5-Finger-Blog

Seit WordPress 2.5 gibts ja in der wp-config.php die Konstante “SECRET_KEY”.

[Update] Meine Vermutung war falsch. Warum? Hier stehts! [/Update]

ACHTUNG!!!

Eben nicht nur in der wp-config.php sondern auch in der wp-settings.php in Zeile 283 sofern sie unbearbeitet ist.

/**
 * Should be exactly the same as the default value of SECRET_KEY in wp-config-sample.php
 * @since 2.5
 */
$wp_default_secret_key = 'put your unique phrase here';

Nur steht das nirgends. Jedenfalls konnte ich bisher nix dazu finden. Ausser diesen Beitrag.

Daher mein Aufruf an alle, die WordPress 2.5 im Einsatz haben, den SECRET_KEY noch in die wp-settings.php einzutragen. Aber Achtung. Danach muss man sich neu einloggen.

Was genau die Konstante bedeutet, steht bei Ryan Boren. Für die, die des Englischen nicht mächtig sind, hab ich den Link mit Google-Translate verknüpft.

Für WordPress habe ich jetzt ein Plugin entdeckt, welches die Einstellungen, Dateiberechtigungen und so weiter überprüft. Das habe ich direkt mal runtergeladen und bei mir sah es auf Anhieb so aus.

Allerdings stimmt da eine Position nicht. Nämlich das mit der WordPress Version. Die wird bei mir ja angezeigt und soll auch angezeigt werden. So schwer ist das auch wieder nicht, raus zu bekommen, welche version installiert ist. Dazu reicht eine Überprüfung, ob beispielsweise bestimmte Dateien vorhanden sind, die nur ab bestimmten Versionen vorkommen…

Und den Admin-User werde ich auch weiterhin benutzen. Mein Passwort sollte sicher genug sein. Was aber cool wäre, wenn es wie bei vBulletin ein Admin-Log gäbe, so das man sehen kann, wann man zuletzt eingeloggt war etc. Bzw bei Mehrbenutzersystem könnte man so auch eventuell überwachen, wer was zuletzt gemacht hat.

WP Security Scan
http://wordpress.org/extend/plugins/wp-security-scan/

IN jedem Fall aber sollte vor dem aktivieren des Plugins ein Backup gemacht werden, wie es auch in der readme.txt unter Punkt 1 steht. Ich habs gebraucht.

Gerade schaue ich zufällig in die wp-register.php rein und lese folgendes:

<?php
# This file is deprecated, but you shouldn't have been linking to it directly anyway 
# Use wp_register() to create a registration link instead, it's much better 
require('./wp-config.php');
wp_redirect('wp-login.php?action=register');
?>

Alles klar.

Dieser Blog-Eintrag ist das Auffangbecken für Kommentare zu meinen WordPress-Details.

WordPress-Details
http://h75.de/blog/page-wordpress

So, nachdem ich einige Tage mit WordPress 2.5 experimentiert habe, habe ich in der letzten dreiviertel Stunde das Update durchgeführt. Und soweit ich das sehen kann, funktioniert immer noch alles wie gewohnt.

Allerdings ist das neue Design im Adminbereich schon gewöhnungsbedürftig. Wenn man aber mal alle Seiten durchgeklickt hat, und sich alles in Ruhe angeschaut hat, findet man sich aber wieder sehr schnell zurecht. Von den Farben her gefällt mir das aufjedenfall besser als das alte..

Ich habe auch gleich die Gelegenheit genutzt und die Template Dateien überarbeitet. Im Theme Pop blue, auf dem der Theme hier im Blog beruhte, war ganz schön verhunzt, wenn ich das mal anmerken darf. Ich habe mich jetzt am Kuribik orientiert und alles aktualisiert. Ich werde die Templates auch auf meiner WordPress Seiteä einbinden, die ich seit ein paar Tagen am erstellen bin. Zum teil ist sie schon fertig. Aber da ich jetzt auf 2.5 aktualisiert habe, kann ich gleich wieder einiges ändern.

Gise meinte gerade zu mir, sie könne sich nicht an die Daten für den WordPress-Account erinnern. Ich schrieb ihr, sie solle, wenn sie den Benutzernamen noch weiss, einfach das Passwort neusetzen lassen. Allerdings ist es dabei wichtig, das die bei der Registrierung benutze E-masil Adresse noch benutzbar ist. Sonst klappt das nämlich nicht…

Ich habe das dann auch direkt mal ausprobiert

Klick auf den Link: Lost your password?
Ich gebe meinen Benutzernamen ein: hollii
Blick ins E-mail Programm in den Ordner: Software – E-mail ist da!
Klick auf den Link in der E-mail
Aha, wieder ne E-mail, als kucke ich wieder in den Ordner im E-mail Programm. Doch ich sehe nichts. Ich öffne den Spamihilator und schaue in den Trainingsbereich. Dort sehe ich folgendes (Bitte draufklicken, um die gesamte Breite zu sehen):

Die eine E-mail ist also dank dem lernenden Filter durchgegangen, die andere hat der DCC-Filter gestoppt. Schon seltsam. Oder liegt es einfach nur an der Schnelligkeit? Das bereits 2 E-mails innerhalb von 2 Minuten ausreichen, so das jede weitere als Spam markiert wird?

Ps: Das ist kein Aprilscherz!

Eine neue Version von WordPress ist heute erschienen. Ich habe bereits angefangen, das Update vorzubereiten. Im Laufe des Abends werde ich das dann hier installieren. Ich denke das wird ohne Probleme verlaufen.

Die deutsche Version lässt allerdings noch auf sich warten. Da ich aber bisher eh immer die englische genommen habe, werde ich das auch diesmal wieder so machen.

Ich dachte mir, es ist mal an der Zeit, meine Passwort-Datenbank, die zwar mittlerweile etwas abgenommen hatte (nur noch rund 280 Passwörter), auf den Kopf zu stellen. Sprich sich durch die Kategorien klicken und jeden einzelnen Eintrag zu (über)prüfen und gleichzeitig auch alle Passwörter zu ändern. Ist doch erstaunlich, wo man überall angemeldet ist, aber man den Zugang gar nicht oder nur sehr selten nutzt.

Daher habe ich mich entschlossen, alles zu löschen, was mir überflüssig erscheint. Bisher konnte ich weitere 25 Datensätze/Passwörter löschen.

Ausserdem ist mir aufgefallen, das ich bei einigen Accounts ziemlich unsichere Passwörter benutzt habe. Beispielweise wenn man nur mal schnell was testen möchte. Diese habe ich aber jetzt alle in mindestens 21-stellige Passwörter geändert.

Wer kennt nicht die Formular History im Firefox. Man nehme zum Beispiel das Eingabefeld einer Suchmaschine. Wenn man den Cursor reinsetzt und dann die Pfeiltaste nach unten drückt, erscheint eine Liste der Dinge, die man zuvor dort eingegeben hat. Sofern man in den Einstellungen unter Datenschutz – Chronik die Option “Daten speichern, die in Formulare und die Suchleiste eingegeben werden” aktiviert hat.

Nun kommt es ja durchaus mal vor, das man sich mal vertippt. Greift man häufig auf diese Eingaben zurück, nervt das natürlich, wenn man immer wieder an den fehlerhaften Datensätzen vorbei muss. Das muss aber gar nicht sein.

Wenn das Feld wie auf diesem Screenshot zu sehen ist, aufgeklappt ist, bewegt man die Pfeiltaste nach unten und markiert so den Eintrag den man nicht mehr haben möchte. Dann drückt man kurz die Umschalttaste + Entf (Shift + Del) und zack – weg isser, der fehlerhafte Eintrag.

Das hab ich grad zufällig rausgefunden. Denn meine formhistory.dat im Profilordner von Firefox ist stolze 1,7 MB gross. Nachdem ich alle fehlerhaften Einträge gelöscht hatte, waren es nur 1,2 MB…

Ps: Keine Panik bitte! Denn nachdem man das erste mal auf Umschalt + Entf gedrückt hat, um einen Eintrag zu löschen, wird die formhistory.dat kurz drauf mit 0 Byte angezeigt. Sobald man aber den Firefox beendet, wird der Inhalt neu geschrieben. Zur Sicherheit empfehle ich aber den Profilordner einfach mall zu sichern vorher.

Ps2: Das geht natürlich mit allen Eingabefeldern. Auch mit der Adressleiste…

Ich hatte mein WP-Admin Ordner die ganze Zeit mit einem Verzeichnisschutz versehen (.htaccess/.htpasswd). Nun ist mir zu Ohren gekommen, das wenn man innerhalb einer Minute 2 Kommentare schreibt, oder aber 2x das selbe in verschiedenen Beiträgen schreiben möchte, erscheint die WordPress hauseigene Fehlerseite.

Diese Meldung ist aber nicht das einzige was geladen wird. Bei mir sah das eben gerade so aus, als ich per E-mail darüber informiert wurde. Nämlich die Benutzername und Passwort-Abfrage für den WP-Admin-Bereich. Und zwar direkt nachdem auf Abschicken klickt.

Das liegt daran, das dortige WP-Admin StyleSheet-Datei mit dem Meldungsfenster verlinkt ist..

<link 
rel="stylesheet" href="http://h75.de/blog/wp-admin/css/install.css" 
type="text/css" />

Das ist nicht so gut. Denn wenn man auf abbrechen klickt, sieht die Fehlermeldung so aus.

Ausserdem gefällt mir das nicht, das die Fehlermeldung im WordPress Lock angezeigt wird. Warum wird dafür nicht das Theme genommen????

[Update] Ich habe jetzt die functions.php bearbeitet. nun werden die Fehlermeldungen zumindest schon mal im richtigen Design angezeigt. Das kann man auch ganz einfach testen. Einfach das Formular abschicken ohne was rein zu schreiben, schon erscheint die Fehlermeldung im neuen Gewand. [/Update]