agentis e.K. » Security http://www.agentis.de agentur für IT-services Fri, 09 Jul 2010 14:11:33 +0000 http://wordpress.org/?v=2.9.2 en hourly 1 Quick-Fix für Wordpress-Berechtigungen in Version 2.9.x http://www.agentis.de/quick-fix-fur-wordpress-berechtigungen-in-version-2-9-x/ http://www.agentis.de/quick-fix-fur-wordpress-berechtigungen-in-version-2-9-x/#comments Fri, 09 Jul 2010 14:09:08 +0000 Jens Wilde http://www.agentis.de/?p=646 Wenn man eine relativ alte Wordpress-Version immer wieder aktualisiert hat, kommt es bei der Konvertierung zur nächsten Version scheinbar irgendwann zu einem Problem mit der Berechtigungsstufe für das Backend. Ich habe ein kleines Script geschrieben, mit dem die Berechtigungen neu gesetzt werden. Ob das bei der Version 3.x auch noch funktioniert kann ich aktuell noch nicht sagen.

WICHTIG: ZUERST EIN BACKUP DER DATENBANK MACHEN! Dann das untenstehende Script in eine neue PHP-Datei (z.B. “update-users.php”) kopieren und ins gleiche Verzeichnis wie die “wp-config.php” legen. Dann über den Browser aufrufen. Update der Datensätze in der Datenbanktabelle wp_usermeta überprüfen (absteigend sortieren nach “umeta_id”). Zum Abschluß die Datei wieder löschen. FERTIG.

Hier das Script:
——————————————————

<?php

// Wordpress-Config-Datei importieren
// Import Wordpress-Config-File

include ('wp-config.php');

// Verbindung zum Datenbank-Server aufbauen
// Connect to database

$cid=mysql_connect(DB_HOST, DB_USER, DB_PASSWORD);

// Array für Rollen
// Array for user-roles

$user_roles=array('administrator'=>'10', 'editor'=>'7', 'author'=>'2', 'contributor'=>'1');

// Bisherige Einträge für meta_key "wp_user_level" löschen
// Delete actual entries with meta_key "wp_user_level"

$result=mysql(DB_NAME, "DELETE FROM ".$table_prefix."usermeta WHERE meta_key LIKE 'wp_user_level' ");

// Für jeden Eintrag aus dem Rollen-Array
// For each entry of the user-roles array

while (list($key,$value)=each($user_roles)) {

  echo "$key | $value<br/>\n";

  // Alle User mit der entsprechenden Rolle einlesen
  // Get all users for the given user-role

  $result=mysql(DB_NAME, "SELECT * FROM ".$table_prefix."usermeta WHERE meta_key LIKE '".$table_prefix."capabilities' AND `meta_value` RLIKE '".$key."' ORDER BY user_id ASC");

  echo "SELECT * FROM ".$table_prefix."usermeta WHERE meta_key LIKE '".$table_prefix."capabilities' AND `meta_value` RLIKE '".$key."' ORDER BY user_id ASC<br/>\n";

  while ($daten = mysql_fetch_array($result, MYSQL_ASSOC)) {

    echo $daten[user_id]."<br/>\n";

    // und für jeden Eintrag die Berechtigung neu setzen
    // and set a new user-level for each entry

    $result2=mysql(DB_NAME, "INSERT INTO ".$table_prefix."usermeta VALUES ('','".$daten[user_id]."', 'wp_user_level', '".$value."')");

  } // END OF while ($daten = mysql_fetch_array($result, MYSQL_ASSOC))

} // END OF while (list($key,$value)=each($user_roles))

mysql_close($cid);

?>

——————————————————

UND? Hat es funktioniert? Ich würd mich über ein Feedback freuen.

]]> http://www.agentis.de/quick-fix-fur-wordpress-berechtigungen-in-version-2-9-x/feed/ 0 Was weiß Google über mich? Dafür gibt es jetzt das Google Dashboard. http://www.agentis.de/was-weiss-google-ueber-mich-dafuer-gibt-es-jetzt-das-google-dashboard/ http://www.agentis.de/was-weiss-google-ueber-mich-dafuer-gibt-es-jetzt-das-google-dashboard/#comments Thu, 05 Nov 2009 13:00:50 +0000 Jens Wilde http://www.agentis.de/?p=276 GoogledashboardHab gerade auf Techcrunch einen Artikel zum neuen “Google Dashboard” gefunden. Damit möchte Google die Frage vieler Google-Account Inhaber beantworten: Was weiß Google über mich?

Ich war natürlich extrem neugierig, hab mich gleich eingeloggt und muss sagen: DATENKRAKE GOOGLE! Echt abgefahren, welche Google-Dienste man so alle im Laufe der Zeit abonniert hat und wieviele Daten/Beiträge dort schlummern. Bei mir steht am Ende: “12 weitere Produkte sind noch nicht in diesem Dashboard verfügbar”. Wer hat weniger? ;-)

Positiv finde ich daran, dass alles auf einen Blick verfügbar ist und auch gleich die Deeplinks zum Ändern der Einstellungen mit dabei sind. Es hat also jeder selbst in der Hand, was man nutzt und welche Daten man freigibt. Fazit: Ich weiß jetzt, dass Google weiß, was ich letzten Sommer getan habe. ;-)

]]> http://www.agentis.de/was-weiss-google-ueber-mich-dafuer-gibt-es-jetzt-das-google-dashboard/feed/ 1 Wordpress sicher(er) machen ist nicht schwer http://www.agentis.de/wordpress-sicherer-machen-ist-nicht-schwer/ http://www.agentis.de/wordpress-sicherer-machen-ist-nicht-schwer/#comments Wed, 21 Oct 2009 12:47:47 +0000 Jens Wilde http://www.agentis.de/?p=265 flickr-titanas-wordpress-shirt Nach dem letzten Sicherheitsloch in älteren Wordpress-Versionen Anfang September, wurde viel über die Sicherheit von Wordpress gesprochen und ob man sich nicht nach Alternativen umschauen sollte.

Das habe ich getan, aber leider nichts vergleichbares gefunden, mit dem so effektiv Webseiten aufgesetzt und durch Plugins beliebig erweitert werden können. Die schiere Menge an Entwicklern, die sich mit der Erweiterung von Wordpress beschäftigen ist einfach ein wichtiger Faktor. Und je größer die Nutzergemeinde, desto schneller werden Sicherheitslecks aufgedeckt und auch behoben/gestopft.

Wenn es also keine echte Alternative gibt (zumindest für meine Anforderungen an ein CMS), bleibt nur, die Installation so sicher wie möglich zu machen:

Schritt 1: Regelmäßige Updates. Die werden im Backend postwendend angekündigt. Außerdem empfiehlt sich, den RSS-Feed von Wordpress zu abonnieren.

Schritt 2: Die “Standard-Einbruchslöcher” stopfen. Die 10 besten Tipps dazu, sind in diesem Artikel auf Blogcritics zusammengefaßt.

]]> http://www.agentis.de/wordpress-sicherer-machen-ist-nicht-schwer/feed/ 0