Schutz vor der load-(scripts|styles).php-DoS-Attacke (CVE-2018-6389)

Bereits vor etwas einem Monat wurde ein möglicher DoS-Angriffsvektor (CVE-2018-6389) mit der  auf WordPress-Websites bekannt, der bis heute von WordPress nicht mit notwendigen Patches versorgt wurde. Dabei nutzt man eine Funktion, die eigentlich nur unter /wp-admin/ genutzt wird. Und zwar werden dort standardmäßig zwei PHP-Dateien namens load-scripts.php und load-styles.php aufgerufen, mit welchen man über Parameter verschiedene JavaScript- und CSS-Dateien abrufen kann, ohne diese einzeln einzubinden.

„Schutz vor der load-(scripts|styles).php-DoS-Attacke (CVE-2018-6389)“ weiterlesen

Netzwerk-Einstellungen via WordPress-API hinzufügen

In einem älteren Plugin habe ich bereits Netzwerk-Einstellungen manuell in WordPress eingebaut. Doch wie geht das über die WordPress-API? Auch dafür gibt es glücklicherweise einen Weg, und dieser ist ziemlich elegant.

In meinem Fall ging es darum, bereits vorhandene Seiteneinstellungen auch über die Netzwerk-Einstellungen zu konfigurieren, um eine Art Vorauswahl zu schaffen. Dadurch hatte ich schon Seiteneinstellungen via add_settings_field() hinzugefügt. Diese wollte ich natürlich nicht nochmal separat hinzufügen müssen. „Netzwerk-Einstellungen via WordPress-API hinzufügen“ weiterlesen

Performant eigene Schriften in ein Theme einbinden

Heutzutage ist es sehr einfach, eigene Schriften in ein eigenes Theme einzubinden. Doch gibt es ein paar Dinge, die man beachten sollte, um das Ganze auch performant zu halten. Insbesondere auf Mobilgeräten, die mittlerweile oft mehr als 50 % der Aufrufe einer Website durchführen, ist jede gewonnene Zehntelsekunde ein Mehrwert. Daher werde ich nachfolgend ein paar Performance-Vorschläge machen, die jeder schnell umsetzen kann, der sich ein wenig mit Theme-Anpassungen auskennt.

„Performant eigene Schriften in ein Theme einbinden“ weiterlesen

Warum ein Theme keine Google Fonts verwenden sollte

Als Webfonts über @font-face neu waren, wusste Google genau, wie man einen Dienst anbieten kann, der scheinbar für alle nur Vorzüge hatte. Mittlerweile jedoch hat sich hier einiges getan und immer mehr kommen die Schattenseiten des Dienstes „Google Fonts“ zum Vorschein.

Im nachfolgenden Beitrag möchte ich einmal kurz beschrieben ein paar Gründe nennen, warum man keine Google Fonts nutzen sollte, egal ob bei der Erstellung eines eigenen Themes/Plugins oder auch auf eigenen oder fremden Websites.

„Warum ein Theme keine Google Fonts verwenden sollte“ weiterlesen

WordPress-Sicherheit #4 – Was man nicht machen sollte

Wir können nun mit wenig Aufwand unsere WordPress-Installation abgesichert halten, aber selten bleibt eine Installation immer gleich. Neue Funktionen müssen her, vielversprechende Plugins werden installiert und ähnliches. Dabei kommt man häufig auch an Plugins vorbei, die man eigentlich nicht (mehr) installieren sollte. Aber auch andere Fallstricke gibt es noch. Nachfolgend einige Bereiche, in welchen man besonders aufpassen muss, um die Sicherheit der eigenen Website nicht verschlechtern.

„WordPress-Sicherheit #4 – Was man nicht machen sollte“ weiterlesen

WordPress-Sicherheit #3 – Kontinuierliche Sicherheit

Die Installation und erste Konfiguration haben wir hinter uns gelassen. Nun geht es darum, sicherzustellen, dass unser WordPress abgesichert bleibt. Vieles kann man serverseitig bereits machen, hier sind die Hoster in der Pflicht, sofern man selbst nur Webspace mietet. Allerdings kommt man nicht umhin, die Sache selbst proaktiv anzugehen.

„WordPress-Sicherheit #3 – Kontinuierliche Sicherheit“ weiterlesen