4 Comments

  • 23. März 2014 - 17:25 | Permalink

    Korrigier‘ mich, wenn ich mich irre, aber empfiehlt WordPress nicht deutlich genug, den Admin-Account nicht „admin“ zu nennen? Genauso wie beispielsweise sofort nach der Installation gut sichtbar darauf hingewiesen wird, dass die install.php gelöscht werden soll?

    Wen das alles schon überfordert, der sollte sich eines dieser Security-Komplett-Plugins installieren, die nehmen dem Benutzer schonmal einiges ab.

    P.S. Ich finde diese Checkbox hier unter dem Kommentarfeld ziemlich dämlich. Jetzt hab ich also die Wahl, meine Daten von dir an die USA weiterreichen zu lassen oder in Zukunft keine Kommentare mehr zu schreiben. Sehr schlau. Es gibt sehr gute Alternativen zu Akismet.

  • 23. März 2014 - 23:49 | Permalink

    Aber gerne doch.

    Wenn man, wie ich, WordPress vor Jahren installiert und seitdem immer nur geupdated hat, hatte man absolut keine Wahl, der Adminaccount wurde immer unveränderbar als Benutzername „admin“ angelegt. Es sei denn natürlich, man hätte selbst in den PHP Code eingegriffen und dies dort direkt in der Installationsroutine geändert, aber welcher Enduser macht sowas ernsthaft? Sicher nicht die Adressaten dieses Beitrags und ich hätte auch nicht einmal ansatzweise an so etwas gedacht, als ich WordPress installiert habe. Seit wann man dies bei der Installation selbst wählen kann, weiß ich nicht. Habe gerade testweise sowohl die alte 2.8 von meiner Platte, als auch die aktuelle 3.8 installiert. Bei der 3.8 kann man einfach einen Benutzernamen auswählen, von „admin“ ist da kein Wort mehr. Gut, die 2.8 ist nun 5 Jahre alt, da sieht man mal, wie lange meine Blogs schon bestehen. Ein spezieller Hinweis fehlt aber auch bei der 3.8 komplett und sogar noch besser: in der liesmich.html steht unter Punkt 7 der 5-Minuten-Installation:

    „Das Installationsskript schickt Dich anschließend zur Anmeldeseite. Gebe als Benutzernamen admin ein und darunter das Passwort, dass das Skript für Dich inzwischen generiert hat. Nach der Anmeldung kannst Du auf Benutzer/ Dein Profil klicken um das Passwort ändern zu können.“

    Man hat dies offenbar noch nicht wirklich angepasst. So oder so, da draußen sind sicherlich noch Horden an Bloggern mit admin-Benutzer unterwegs. Im übrigen gibt es diesen Hinweis auf die install.php auch nicht. Habe ihn jedenfalls weder bei 2.8, noch 3.8 nach dem Setup gesehen. Dazu auch noch aus dem WP Forum:

    „You can safely delete /wp-admin/import.php , /wp-admin/install.php , /wp-admin/install-helper.php , /wp-admin/upgrade.php , and /wp-admin/upgrade-functions.php .

    There are two things to keep in mind here:

    1. Whenever you execute and automatic upgrade, these files will be replaced.

    2. Security issues are addressed as quickly as possible, so as long as you stay up-to-date, you shouldn’t have anything to worry about.“

    und

    „No, there is no security risk. Both files do sanity checks before anything happens.“

    Schaden wirds also sicher nicht, aber demnach muss man dies nach jedem Update manuell erneut tun.

    P.S.: Momentan teste ich Antispam-Bee, daher habe ich den Hinweis mit der Checkbox gerade entfernt, das ist nämlich ein eigenes von Akismet unabhängiges Plugin gewesen. Ich werde aber gerne deine Kommentare in Zukunft auch weiterhin manuell in die USA schicken 😛

  • 28. März 2014 - 09:46 | Permalink

    „Im übrigen gibt es diesen Hinweis auf die install.php auch nicht.“

    Naja, irgendwo wird der Hinweis ja irgendwann mal gestanden haben. Ich habe den sicher nicht aus meinem Kaffeesatz gelesen.

    Antispam-Bee nutze ich übrigens auch schon lange, funktioniert sehr gut.

  • 28. März 2014 - 15:30 | Permalink

    Ich weiß ja nicht, was du dir üblicherweise in den Kaffee kippst 😉

    Naa schmarrn, ich schrieb ja noch dazu, ich habe eben bei 2.8 und 3.8 keinen solchen gesehen. Vielleicht gabs den ja zwischenzeitlich mal oder an anderer Stelle, das kann schon gut sein.

    Schönes Wochenende! 🙂

  • Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.