Tag Archives: update

Passwortänderung

Posted on by

Alle Nutzer unserer Blogs müssen ihre Passwörter ändern!

Der heartbleed bug hatte zur Folge, dass ich hier nach Einspielen der notwendigen Updates für den Server nun auch unsere SSL-Zertifikate für die HTTPS-Verbindung zum Server ausgetauscht habe.

Da mit Hilfe eines evtl. ausgelesenen alten Serverkeys Eure Passwörter kompromitiert worden sein könnten, ist es aus Gründen der Sicherheit nun Eure Pflicht, Eure Passwörter zu ändern. Denn: Ihr seid für die Sicherheit dieses Systems mit verantwortlich und haftet für alle Aktionen, die unter Eurer Benutzerkennung erfolgen.

Ein sicheres Passwort hat inzwischen 12 zufällig gewählte Zeichen – jedoch keine Leerzeichen, keine Umlaute und auch keine Ligaturen wie ß. Wie ein sicheres Passwort aussehen sollte ist hier beschrieben.

Um sicher zu stellen, dass in Zukunft jeder Eurer Logins über HTTPS erfolgt, wurde WordPress mit einem weiteren Plugin versehen, das alle Zugriffe auf’s Backend automatisch auf verschlüsselte Verbindungen umschreibt. Solltet Ihr Probleme bekommen, dann löscht alle Eure Cookies, startetet Euren Browser neu und probiert es noch einmal. Klappt es dann immer noch nicht, dann ist der BugTracker dran – bitte mit einer ausführlichen Fehlermeldung.

Jugendsünden

Posted on by

Als die Bloggerei im Herbst 2006 auch mich erwischte, dachte ich noch wenig an die Pflege der Software. Erst im Laufe der Zeit und mit immer mehr Blogs im KvFG Netz und auf meinen anderen Seiten wurde dies zum Thema. Inzwischen pflege ich Updates für mehr als 10 verschiedene Sites mit X Blogs ein, wenn WordPress einen Versionssprung macht oder eines der Plugins neu erscheint.

Ich versuche zwar, mir meine Arbeit zu erleichtern, indem ich die folgenden Strategien verfolge – diese laufen allerdings auch nicht komplett rund:

Der Update-Prozess ist in eine Vielzahl von Skripten ausgelagert: Dumpen der Datenbank, sichern der alten Verzeichnisse und das Einspielen der neuen WordPressversion, kopieren der Plugins – alles läuft mehr oder weniger automatisch ab. Allerdings verfolge ich die Arbeit der Skripte im Detail mit und habe viele Stopstellen eingebaut, an denen ich intervenieren kann und deswegen oft auch auch muss – und sei es durch Drücken der Enter-Taste.

Alle Blogs verwenden die gleichen Plugins, so das auch bei einem Plugin-Update wieder Skripte eingesetzt werden können.

Dummerweise endet die Gleichmacherei bei den Themes. Erst in den letzten Jahren setze ich bei neuen Blogs komplett auf die Standardthemes von WordPress. Davor waren diese auch schlicht nicht nach meinem Geschmack (Kubrick – rabäh!).

In den Jahren davor bastelte ich für jedes Blog individuelle Lösungen – was dann wieder Arbeit macht, weil sich nicht alle Funktionalitäten der Themes mit denen von WordPress so einfach in Deckung bringen lassen. Wo möglich und für mich erträglich habe ich deswegen einst individualisierte Blogs nach und nach auf die WP-Standardthemes zurück gedreht.

Der dickste Fehler war aber, dass ich im KvFG Netz nicht gleich auf WordPress-MU setzte, sondern mit Frischerhöhnig und GemK drei Blogs pflege, die sich außerhalb der Serverpfade dieser Installation hier bewegen. Sicherlich würde sich auch das wieder rückgängig machen lassen: Die Datenbanken müsste ich zusammenführen und meinem Apachen einige Umleitungen beibringen. Hierzu fehlt mir aber im Moment die Zeit. Vor allem für den ersten Schritt der Datenbankmanipulation, bei der doch einiges schief gehen könnte, so dass ich dies vorher genauer testen sollte.

Also verbretzel ich weiterhin mit jedem WordPress-Versionssprung rund eine Zeitstunde und hoffe, dass nicht gleich wieder das nächste Update hinterher geschoben wird.