define( 'WP_PLUGIN_DIR', '/srv/www/htdocs/html/plugins' );
define( 'WP_PLUGIN_URL', 'http://subdomain.example.org/plugins' );

http://codex.wordpress.org/Determining_Plugin_and_Content_Directories#Constants

Dafür müssen wir analog zum Uploads Ordner auf der angelegten Subdomain (subdomain.example.org) einen Ordner “plugins” anlegen. Dorthin würde dann der ganze Inhalt des ursprünglichen Plugins Ordner verschoben.
Außerdem Voraussetzung: Alle Plugins müssen vernünftig von den Plugin-Autoren geschrieben sein.

Für uns klären wir erst noch, ob Nutzen oder Aufwand überwiegt.

Verwandte Artikel

• WordPress: CDN und cookieless domain (3)
• gzip-Komprimierung aktivieren (1)
• Etwas Sicherheit durch die .htaccess (1)
• Caching mit Expires (0)
• WordPress-Plugin: Remove Dashboard Widgets (14)

      <!-- Place this tag where you want the +1 button to render -->
        <g:plusone size="standard" href="<?php the_permalink(); ?>"></g:plusone>
      <!-- Place this tag after the last plusone tag -->
        <script type="text/javascript">
          window.___gcfg = {lang: 'de'};
          (function() {
            var po = document.createElement('script'); po.type = 'text/javascript'; po.async = true;
            po.src = 'https://apis.google.com/js/plusone.js';
            var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s);
          })();
        </script>

Und hier als HTML5 valider Syntax:

      <!-- Place this tag where you want the +1 button to render -->
      <div class="g-plusone" data-annotation="inline" data-width="120" href="<?php the_permalink(); ?>"></div>
      <!-- Place this render call where appropriate -->
      <script type="text/javascript">
        window.___gcfg = {lang: 'de'};

        (function() {
          var po = document.createElement('script'); po.type = 'text/javascript'; po.async = true;
          po.src = 'https://apis.google.com/js/plusone.js';
          var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s);
        })();
      </script>

Verwandte Artikel

• rechtliches Risiko beim Google +1-Button? (2)
• Private Daten und Cookies beim schließen von Chrome löschen (0)
• Google+ Share Button (3)
• Google+ (plus) – unsere ersten Eindrücke (0)
• Google Kontakte mit Thunderbird synchronisieren (0)

Wer als Webseitenbetreiber allerdings Kommentatoren hat bei denen er sicher ist, dass es sich nicht um Spamlinks handelt, der kann die URLs wieder auf follow setzen bzw. das nofollow entfernen.

Wir haben mal genau dies für unsere Top10-Kommentatoren auf unserer Startseite realisiert, so werden sie 1. auf der Startseite erwähnt und 2. erhalten sie von dort aus einen suchmaschinenfreundlichen Backlink.

<?php
/* Zeige Top Kommentatoren */
$count=10;
$exclude='admin,user_xy';

$comments=$wpdb->get_results("SELECT comment_author_url, comment_author, COUNT(*) cnt
  FROM   $wpdb->comments
  WHERE  comment_approved = '1'
  AND    comment_type NOT IN ('pingback','trackback')
  GROUP BY comment_author_url, comment_author
  ORDER BY 3 DESC");

$excludes=explode(',', $exclude);
?>

<!-- ab hier der Ausgabeteil -->
<h2 class="moreposts">Top10-Kommentatoren</h2>
<ul id="top_commenter">
<?php
foreach($comments as $comment) {
  if (!in_array($comment->comment_author, $excludes)) { ?>

  <li>
    <?php if ($comment->comment_author_url != "" && $comment->comment_author_url != "http://") { ?>
      <a href="<?php comment_author_url(); ?>"><?php comment_author(); ?></a>
    <?php } else { ?>
      <?php comment_author(); ?>
    <?php } ?>

    (<?php echo $comment->cnt; ?>)
  </li>

  <?php if (++$ccount == $count) break;
  }
}
?>
</ul>

Kleine Erklärung:

$count (Zeile 3) setzt die Anzahl der Kommentatoren, die angezeigt werden sollen.
Mit $exclude (Zeile 4) können Kommentatoren zum Ausschluss angegeben werden, z. B. die Kommentare des Admins oder Artikelautors.
Dann kommt die Datenbankabfrage ( Zeile 6-11 ) wo wir in allen veröffentlichten ( Zeile 8 ) Kommentaren ( Zeile 9 ) nach den Top-Kommentatoren und dessen Links ( Zeile 6 ) suchen. Das ganze gruppieren ( Zeile 10 ) wir nach Kommentatoren-URL und sortieren es nach Höchstzahl ( Zeile 11 ).

Jetzt kommt der eigentliche Ausgabeteil. Überschrift und UL sollten klar sein.
Dann die array-Schleife ( Zeile 20-35 ) wo erst mal durch das §excludes die o. g. Kommentatoren ausschlossen werden ( Zeile 21 ).
Danach der Teil im Listenelement. Und genau hier kommt jetzt nicht nur einfach comment_author_link() zum Zuge,
denn dann wäre wieder ein nofollow drin, sondern eine IF-Abfrage. Diese fragt die comment_author_url nach Inhalten ab ( Zeile 24 ). Falls eine URL hinterlegt, dann wird diese ohne rel=nofollow ausgegeben ( Zeile 24-26 ), ansonsten nur der Kommentatorenname ( Zeile 26-28 ).
Wer will kann dem a-Tag noch ein follow mitgeben:

<a href="<?php comment_author_url(); ?>" rel="follow"><?php comment_author(); ?></a>

Mit $comment->cnt ( Zeile 30 ) wird dann noch der Zähler ausgegeben.

Fertig!

Das ganze lässt sich dann noch ein bisschen über die style.css stylen:

ul#top_commentors{list-style:none;padding:0;}
ul#top_commentors li{float:left;padding:0 10px;border-right:1px dashed #ccc;}

Verwandte Artikel

• Schluss mit Kommentar-Spam (1)
• noindex und nofollow (1)
• ZoneAlarm-Grundlegende Tipps (0)
• WordPress: CDN und cookieless domain (3)
• WordPress Plugins verschieben (0)

Wer die Admin Bar gar nicht erst haben will, kann sie mit folgender Codezeile über die functions.php des verwendeten Themes komplett deaktivieren:

add_filter( 'show_admin_bar', '__return_false' );

Die Admin Bar lässt sich aber auch beliebig erweitern. So beschreibt z. B. Frank Bültge in 2 Artikeln wie sich die Papierkorbfunktion oder auch eine Codexsuche integrieren lässt.

Für alle WordPress-/Theme-/Pluginentwickler ist aber auch das Zusatzplugin “Debug Bar” interessant. Nach Installation und Aktivierung bindet es sich mit in die Admin Bar im Backend von WordPress ein. Über die Debug Bar erhält der Entwickler weitere hilfreiche Informationen wie z. B. über PHP Notices and Warnings, WP-Query, mySql-Queries, Cache, Deprecated Functions etc.

Um wirklich alle Informationen angezeigt zu bekommen wird in der Pluginbeschreibung auf die Aktivierung von WP_DEBUG und SAVEQUERIES hingewiesen. Aber wie aktivieren? Auch das ist schnell erledigt. In der wp-config.php von WordPress ist der erste Eintrag schnell zu finden:

/**
* For developers: WordPress debugging mode.
*
* Change this to true to enable the display of notices during development.
* It is strongly recommended that plugin and theme developers use WP_DEBUG
* in their development environments.
*/
define('WP_DEBUG', false);

Hier einfach auf true setzen und WP_DEBUG ist aktiviert:
define(‘WP_DEBUG’, true);

Allerdings werden jetzt alle Warnungen direkt und auch für jeden – wirklich jeden – überall sichtbar. Dies lässt sich verhindern mit
define(‘WP_DEBUG_DISPLAY’, false);

Jetzt können kontrolliert über die Debug Bar die Notices and Warnings ein- und ausgeblendet werden. Zum Schluss fehlt noch die Aktivierung von SAVEQUERIES:
define(‘SAVEQUERIES’, true);

Der ganze Block sieht dann so aus:

/**
* For developers: WordPress debugging mode.
*
* Change this to true to enable the display of notices during development.
* It is strongly recommended that plugin and theme developers use WP_DEBUG
* in their development environments.
*/
define('WP_DEBUG', true);
define('WP_DEBUG_DISPLAY', false);
define('SAVEQUERIES', true);

Verwandte Artikel

• WordPress-Plugin: Remove Dashboard Widgets (14)
• WordPress Sicherheit (2)
• WordPress Plugins verschieben (0)
• WordPress Plugin: Change WP Mail From (0)
• WordPress Login-Logo ändern (2)

SyntaxHighlighter Evolved Plugin – dt. Sprachdatei

Die Zip-Datei einfach entpacken und die syntaxhighlighter-de_DE.mo in das Verzeichnis /syntaxhighlighter/localization/ hochladen. Über die syntaxhighlighter-de_DE.po Datei kann mit dem Programm PoEdit unsere dt. Übersetzung selber noch angepasst werden.

Verwandte Artikel

• Our Todo List Plugin (3)
• All in one SEO Pack Plugin (8)
• WordPress-Plugin: Remove Dashboard Widgets (14)
• WordPress Sicherheit (2)
• WordPress Plugins verschieben (0)

Zwar bietet WordPress zwei Filter Hooks wo man eingreifen könnte, leider ist dazu aber niergends im WP-Backend ein Häkchen oder gar ein Eingabefeld zu sehen.
Für dieses Problem haben wir ein Plugin geschrieben, welches diese Aufgabe auf einfache Weise übernimmt. Mit unserem Plugin “Change WordPress Mail From” kann übersichtlich der Absendername und die Absender-Emailadresse geändert werden. Dazu hakt das Plugin sich in die zwei Hooks ein und erlaubt so das verändern des Absenders.

Bsp.:

function the_name() {
  return 'Chef';
}
add_filter('wp_mail_from_name', 'the_name');

function the_adress() {
  return 'chef {at} example {dot} com';
}
add_filter('wp_mail_from', 'the_adress');

(http://codex.wordpress.org/Plugin_API/Filter_Reference)

Damit bei der Eingabe im Plugin keine Fehler passieren, prüft “Change WordPress Mail Form” die beiden Felder auf Sonderzeichen und sonstige Fehler und weist mit einem Kontrollfeld darauf hin.

Download Zip-Datei:
Change WordPress Mail From 0.1

Installation:

1. Download “Change WordPress Mail Form” plugin
2. Entpacke das Archiv
3. Lade den Ordner per FTP in den WordPress-Plugin-Ordner …/wp-content/plugins/*
4. Gehe ins WP-Backend zum tab “Plugins”
5. Aktiviere das “Change WordPress Mail Form” Plugin
6. Gehe in die Plugin Einstellungen und ändere den Sender-Namen und die Sender-Email
7. Fertig

History:
0.1 – Entwicklung Grundfunktionen

Verwandte Artikel

• WordPress-Plugin: Remove Dashboard Widgets (14)
• WordPress Sicherheit (2)
• WordPress Plugins verschieben (0)
• WordPress Login-Logo ändern (2)
• WordPress Admin Bar – Debug Bar (1)

Dennoch ist es dauerhaft möglich, über die functions.php des verwendeten WordPress-Themes ins Login-Geschehen einzugreifen. Mit folgender Funktion kann man über die WordPress API das laden eines zusätzlichen Stylesheet für den Login-Head anweisen:

<?php
// WordPress Login-Logo aendern
function new_login_logo() {
echo '<style type="text/css">
#login{width:400px;}
h1 a{background-image: url('. get_bloginfo('template_directory').'/images/logo.jpg) !important;}
form#loginform, #nav{margin-left:0px !important;}
</style>';
}
add_action('login_head', 'new_login_logo');
?>

Das einzige was noch angepasst werden muss ist die Background-Image-URL, also Pfad und Dateiname des Logos / der Grafik.

Verwandte Artikel

• WordPress-Plugin: Remove Dashboard Widgets (14)
• WordPress Sicherheit (2)
• WordPress Plugins verschieben (0)
• WordPress Plugin: Change WP Mail From (0)
• WordPress Admin Bar – Debug Bar (1)

Vor der Installation in der wp-config.php den Tabellen Präfix ändern, so dass die Tabellen in der Datenbank schon von Anfang an diesen Präfix bekommen, z.B.
Code:

$table_prefix  = 'xy12z3_';

Außerdem ganz wichtig, die 4 Security-Keys und die 4 Salt-Keys in der wp-config.php eintragen. Einen Generator gibt es hier z.B. https://api.wordpress.org/secret-key/1.1/salt/

Dann den Admin User unbedingt umbenennen und ein “starkes” Passwort vergeben. Ab WordPress 3 kannst du das schon bei der Installation. Wir empfehlen allerdings immer im nachhinein den User zu ändern, so dass dieser nicht mehr die User-ID #1 in der Datenbank hat. Also sofort nach der Installation einen neuen Usernamen mit Admin-Rechten und “starkem” Passwort anlegen und den alten Admin mit ID1 löschen.

Jetzt noch die wp-config.php über die .htaccess “schützen” und die .htaccess selber auch. Also den Code in die .htaccess:

# Dateien mit . am Anfang sperren
<FilesMatch "^\." >
deny from all
</FilesMatch> 

# protect wp-config.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

Um die Anzahl der Fehlversuche beim Login zu beschränken, ist dieses Plugin gut: http://wordpress.org/extend/plugins/limit-login-attempts/

Sergej Müller beschreibt außerdem sehr ausführlich, wie man den WP-Login noch mal extra über die .htaccess absichern kann: Initiative: Mehr Sicherheit für WordPress durch den “Admin”-Schutz

Es gibt noch weitere Plugins für die Sicherheit, folgendes sollte man sich auch mal anschauen: http://wordpress.org/extend/plugins/secure-wordpress/ Dieses verschleiert z.B. die WP-Version, deaktivert die Hinweis- und Fehlermeldung beim Login von WordPress und legt index.html Dateien in verschiedene Ordner um das auslesen zu verhindern.

Aber Achtung: Zu viele Plugins bringen auch wieder viele Schwachstellen und können außerdem das Blog verlangsamen.

So und nun noch abschließende und wichtige Tipps. Halte WordPress, die Plugins und Themes immer aktuell. Also immer Updates! Und noch eins, mache regelmäßig Backups vom wp-content Ordner und – noch viel wichtiger – von der Datenbank.

Verwandte Artikel

• WordPress-Plugin: Remove Dashboard Widgets (14)
• WordPress Plugins verschieben (0)
• WordPress Plugin: Change WP Mail From (0)
• WordPress Login-Logo ändern (2)
• WordPress Admin Bar – Debug Bar (1)

Gestern, am 20. Okt. 2010, erschien die offizielle formelle “SIE”-Sprachdatei für WordPress 3.0.1. Außerdem wurde gleichzeitig das Standard-Theme TwentyTen und die MultiSites übersetzt. Neben der informellen “DU”-Sprachdatei wurde die formelle “SIE”-Sprachdatei in letzter Zeit immer wieder gefordert und ist wohl für Geschäftsleute eher interessant.

Um die SIE-Version für WordPress nutzen zu können, muss das Archiv in den /wp-content/languages-Ordner entpackt werden.
Die Sprachdateien für das Theme TwentyTen müssen in den wp-content/themes/twentyten/languages-Ordner entpackt werden. Die Du-Version wird dabei jeweils überschrieben.

Fehler in der Sprachdatei können im WPde Forum gemeldet werden.

Verwandte Artikel

• SyntaxHighlighter Evolved Plugin (0)
• Our Todo List Plugin (3)
• All in one SEO Pack Plugin (8)
• WordPress: CDN und cookieless domain (3)
• WordPress-Plugin: Remove Dashboard Widgets (14)

RewriteEngine on

Jetzt kann die Datei vor externen Zugriffen geschützt werden, um die es sich die ganze Zeit dreht … die .htaccess:

# htaccess Schutz
<Files ~ "^.*\.([Hh][Tt][Aa])">
Order deny,allow
Deny from all
</Files>

ORDER bestimmt in welcher Reihenfolge Allow und Deny ausgewertet werden.
Die Direktive DENY (=verweigern) bestimmt, wer vom Zugriff auf eine Ressource ausgeschlossen wird
Die gegensätzliche Direktive ALLOW (=erlauben) würde es ermöglichen, bestimmten Hosts den Zugriff ausdrücklich zu gestatten.

Das ganze ließe sich so erweitern, dass alle Dateien die mit einem Punkt anfangen, wie z.B. auch eine .htusers oder .htpasswd, gesperrt werden:

# Dateien mit . am Anfang sperren
<FilesMatch "^\." >
Order deny,allow
Deny from all
</FilesMatch>

So, die Dateien sind schon mal vor einem Fremdzugriff gesperrt. Jetzt kommt es ja immer mal wieder vor, dass man die eigenen Bilder auf anderen Seiten verlinkt sieht. Das ist doppelt ärgerlich:

1. wird der eigene Inhalt wo anders abgebildet
2. wird der eigene Traffic geklaut, denn die Bilder werden ja nur verlinkt … also vom eigenen Server auf fremder Seite ausgeliefert.

Auch dafür gibt es einen Trick:

# Bilder-Klau
<ifmodule mod_rewrite.c>
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?im-tal\.net(/.*)?$ [NC]
RewriteCond %{HTTP_REFERER} !^http://(www\.)?images\.google\.de(/.*)?$ [NC]
RewriteRule \.(gif|jpg|png|pdf|zip|GIF|JPG|PNG|PDF|ZIP)$ - [F]
</ifmodule>

In Zeile 2 wurde die eigene Domain eingetagen.
In Zeile 3 wurde eine weitere “erlaubte” Domain eingetragen.
Diese Zeile kann kopiert werden und für jede weitere erlaubte Domain verwendet werden, Prinzip sollte hier klar sein.
Als letzte Zeile wird bestimmt, dass alle nicht aufgeführten und somit auch nicht erlaubten Domains eine Error 403 (Forbidden) Fehlermeldung bekommen, sobald sie eine Bild der genannten Dateitypen verlinken wollen.
Falls die o.g. Variante nicht funktioniert kann folgender Code probiert werden:

<Files ~ "\.(gif|jpe?g|png)$">
SetEnvIfNoCase Referer ^http\:\/\/.* Verboten
SetEnvIfNoCase Referer ^http\:\/\/(www\.){0,1}im-tal\.net.* !Verboten
SetEnvIfNoCase Referer ^http\:\/\/(images\.){0,1}google\.de.* !Verboten
Order Allow,Deny
Deny from env=Verboten
Allow from all
</Files>

In Zeile 2 werden erst mal alle Zugriffe verboten und durch die Zeile mit !Verboten werden dann die Ausnahmen definiert.

Ist die IP oder der USER_AGENT eines Angreifers bekannt oder ein Query_String der öfter von Angreifern an die URL gehangen wird, so kann auch dieser direkt ausgesperrt werden. Außerdem können auch Referer ausgesperrt werden:

<ifmodule mod_rewrite.c>
# alle Einträge mit [OR] abschließen außer der letzte
RewriteCond %{REMOTE_ADDR} ^123\.234\.3\.4 [OR]
RewriteCond %{HTTP_USER_AGENT} example.* [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{HTTP_REFERER} spamwort [NC]
RewriteRule .* - [F,L]
</ifmodule>

NC gibt an, dass kein Unterschied zwischen Gross- und Kleinschreibung gemacht werden soll
OR gibt an, dass ODER statt UND verwendet werden soll

So, zum Schluss noch 2 weitere Tipps, besonders für WordPress Benutzer. Bei WordPress ist es wichtig die Settings-Datei “wp-config.php” zu schützen. In anderen Systemen sind es vielleicht andere Dateien. Jedenfalls funktioniert dies genau so wie oben beim .htaccess Schutz:

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>

Um jetzt noch externe Zugriffe auf WordPress PHP-Dateien zu blockieren, kann folgendes in die .htaccess geschrieben werden:

# Externer Zugriffe auf PHP-Dateien blockieren
RewriteCond %{QUERY_STRING} !error
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\ /(wp-includes|wp-content)/(.+)\.php\ HTTP/
RewriteRule .* - [F]

Verwandte Artikel

• gzip-Komprimierung aktivieren (1)
• Caching mit Expires (0)
• WordPress: CDN und cookieless domain (3)
• WordPress Plugins verschieben (0)
• noindex und nofollow (1)