegungen zu CO2-Fußabdrücken des von Knopper entwickelten Betriebssystems sowie Einblicke in das Innenleben dieser Live-Distribution stießen auf reges Interesse.

Vortrag Nachhaltiges Computing mit KNOPPIX

Natürlich konnte ich noch weiteren interessanten Vorträgen lauschen, wie VPN via WireGuard, Programmierung mit Scratch und Ausführungen zur komplexen Thematik Linux-Desktop, wo darüber philosophiert wurde, warum sich das OS bis heute noch nicht im Desktopbereich durchsetzen konnte und was nötig wäre, um ein solches Projekt zu realisieren. Hier gab es natürlich interessante und praxisnahe Ansätze, die zum Nachdenken anregten.

Einige gute Gespräche konnte ich auch an den Ständen von den Ubuntuusers, der FSFE, TUXEDO, Linuxnews, LibreOffice und den CMS Gardeners führen.

Besuch bei den Ubuntuusers
FSFE-Stand

Alles in allem war es heute ein interessanter und informativer Tag an der TU, der morgen seine Fortsetzung findet.

Elektronischer Zugriff auf Informationen im Internet

21. Februar 2023 um 04:45

Internet- bzw. Webseiten-Besitzer brauchen einen sicheren Zugang auf all Ihre Informationen im Internet. Dies wird unter den Herausforderungen der aktuellen Zeit aus IT-Sicht immer bedeutender. Man denke nur an unbefugte Zugriffe auf Ihre Webseite oder einen Hackerangriff, bei dem heikle Daten gestohlen werden könnten. Aus diesen Gründen ist es wichtig, auf das richtige Webhosting vertrauen zu können. Auf dem Computersystem können all diese Informationen sicher verwahrt werden, wenn bestimmte Kriterien eingehalten werden. Der Kern des Hosting-Programms ist das Computersystem auf dem die Webseiten gehostet werden. Als Internetbenutzer müssen Sie Ihre Webseite unter Ihrem Browser suchen bzw. verwenden. Das ermöglicht Ihnen den Zugriff auf die eigene Webseite. Wenn eine sichere Verbindung gefunden worden ist, wird der Computer diese manifestieren. Steht diese Verbindung erst einmal, dann lässt sich über diese Verbindung ein Datenfenster zum Webserver herstellen. Bei der Auswahl einer sicheren Verbindung ist man stark von der Wahl des Hosting-Anbieters bzw. des Servicepakets abhängig. Man unterscheidet zwischen verschiedenen Hosting-Modellen auf die wir im folgenden Unterkapitel kurz näher eingehen möchten.

Welche Arten von Hosting-Services werden heute angeboten

Sie werden es kaum glauben, aber es wird auch heute noch kostenloses Hosting dem Kunden angeboten. Von diesem Paket dürfen Sie sich allerdings nicht allzu viel erwarten. Es gilt aber als Basisversion, die durchaus als Einstiegspaket gedacht ist. Ein kostenloser Webhosting Dienst bietet diesen Service unter Einschränkungen für eine eingeschränkte Anzahl an Webseiten an. Ein bedeutender Service ist das sogenannte virtuelle Webhosting. Bei diesem Service können verschiedene Webseiten auf einem einzigen Webserver gehostet werden. Eine Voraussetzung ist die Verbindung zum Internet.

Wenn viel Traffic gemanagt werden muss

Damit lässt sich bereits der Start einer Influencer Karriere aufbauen. Der Vorteil liegt vor allem bei einem sehr günstigen Preis. Für einen erschwinglichen Preis erhalten Sie inzwischen gute Leistungspakete. Ebenso bieten viele Anbieter einen technischen Kundendienst an. Interessant dürfte vielleicht auch ein sogenanntes dediziertes Hosting sein. Dieser Service wurde speziell für Webseiten mit einem hohen Traffic-Volumen hergestellt. Hier wird ein kompletter Webserver angemietet und die sichere Internetverbindung läuft über ein Hosting-Unternehmen. Vor allem Unternehmen mit einem starken Wachstum werden auf diesen Service zurückgreifen. Große Webseiten mit einem hohen Datenaufkommen sind bei diesem Service bestens aufgehoben.

Sicherheitslücken in WordPress-Plugin Learnpress

26. Januar 2023 um 11:07

Das WordPress-Plugin Learnpress in Versionen 4.1.7.3.2 und kleiner weist kritische Sicherheitslücken auf. Mit über 100.000 aktiven Installationen ist das umfangreiche Lernmanagement-Plugin sehr populär.

Mit Learnpress lassen sich einfach Kurse online erstellen und verkaufen. Anbieter Patchstack meldet mehrere kritische Sicherheitslücken im Plugin. Ein Update auf beseitigt die Probleme

Diese Schwachstellen ermöglichen es jedem nicht authentifizierten Benutzer, eine SQL-Abfrage in die Datenbank einzuschleusen und eine lokale Dateieinbindung durchzuführen. Zudem sei eine weitere SQL-Injection gefunden worden, für deren Ausnutzung ein Benutzer aber mit mindestens der Rolle “Contributor” erforderlich wäre.

Die beschriebenen Sicherheitslücken seien in Version 4.2.0 behoben, teilt Patchstack mit. Die neue Version ist bereits seit einigen Wochen zu haben, es seien aber noch viele Installationen nicht auf dem aktuellen Stand.

Der Beitrag Sicherheitslücken in WordPress-Plugin Learnpress erschien zuerst auf Linux-Magazin.

Das Blog auf PHP8 umziehen

26. Dezember 2022 um 18:54
blue elephant plush toy on black laptop computer

Nach einem kurzen Umzug letzte Woche in Richtung PHP 8.0 bzw. PHP 8.1 verweigerte WordPress leider den Dienst. Scheinbar habe ich es mir leichter vorgestellt als es in Wirklichkeit sein sollte. Hier kann nur mein veraltetes Theme und vielleicht ein Plugin die Ursache sein. Um einen Überblick über die letzten Updates der Plugins in WordPress ... Weiterlesen

Der Beitrag Das Blog auf PHP8 umziehen erschien zuerst auf Got tty.

Lokale Google Fonts in WordPress

06. Dezember 2022 um 17:30

In letzter Zeit rollt wieder eine Abmahnwelle übers Land, die den ein oder anderen Betreiber eigener kleiner WordPress-Seiten kalt erwischen dürfte. Dieses Mal ist der Stein des Anstoßes die mögliche Einbinung von Google Fonts. Nicht, dass die Verwendung dieser Schriftarten nicht erlaubt wäre. Nein, es geht darum, dass diese Schriftarten von Google beim Aufruf der Seite i.d.R. erst heruntergeladen werden und es hierbei zu einem Austausch von IP-Adressen kommt, was kritisch bewertet wird.

Ob die eigene Webseite nun tatsächlich Google Fonts verwendet, welche temporär herunter geladen werden, kann man hier checken: https://www.e-recht24.de/google-fonts-scanner

Lösung

Abhilfe schafft hier das Plugin Local Google Fonts. Dieses aktiviert man und setzt das Häkchen „Schriften automatisch laden“ (siehe Grafik). Danach besucht man die eigene Seite und klickt sich durch die Inhalte. Die entdeckten Google-Schriftarten werden nun lokal auf die Webseite geladen. Der Besucher bekommt diese dann nun direkt von der Webseite ausgeliefert und tauscht somit keine IP-Adressen mit Dritten (Google) aus.

Einstellungen – Local Google Fonts

Redaktionstipp auf Newspaper

18. November 2022 um 19:00

Der Umzug meiner Website zum Hoster all-inkl.com gestaltete sich etwas holprig. Nun sind aber zum Glück alle Artikel wieder verfügbar. Auf ein Problem stieß ich im Nachhinein dennoch. Und zwar gibt es im Footer den Bereich „Redaktionstipp„. Dieser füllte sich, als die Seite noch auf meinem Server lief, automatisch. Nach dem Umzug blieb diese Kategorie jedoch leer.

Redaktionstipp

Das von mir verwendete Theme Newspaper von tagDiv bietet zwar zahlreiche Möglichkeiten der Darstellung meiner WordPress-Seite, jedoch erschloss sich mir nicht, wie ich Artikel in die zuvor erwähnte Rubrik schieben bzw. darstellen konnte. Nach ein wenig Recherche im Support-Forum fand ich dann den ausschlaggebenden Hinweis zu den fehlenden Redaktionstipps. Die Lösung ist hierbei relativ einfach. Ich musste nur die Kategorie „Featured“ anlegen. Hierüber kann ich nun Beiträge wie gewünscht kennzeichnen und darstellen lassen.

Kategorie „Featured“

WordPress 6.1 verbessert intuitive Seitengestaltung

03. November 2022 um 08:16

Das Content-Management-System WordPress 6.1 bietet unter anderem ein neues Theme, hilfreiche Änderungen bei den Templates, verbesserte Barrierefreiheit, überarbeitete Blöcke sowie Fluid Typography.

Die Designvorlage Twenty Twenty-Three bietet zehn verschiedene Style-Variationen, über die Seitenbetreiber mit wenigen Mausklicks schnell eine leicht andere Optik aktivieren können. Das Theme gilt zudem als „ Accessibility Ready“ und folgt damit vorgegebenen Anforderungen an die Barrierefreiheit. Letztgenannte verbessern zudem rund 60 einzelne Updates, die ein eigener Blog-Beitrag zusammenfasst.

Des Weiteren bringt WordPress 6.1 zusätzliche sowie überarbeitete Templates mit. Im Site Editor wartet ein Template für Beiträge und Seiten. Mit einem neuen Suchen-und-Ersetzen-Werkzeug lassen sich schnell Template-Teile, wie etwa Kopf- und Fußzeilen, ändern.

Dank entsprechender Optimierungen lassen sich Design-Elemente, Blöcke und Menüs leichter verwalten. Überarbeitet haben die Entwickler auch die Einstellungen der Beiträge und Seiten. Unter anderem kann man jetzt einfacher den Veröffentlichungszeitpunkt einstellen.

Wie fast in jeder neuen Version offeriert auch WordPress 6.1 zahlreiche kleine Verbesserungen bei den Blöcken, die auf den Seiten die einzelnen Inhalte präsentieren. Sperrt man die Einstellungen eines Blocks für die Bearbeitung, sperrt WordPress auf Wunsch auch alle enthaltenen Blöcke – wie etwa die Blöcke in einer Gruppe oder Spalte. Einige Blöcke bringen verbesserte Platzhalter mit, die einige Design-Vorgaben berücksichtigen. So zeigt beispielsweise der Platzhalter des Image-Blocks den vom Seitenbetreiber eingestellten Rahmen an. Die Blöcke für Listen und Zitate können jetzt andere Blöcke aufnehmen, wodurch beispielsweise ein Zitat auch eine Überschrift enthalten darf.

WordPress 6.1 unterstützt die Technik Fluid Typography, bei der Schriften abhängig von der aktuellen Bildschirm- beziehungsweise Fenstergröße skalieren. Ein neuer Filter erlaubt das schnelle aufspüren von Block-Themes im Themes Directory. Abschließend soll das Content-Management-System flotter als sein Vorgänger arbeiten. WordPress 6.1 ist dem Jazz-Pianisten Mikhail „Misha“ Alperin gewidmet.

Der Beitrag WordPress 6.1 verbessert intuitive Seitengestaltung erschien zuerst auf Linux-Magazin.

Auszeichnung: Beste Webseiten 2022

11. August 2022 um 16:12

Kaufberater.io bewertet intux.de als eine der besten Webseiten 2022.

Auswahlverfahren

Dem Team von Kaufberater.io geht es um großartige Inhalte. Deshalb haben wir eine mehrstufige Untersuchung von Websites in verschiedenen Kategorien durchgeführt. Das Ergebnis: Die besten Websites werden mit unserem Qualitätssiegel „Top Webseite 2022“ ausgezeichnet.

Sie haben 35/40 in unsererem großen Webseiten-Vergleich gesammelt und qualifizieren sich damit für unsere Auszeichnung „Beste Webseite 2022“ (mind. 30 / 40 Punkte erforderlich).

Schritt 1: Identifizierung der Kandidaten

Zunächst wurde eine Liste mit allen Websites erstellt. Die Daten stammen aus verschiedenen Datenquellen wie Online-Verzeichnissen und CMS-Systemen (WordPress, Blogspot usw.). Zeitungen, Fachzeitschriften, Portale und ausländische Websites wurden aus der Liste der Kandidaten aussortiert.

Schritt 2: Relevanz

Von den übrigen Websites wurden alle Websites entfernt, die weniger als 5 Beiträge pro Jahr veröffentlichten. Darüber hinaus wurden Websites mit sehr geringem monatlichem Datenverkehr aussortiert.

Schritt 3: Detaillierte Recherche

Die übrigen Websites wurden von Kaufberater.io-Experten anhand objektiver und subjektiver Kriterien geprüft. Der Forschungskatalog enthielt Merkmale in 4 Kategorien. Anhand eines Punktesystems wurden dann die Gewinner der Umfrage ermittelt.

Die Bewertungskriterien

Die Auszeichnung basiert auf einer Bewertung in vier Bereichen:

  • UX / Benutzerfreundlichkeit
  • Vertrauen und Sicherheit
  • Informationsgehalt & Forschung
  • Dienstleistungen & Kommunikation

UX / Benutzerfreundlichkeit

  • Wie hochwertig ist das Layout und die Seitenstruktur?
  • Wie funktionell ist die Programmierung der Website?
  • Wie praktisch ist die Suchfunktion? Gibt es einen automatischen Abschluss?

Vertrauen und Sicherheit

  • Werden personenbezogene Daten nur erhoben, verarbeitet, genutzt und an Dritte weitergegeben, soweit dies gesetzlich zulässig ist oder der Nutzer seine Einwilligung gegeben hat?
  • Werden Informationen über die Verwendung personenbezogener Daten in verständlicher und leicht zugänglicher Form bereitgestellt?
  • Gibt es Informationen zur Datensicherheit (z.B. SSL)
  • Wie vertrauenswürdig ist die Website?
  • Ist ein Ausdruck und eine Datenschutzerklärung vorhanden und wenn ja, sind diese auf der Homepage verlinkt?

Informationsgehalt & Recherche

  • Wie gründlich werden die Stellen recherchiert?
  • Werden die Artikel durch visuelle Elemente (Bilder, Grafiken, Videos) unterstützt?
  • Wird der Inhalt professionell wiedergegeben?
  • Wer betreibt die Website?
  • Wie lange ist die Website bereits in Betrieb?
  • Wie beliebt ist die Website?

Dienstleistungen & Kommunikation

  • Kommuniziert die Website mit ihren Lesern (z. B. in Kommentaren)?
  • Bietet die Website weitere Dienstleistungen an (z. B. E-Books / Online-Kurse)?
  • Verfügt die Website über Social-Media-Kanäle?
  • Wie viele Follower hat die Website auf den verschiedenen Plattformen?

Sicherheitslücke in WordPress-Plugin Ninja Forms

17. Juni 2022 um 07:57

Der Sicherheitsdienstleister Wordfence hat im WordPress-Plugin Ninja Forms eine kritische Sicherheitslücke entdeckt. Das beliebte Plugin werde auf über einer Million Installationen von WordPress eingesetzt.

Im Plugin haben die Security-Experten eine Code-Injection-Schwachstelle entdeckt, die es nicht authentifizierten Angreifern ermöglicht, eine begrenzte Anzahl von Methoden in verschiedenen Ninja Forms-Klassen aufzurufen, einschließlich einer Methode, die vom Benutzer bereitgestellte Inhalte unserialisiert, was zu einer Object Injection führen könne. Über diese Lücke könnten Angreifern beliebigen Code auszuführen oder beliebige Dateien auf Seiten löschen.

Dieser Fehler sei in den Ninja-Forms-Versionen 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 und 3.6.11 vollständig behoben, teilt Wordfence mit. WordPress scheine zudem ein automatisches Zwangsupdate für dieses Plugin durchgeführt zu haben, sodass möglicherweise bereits eine der gepatchten Versionen verwendet werde. Admins sollten aber dringend sicherstellen, dass eine der gepatchten Versionen zum Einsatz komme, da automatische Updates nicht immer erfolgreich seien.

Der Beitrag Sicherheitslücke in WordPress-Plugin Ninja Forms erschien zuerst auf Linux-Magazin.

WordPress 6.0 “Arturo” bringt viel Neues

30. Mai 2022 um 08:12

Die neue Version 6.0 des freien Content Management Systems WordPress ist dem Jazzmusiker Arturo O’Farrill gewidmet. WordPress 6.0 “Arturo” hat laut der Ankündigung der Entwickler rund 1000 Verbesserungen und Fehlerkorrekturen dabei.

Zu den Verbesserungen beim Schreiben und der Inhaltserstellung zählen die WordPress-Macher die Möglichkeit, Text in mehreren Blöcken zu markieren, um das Kopieren und Einfügen zu erleichtern. Block-Themes können nun mehrere Stilvarianten enthalten. Damit baue man das neue Style-System weiter aus, heißt es in der Ankündigung. Es sei damit möglich, das Erscheinungsbild einer Website innerhalb eines einzigen Themes zu ändern. Zudem enthalte WordPress 6.0 fünf neue Templates für Block-Themes: Autor, Datum, Kategorien, Tag und Taxonomie.

Integrierte Vorlagen erleichtern die Arbeit. Quelle: WordPress

Das CMS bietet auch Neuerungen bei den integrierten Vorlagen. Die werden jetzt an mehr Stellen angezeigt, etwa im “Quick-Inserter” oder beim Erstellen einer neuen Kopf- oder Fußzeile.

Bei den Designwerkzeugen soll das neue Design des Farbpanels Platz sparen und dennoch Optionen auf einen Blick anzeigen. Neue Steuerelementen für die Umrandung ermöglichen es, Umrandungen einfach zu gestalten.

Die Ankündigung nennt viele weitere Details.

Der Beitrag WordPress 6.0 “Arturo” bringt viel Neues erschien zuerst auf Linux-Magazin.

[Fixed] Defektes Plugin: Subscribe to Comments Reloaded

12. Mai 2022 um 09:35

Update 13.05.2022: Das Plug-in ist in Version 220513 repariert und wurde wieder deaktiviert. Danke an BobaWebDev für den schnellen Fix.

Liebe Leser*innen, leider ist das Plugin Subscribe to Comments Reloaded in der installierten Version 220512 offenbar defekt. Daher habe ich das Plugin vorerst deaktiviert.

Der Fehler wurde bereits in GitHub-Issue 707 gemeldet. Ich hoffe, dass der Fehler bald durch den Anbieter behoben wird.

Die Kommentarfunktion kann weiterhin wie gewohnt genutzt werden. Nur könnt ihr euch aktuell nicht über neue Kommentare benachrichtigen lassen.

Turnkey v17.0 mit experimenteller Unterstützung für Raspberry Pi 4

Von: jdo
13. April 2022 um 08:10

Ab sofort gibt es Turnkey v17.0 und laut eigenen Angaben hat die Entwicklung länger als geplant gedauert. Zumindest sind nun Core und TKLDev fertig und das Team hofft, dass bald mehr v17.0 Appliances verfügbar sind. Eine signifikante Änderung ist, dass Turnkey v17.0 auf Debian 11 Bullseye basiert. Turnkey v17.0 für Raspberry Pi Sehr interessant ist ebenfalls, dass es ein vorläufiges oder experimentelles Image für den Raspberry Pi 4 gibt. Im entsprechenden Thread wird gewarnt, dass der Port alles andere als […]

Der Beitrag Turnkey v17.0 mit experimenteller Unterstützung für Raspberry Pi 4 ist von bitblokes.de.

WordPress durch PHP-Everywhere-Plugin verwundbar

10. Februar 2022 um 10:43

Das Content Management System WordPress ist über Sicherheitslücken im Plugin PHP Everywhere angreifbar. Die Lücke im Plugin können Angreifer zur Übernahme von WordPress nutzen, teilen die Entdecker mit. Es gibt einen Patch für PHP Everywhere.

Entdeckt hat die Lücken im Plugin das Wordfence Threat Intelligence-Team. PHP Everywhere sei auf über 30.000 Websites installiert, berichten die Sicherheitsexperten. Eine dieser Schwachstellen ermöglichte es durch Einschleusen von Code, jedem authentifizierten Benutzer, egal mit welchen Berechtigungen, Code auf einer Website auszuführen, auf der das Plugin installiert ist, so die Experten von Wordfence. Nachdem sie den Autor des Plugins kontaktiert hätten, habe dieser innerhalb weniger Stunden reagiert. Inzwischen sei eine weitgehend überarbeitete Version des Plugins vorhanden.

Admins, die das Plugin nutzen sollten unbedingt die aktuelleste Version einspielen. Das sei derzeit 3.0.0. Dabei sei aber zu beachten, dass Version 3.0.0 nur PHP-Snippets über den Block-Editor unterstütze. Wer den klassischen Editor verwende, müssen das Plugin deinstallieren und eine andere Lösung finden. In der Ankündigung der Lücken sind weitere Details und die Links zu den einzelnen Sicherheitsproblemen zu finden.

Der Beitrag WordPress durch PHP-Everywhere-Plugin verwundbar erschien zuerst auf Linux-Magazin.

❌
❌